tag:theconversation.com,2011:/africa/topics/cyber-attaques-36559/articlescyber-attaques – The Conversation2024-03-25T16:56:04Ztag:theconversation.com,2011:article/2253722024-03-25T16:56:04Z2024-03-25T16:56:04ZLa lente convalescence des hôpitaux victimes de cyberattaques<p>La pandémie a entraîné une accélération significative de la numérisation des établissements de santé, une tendance déjà bien établie. Malgré tout et contrairement aux secteurs de la distribution ou de la finance où la numérisation est plus avancée, celle de la santé demeure relativement récente, avec des systèmes d’information encore vulnérables aux cyberattaques. En conséquence, le <a href="https://healthcaredatainstitute.com/2023/07/11/une-premiere-analyse-de-limpact-des-cyberattaques-sur-les-etablissements-de-soin/">secteur de la santé s’est classé au troisième rang des domaines les plus touchés par les attaques informatiques</a> dans le monde au cours du premier trimestre de 2023.</p>
<p>Les failles ainsi exploitées permettent aux attaquants de pénétrer les systèmes et les équipements médicaux, d’acquérir le contrôle des données hospitalières, de modifier les paramètres opérationnels des dispositifs existants, de déclencher des dysfonctionnements et d’occasionner de sérieux dommages aux patients.</p>
<p><iframe id="cqEV2" class="tc-infographic-datawrapper" src="https://datawrapper.dwcdn.net/cqEV2/1/" height="400px" width="100%" style="border: none" frameborder="0"></iframe></p>
<p>Or, de plus en plus de données de santé sont aujourd’hui produites et disponibles. Selon une étude d’OpinionWay datant de juillet 2020, il a par exemple été constaté que 70 % des Français avaient utilisé des services de prise de rendez-vous en ligne, tandis que 66 % d’entre eux avaient consulté ou reçu des résultats médicaux de manière numérique. Parmi les patients ayant eu recours à la téléconsultation pour la première fois pendant la pandémie, 53 % avaient déclaré être satisfaits de ces nouvelles modalités, avec un <a href="https://www.opinion-way.com/fr/sondage-d-opinion/sondages-publies/marketing/sante/opinionway-pour-les-assises-citoyennes-du-numerique-en-sante-les-francais-et-le-virage-numerique-en-sante-novembre-2020.html">taux de satisfaction atteignant 91 %</a>.</p>
<h2>Une panoplie de techniques</h2>
<p>Plusieurs techniques sont utilisées pour permettre aux cybercriminels d’accéder aux données des établissements de santé visés.</p>
<p>Parmi celles-ci, on peut citer les attaques par déni de service, également connues sous l’acronyme DDoS (<em>Distributed Denial-of-Service</em>), qui représentent près de la <a href="https://www.ponemon.org/research/ponemon-library/security/sixth-annual-benchmark-study-on-privacy-security-of-healthcare-data.html">moitié des attaques recensées dans le monde</a>. Cette méthode consiste à submerger le réseau informatique de l’établissement ciblé avec un grand nombre de requêtes simultanées, dans le but de rendre son système d’information hospitalier indisponible. Les attaques DDoS, en perturbant la vitesse et l’efficacité des services, ont un impact durable sur la réputation de l’établissement visé et entraînent d’importantes pertes financières.</p>
<p>Après le <a href="https://www.lemondeinformatique.fr/actualites/lire-le-chru-de-brest-perturbe-par-une-cyberattaque-89796.html">centre hospitalier régional de Brest</a> (Finistère) en mars 2023, c’est dans la nuit du 14 au 15 janvier 2024 que le <a href="https://www.lemondeinformatique.fr/actualites/lire-le-chu-de-nantes-vise-par-une-attaque-ddos-92684.html">centre hospitalier universitaire (CHU) de Nantes</a> (Loire-Atlantique) a été victime à son tour d’une attaque de ce type bloquant notamment le réseau Internet de l’établissement, l’envoi et la réception d’e-mails, ainsi que l’accès aux outils de gestion du CHU depuis l’extérieur (prise de rendez-vous sur le site de l’établissement via Doctolib notamment).</p>
<p>Une autre menace significative pour les établissements de santé réside dans les attaques de <em>phishing</em> (ou hameçonnage). Dans ces situations, les cybercriminels envoient des e-mails ou des messages trompeurs dans le but de persuader les utilisateurs de divulguer des informations personnelles en cliquant sur des liens malveillants. Ces attaques peuvent être exploitées pour accéder directement aux données personnelles et médicales des patients ou pour introduire des logiciels délétères dans le système d’information de l’établissement. Les attaques de phishing sont souvent sophistiquées, à partir de messages qui semblent <a href="https://pubmed.ncbi.nlm.nih.gov/32239357/">provenir de sources fiables en lien vers des sites apparemment légitimes</a>.</p>
<p>Aux États-Unis, cette méthode représente près de 80 % des attaques informatiques signalées, ce qui en fait la technique la plus répandue et celle dont la croissance est la plus marquée, passant de 32 % du total des attaques en 2016 à 57 % en 2020.</p>
<p>Le 22 août 2023, le <a href="https://www.publicsenat.fr/actualites/non-classe/cyberattaque-de-l-hopital-de-corbeil-essonnes-lockbit-contribue-a-attaquer-les">centre hospitalier de Corbeil-Essonnes</a> (Essonne) avait vu son fonctionnement fortement perturbé par une cyberattaque de ce type qui avait désorganisé son activité durant plusieurs semaines (dégradations de services et reports d’opérations notamment). À la suite de l’attaque, une demande de 10 millions de dollars avait été exigée par le groupe Lockbit, collectif de hackers d’origine russe, coutumiers du fait.</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"1562126150062804994"}"></div></p>
<p>Autre pratique répandue : le <em>ransomware</em>. Cette méthode implique le chiffrement des données des systèmes informatiques de l’établissement à l’aide de logiciels malveillants. Les cybercriminels exigent ensuite une rançon en échange d’une clé de déchiffrement nécessaire pour récupérer les données verrouillées. Ces attaques sont particulièrement inquiétantes pour les établissements de santé, car elles entraînent la <a href="https://data.europa.eu/doi/10.2824/28801">perte de données cruciales et des interruptions de service préjudiciables</a>.</p>
<p>Initialement répandues aux États-Unis, où elles sont devenues un commerce très rentable pour les cybercriminels, ces attaques ont commencé à se propager en Europe, à l’instar du <a href="https://www.lemondeinformatique.fr/actualites/lire-le-si-du-chu-de-rouen-infecte-par-un-cryptovirus-revit-progressivement-77099.html">CHU de Rouen (Seine-Maritime) en novembre 2019</a>. Si les établissements de santé publics en Europe sont souvent incapables de payer les rançons exigées, certains établissements privés, ayant rapidement retrouvé un fonctionnement normal, laissent supposer avoir versé aux hackers la rançon demandée, encourageant de ce fait les criminels à perpétuer ce type d’attaques.</p>
<h2>Une facture salée à Dax</h2>
<p>L’une des cyberattaques par <em>ransomware</em> les plus marquantes de ces dernières années a frappé le Centre hospitalier de Dax, 10 février 2021, lorsque l’ensemble de son système d’information hospitalier (SIH) a été mis hors service. Les conséquences de cette attaque, qui a fait l’objet de <a href="https://www.cairn.info/revue-securite-globale-2023-3-page-147.htm">nos récentes recherches</a>, ont été désastreuses pour les opérations de l’hôpital, entraînant plusieurs semaines de perturbations, tandis que la résolution complète du problème a nécessité plusieurs mois de travail pour les réparations.</p>
<p>Le jour de l’attaque, toutes les connexions, qu’elles soient internes ou externes, ont été complètement interrompues, y compris les lignes téléphoniques et le système informatique de l’établissement. Les accès informatiques ont été également bloqués, ce qui a rendu impossible toute forme de communication habituelle (appels téléphoniques, e-mails ou accès au site web de l’établissement notamment).</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"1359555436983308296"}"></div></p>
<p>Il était, par ailleurs, impossible de se connecter aux serveurs en raison du risque de compromission des comptes. Une sauvegarde préalable sur bandes a heureusement permis de récupérer les données informatisées de nombreux patients, bien que ces données ne puissent être consultées qu’en lecture seule sur un poste dédié, sans possibilité de mise à jour.</p>
<p>Après plus d’un an, les <a href="https://www.techopital.com/story?ID=6255">coûts totaux de cette attaque ont été estimés par l’établissement à plus 2,3 millions d’euros</a>, intégralement pris en charge par l’Agence régionale de santé (ARS) de Nouvelle-Aquitaine. Les coûts induits prennent en compte les investissements matériels nécessaires à la reconstruction du réseau (174 000 euros), des prestations de cybersécurité et de réinstallation des systèmes (546 000 euros), la sous-traitance de prestations de biologie médicale (9 000 euros), des coûts de formation et d’information internes, les équipes de renforts mobilisées et les heures supplémentaires induites (1,48 million d’euros) ou encore les pertes de recettes commerciales de l’établissement (143 000 euros).</p>
<p><iframe id="PHRtG" class="tc-infographic-datawrapper" src="https://datawrapper.dwcdn.net/PHRtG/1/" height="400px" width="100%" style="border: none" frameborder="0"></iframe></p>
<p>L’incident survenu au centre hospitalier de Dax illustre les coûts financiers significatifs auxquels un hôpital est confronté lorsqu’il est victime d’une attaque. Comme cela a été le cas à Dax ainsi <a href="https://www.francetvinfo.fr/internet/securite-sur-internet/cyberattaques/cyberattaque-au-centre-hospitalier-de-versailles-une-rancon-a-ete-demandee_5524872.html">qu’à Versailles (Yvelines) à la fin de l’année 2022</a>, l’arrêt des opérations causé par une immobilisation des systèmes informatiques peut entraîner des pertes d’activité pendant des semaines, voire des mois.</p>
<h2>Un risque pour le patient</h2>
<p>Les dépenses nécessaires à la reconstruction d’un système informatique plus sécurisé doivent être également prises en compte, augmentant d’autant la facture d’ensemble d’une cyberattaque sur les établissements de soins. Selon les experts, ces travaux de reconstruction peuvent s’étaler sur près d’un an et coûter <a href="https://www.enisa.europa.eu/publications/cyber-security-and-resilience-for-smart-hospitals">entre 3 et 5 millions d’euros</a>. Bien que certaines parties de ces dépenses puissent, en France, être prises en charge par des organismes tels que les Agences Régionales de Santé (ARS), une telle assistance est loin d’être permise partout dans le monde.</p>
<p>Pire encore, le risque encouru par les patients : une perte de contrôle des dispositifs médicaux, une altération des diagnostics ou des traitements prescrits, ou encore des erreurs dans leur administration peuvent avoir des conséquences dramatiques, voire fatales, pour les patients hospitalisés.</p><img src="https://counter.theconversation.com/content/225372/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Frédéric Jallat ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>Les perturbations informatiques liées aux phishing, ransomware ou autres dénis de services engendrent d’importants coûts financiers pour les établissements de santé.Frédéric Jallat, Professor of Marketing and Academic Director of MSc. in Biopharmaceutical Management, ESCP Business SchoolLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/2202362024-01-11T16:42:04Z2024-01-11T16:42:04ZOn peut accéder à votre smartphone à votre insu… à quelles conditions est-ce légal ?<p>Il est assez fréquent d’entendre parler de compromission de smartphones aujourd’hui : ces intrusions permettent d’accéder aux données qui sont stockées sur le téléphone, ou d’y implanter un logiciel espion. Aujourd’hui, c’est en fait la complexité des smartphones qui les rend si vulnérables aux intrusions (architecture, fonctionnement) et si difficiles à sécuriser complètement d’un point de vue technique.</p>
<p>Le <a href="https://theconversation.com/derriere-pegasus-le-mode-demploi-dun-logiciel-espion-164742">scandale Pegasus</a> a révélé en 2021 au grand public que des intrusions ou attaques de téléphones peuvent se faire à distance, quand elles ont été utilisées contre des journalistes (de Mediapart notamment) pour le compte de gouvernements étrangers. Même <a href="https://www.wired.com/story/bezos-phone-hack-mbs-saudi-arabia/">Jeff Besos</a>, le CEO d’Amazon, aurait été piraté à distance par une simple vidéo envoyée via la messagerie WhatsApp.</p>
<p>À l’inverse, l’exploitation de failles dans des téléphones sécurisés destinés aux criminels permet aussi aux forces de l’ordre de démanteler d’importants réseaux criminels – c’est le cas par exemple dans <a href="https://www.lemonde.fr/international/article/2023/06/30/encrochat-sky-ecc-a-bruxelles-ouverture-d-un-mega-proces-de-trafiquants-de-drogue_6180005_3210.html">l’affaire EncroChat</a> dont les procès sont en cours.</p>
<p>Ces exemples illustrent la tension permanente entre le besoin d’accéder aux données protégées pour des enquêtes menées afin de protéger des citoyens, et le besoin de protéger les citoyens contre les abus de ces accès. Alors, faut-il sécuriser au maximum les téléphones d’un point de vue technique, ou au contraire aménager des « portes dérobées » pour les services de police et de renseignement ?</p>
<h2>Qui a – et aura – le droit de pénétrer dans les smartphones ?</h2>
<p>En France, le code de procédure pénale et le code de la sécurité intérieure autorisent respectivement les services de police judiciaire et les services de renseignement à capter les données informatiques, c’est-à-dire à récupérer des informations telles qu’elles apparaissent sur l’écran d’une personne (ou sur des périphériques externes), sans qu’elle en soit informée.</p>
<p>Depuis la <a href="https://www.legifrance.gouv.fr/loda/id/JORFTEXT000038261631">loi du 23 mars 2019 de programmation 2018-2022 et de réforme pour la justice</a>, il est même possible d’utiliser des moyens de l’État soumis au secret de la défense nationale afin d’enregistrer, de conserver ou de transmettre les données telles qu’elles sont stockées dans un système informatique. À cela s’ajoute la possibilité pour l’État de mandater des experts – en l’occurrence des sociétés privées spécialisées – afin de pénétrer dans lesdits systèmes.</p>
<p>En 2023, le Gouvernement a tenté une nouvelle fois d’accroître les moyens à la disposition des forces de police en insérant dans le <a href="https://www.legifrance.gouv.fr/dossierlegislatif/JORFDOLE000047538699/">projet de loi d’orientation et de programmation du ministère de la Justice 2023-2027</a> une disposition relative à l’activation à distance des appareils électroniques à l’insu de leur propriétaire ou de leur possesseur afin de procéder à leur localisation en temps réel, à l’activation du micro ou de la caméra et à la récupération des enregistrements.</p>
<p>Cette disposition très <a href="https://www.laquadrature.net/2023/05/31/transformer-les-objets-connectes-en-mouchards-la-surenchere-securitaire-du-gouvernement/">controversée</a> a été en partie censurée par le Conseil constitutionnel le 16 novembre 2023. Celui-ci a considéré que l’activation à distance du micro ou de la caméra d’un appareil électronique porte une atteinte disproportionnée au droit au respect de la vie privée, notamment parce qu’elle permet <a href="https://www.conseil-constitutionnel.fr/decision/2023/2023855DC.htm">d’écouter ou de filmer des tiers qui n’ont aucun lien avec l’affaire en cours</a>.</p>
<p>Seule a été déclarée conforme à la Constitution la possibilité de géolocaliser en temps réel une personne grâce à l’activation à distance de son téléphone ou de tout autre appareil informatique tels que des tableaux de bord de véhicule.</p>
<h2>Comment les intrusions sont-elles possibles techniquement ?</h2>
<p>Indépendamment de la légalité d’une telle action, on peut pénétrer techniquement dans un smartphone en exploitant ses « vulnérabilités », c’est-à-dire en utilisant les <a href="https://ieeexplore.ieee.org/document/7546516">failles existantes au niveau matériel ou logiciel</a>.</p>
<p>L’exploitation des vulnérabilités est aujourd’hui protéiforme, tant les intrusions sont multiples et concernent plusieurs niveaux. Les attaques peuvent être effectuées à distance, à travers le réseau, ou directement sur le téléphone si celui-ci est accessible physiquement, par exemple un téléphone saisi lors d’une perquisition. Dans ce cas, les attaquants utilisent par exemple une <a href="https://ieeexplore.ieee.org/document/9581247">« attaque par canal auxiliaire »</a> (la consommation électrique d’un téléphone peut notamment révéler des informations) ; créent des erreurs artificielles (par <a href="https://doi.org/10.1016/j.cose.2021.102471">« injection de fautes »</a>), ou attaquent physiquement les cartes à puces ou microprocesseurs. Ces attaques permettent de récupérer les clefs de chiffrement qui permettent d’accéder aux données de l’utilisateur stockées sur le téléphone. C’était le sujet par exemple du projet européen <a href="https://exfiles.eu/">EXFILES</a>.</p>
<p>Si l’on progresse dans les <a href="https://theconversation.com/objets-connectes-quels-risques-pour-la-protection-de-la-vie-privee-et-que-peut-on-y-faire-208118">couches du téléphone</a>, il est possible d’exploiter les failles des systèmes d’exploitation des téléphones (leurs bugs, en d’autres termes). Plus un système est complexe et a de fonctionnalités, plus il est difficile de le sécuriser, voire de <a href="https://doi.org/10.22667/JOWUA.2015.09.31.003">définir les propriétés de sécurité attendues</a>.</p>
<p>Par ailleurs, dans la plupart des cas, une attaque ne suffit pas à elle seule à s’introduire dans le téléphone cible, c’est pourquoi un <a href="https://www.darkreading.com/application-security/operation-triangulation-spyware-attackers-bypass-iphone-memory-protections">exploit moderne</a> combine de nombreuses <a href="https://securelist.com/trng-2023/">vulnérabilités et techniques de contournement des contre-mesures présentes</a>.</p>
<hr>
<p>
<em>
<strong>
À lire aussi :
<a href="https://theconversation.com/objets-connectes-quels-risques-pour-la-protection-de-la-vie-privee-et-que-peut-on-y-faire-208118">Objets connectés : quels risques pour la protection de la vie privée, et que peut-on y faire ?</a>
</strong>
</em>
</p>
<hr>
<p>Enfin, les intrusions peuvent cibler les applications installées sur le smartphone ou les protocoles de communication. Dans ce cas, ce sont des phases critiques de l’utilisation des applications qui sont visées : comme la négociation des clés, l’appairage des appareils ou encore les mises à jour des <em>firmwares over-the-air</em>. Par exemple, en 2019, l’équipe <a href="https://googleprojectzero.blogspot.com/2019/08/the-fully-remote-attack-surface-of.html">« Project Zero »</a> de Google a découvert des <a href="https://googleprojectzero.blogspot.com/2019/08/the-fully-remote-attack-surface-of.html">vulnérabilités exploitables à distance sur les iPhones</a> (pourtant réputés pour leur bon niveau de sécurité), qui permettaient de prendre le contrôle du téléphone avec un simple SMS.</p>
<p>Comme cette équipe, de nombreux chercheurs et fabricants découvrent et rapportent les vulnérabilités simplement pour qu’elles soient corrigées. En revanche, d’autres entreprises en tirent bénéfice en créant des « exploits » – des ensembles de vulnérabilités et techniques complexes, qui permettent d’exploiter les téléphones contre leurs utilisateurs et sont vendus au plus offrant – États compris, pour des sommes pouvant atteindre <a href="https://www.pcmag.com/news/iphone-hacks-are-flooding-the-market-says-ios-exploit-buyer">plusieurs millions d’Euros</a>.</p>
<h2>Faut-il sécuriser davantage ou au contraire aménager des « portes dérobées » ?</h2>
<p>En 10 ans, le niveau de sécurité a considérablement évolué. Les opérateurs privés multiplient les mesures techniques pour s’assurer d’un niveau de sécurité de plus en plus élevé, avec de <a href="https://security.googleblog.com/2022/12/memory-safe-languages-in-android-13.html">nouveaux langages de programmation</a> par exemple, ou des modes à haut niveau de sécurité, comme le mode <a href="https://support.apple.com/en-us/105120">« lockdown » sur les iPhones</a>, qui désactivent de nombreuses fonctionnalités, et réduisent donc la <a href="https://doi.org/10.1109/TSE.2010.60">« surface d’attaque »</a>.</p>
<p>Pourtant, il est impossible de proposer des systèmes complexes et sûrs à 100 %, notamment parce que le facteur humain existera toujours. Dans certains cas, le téléphone peut être compromis de manière complètement transparente pour l’utilisateur, c’est une attaque « zéro clic ». Dans d’autres, l’intervention de l’utilisateur reste nécessaire : cliquer sur un lien ou ouvrir une pièce jointe est considérée comme une attaque « un clic ». En tout état de cause, la <a href="https://doi.org/10.1145/3469886">ruse</a>, la contrainte physique, psychologique ou <a href="https://www.courdecassation.fr/toutes-les-actualites/2022/11/07/code-de-deverrouillage-dun-ecran-de-telephone-et-cryptologie">juridique</a> reste bien souvent un moyen efficace et rapide d’accéder aux données.</p>
<figure class="align-center zoomable">
<a href="https://images.theconversation.com/files/568574/original/file-20240110-19-bvuj4z.png?ixlib=rb-1.1.0&q=45&auto=format&w=1000&fit=clip"><img alt="illustration humoristique montrant ce qui se passe dans l’imagination d’un geek et ce qui se passe en vrai" src="https://images.theconversation.com/files/568574/original/file-20240110-19-bvuj4z.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/568574/original/file-20240110-19-bvuj4z.png?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=364&fit=crop&dpr=1 600w, https://images.theconversation.com/files/568574/original/file-20240110-19-bvuj4z.png?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=364&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/568574/original/file-20240110-19-bvuj4z.png?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=364&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/568574/original/file-20240110-19-bvuj4z.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=457&fit=crop&dpr=1 754w, https://images.theconversation.com/files/568574/original/file-20240110-19-bvuj4z.png?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=457&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/568574/original/file-20240110-19-bvuj4z.png?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=457&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px"></a>
<figcaption>
<span class="caption">Les faiblesses humaines représentent parfois le maillon faible le plus facile à exploiter dans une cyberattaque.</span>
<span class="attribution"><a class="source" href="https://xkcd.com/538">xkcd</a>, <a class="license" href="http://creativecommons.org/licenses/by-nc/4.0/">CC BY-NC</a></span>
</figcaption>
</figure>
<p>Les difficultés croissantes à pénétrer les smartphones poussent les services de police, notamment par la voix de leur <a href="https://www.lemonde.fr/pixels/article/2023/10/20/casser-le-chiffrement-des-messageries-un-serpent-de-mer-politique-inapplicable_6195665_4408996.html">ministre</a> en octobre 2023, à demander régulièrement la mise en place de « portes dérobées » (ou <a href="https://inria.hal.science/hal-01889981/document">« backdoors »</a>) qui permettent de donner un accès privilégié aux téléphones.</p>
<p>Ainsi, dans les années 90, la NSA souhaitait imposer aux fabricants et opérateurs de télécommunication une puce de chiffrement, le <a href="https://en.wikipedia.org/wiki/Clipper_chip">« Clipper Chip »</a>, qui incluait une telle porte dérobée permettant aux services de renseignement de déchiffrer les communications.</p>
<p>Dans la même veine, les forces de police contactent parfois les fabricants pour qu’ils leur donnent un accès à l’équipement, ce qui occasionne des tensions avec les opérateurs privés. En 2019, <a href="https://www.lemonde.fr/economie/article/2020/01/17/deverrouillage-des-telephones-la-justice-americaine-relance-son-offensive-contre-apple_6026191_3234.html">Apple avait refusé un tel accès au FBI</a>, qui avait fini par utiliser une attaque matérielle sur le téléphone en question.</p>
<p>Plus récemment, en novembre 2023, de nombreux chercheurs s’opposaient à un article du règlement européen eIDAS qui forcerait les navigateurs à <a href="https://www.lemonde.fr/pixels/article/2023/11/02/inquietudes-autour-d-un-reglement-europeen-sur-la-securite-des-navigateurs-web_6197816_4408996.html">inclure des certificats imposés par les gouvernements</a> européens. De tels certificats permettraient d’intercepter les communications sécurisées (HTTPS) des citoyens, sans que les éditeurs de navigateurs ne puissent révoquer ces certificats s’ils étaient utilisés de manière abusive.</p>
<p>Nous pensons que réduire la sécurité des systèmes en y introduisant des portes dérobées nuit à la sécurité de tous. Au contraire, augmenter la sécurité des smartphones protège les citoyens, en particulier dans les pays où les libertés individuelles sont contestées.</p>
<p>Si la <a href="https://www.aclu.org/news/national-security/the-privacy-lesson-of-9-11-mass-surveillance-is-not-the-way-forward">surveillance de masse</a> et l’insertion de <a href="https://www.aclu.org/news/privacy-technology/7-reasons-government-backdoor-iphone-would-be-catastrophic">backdoors</a> dans les produits sont un danger pour la démocratie, est-ce qu’exploiter des vulnérabilités existantes serait un moyen plus « démocratique » de collecte des informations à des fins judiciaires ? En effet, ces techniques sont nécessairement plus ciblées, leur coût élevé… et si ces failles sont exploitées massivement elles sont rapidement détectées et corrigées. Avec la constante augmentation de la sécurité des téléphones, jusqu’à quand cela sera-t-il économiquement possible pour les services de police et judiciaires ?</p>
<p>En effet, bien que l’élimination de toutes les vulnérabilités soit sans doute illusoire, est-ce que le coût de leur découverte et de leur <a href="https://www.cpomagazine.com/cyber-security/russian-firm-looks-to-corner-the-market-on-mobile-zero-day-exploits-with-standing-offer-of-up-to-20-million/">exploitation devient exorbitant</a> ou bien est-ce que l’évolution des techniques de <a href="https://www.mandiant.com/resources/blog/time-to-exploit-trends-2021-2022">découverte de vulnérabilités permettra de réduire leur cout</a> ?</p>
<hr>
<p><em>Le PEPR Cybersécurité et son projet <a href="https://www.pepr-cybersecurite.fr/projet/rev/">REV</a> (ANR-22-PECY-0009) sont soutenus par l’Agence nationale de la recherche (ANR), qui finance en France la recherche sur projets. Elle a pour mission de soutenir et de promouvoir le développement de recherches fondamentales et finalisées dans toutes les disciplines, et de renforcer le dialogue entre science et société. Pour en savoir plus, consultez le site de l’<a href="https://anr.fr/">ANR</a>.</em></p><img src="https://counter.theconversation.com/content/220236/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Aurélien Francillon a reçu des financements de l'ANR, la commission Européenne, l'US AIR Force Research Labs, Siemens, Amadeus, SAP, Google.</span></em></p><p class="fine-print"><em><span>Noémie Véron a reçu des financements de l'ANR. </span></em></p>Il est possible d’accéder à distance aux informations d’un téléphone via des « portes dérobées », mais c’est légal dans des conditions bien spécifiques – et débattues.Aurélien Francillon, Professeur en sécurité informatique, EURECOM, Institut Mines-Télécom (IMT)Noémie Véron, Maître de conférences en droit public, Université de LilleLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/2154892023-11-28T17:18:13Z2023-11-28T17:18:13ZRançongiciel, une plongée dans le monde de la cybercriminalité<figure><img src="https://images.theconversation.com/files/562106/original/file-20231128-21-99wzmm.jpg?ixlib=rb-1.1.0&rect=21%2C110%2C2025%2C2037&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Les cybercriminels agissent en bandes très organisées, et surtout très modulables.</span> <span class="attribution"><a class="source" href="https://unsplash.com/fr/photos/un-homme-et-une-femme-sembrassent-sur-une-plage-avec-une-ville-en-arriere-plan-i31k6Ts2ShA">Dan Asaki, Unsplash</a>, <a class="license" href="http://creativecommons.org/licenses/by/4.0/">CC BY</a></span></figcaption></figure><p>Europol vient d’<a href="https://www.lemonde.fr/pixels/article/2023/11/28/demantelement-d-un-important-groupe-de-rancongiciels-en-ukraine_6202722_4408996.html">annoncer le démantèlement d’un groupe de rançongiciels en Ukraine</a>. Dans leur forme la plus basique, ces cyberattaques bloquent les systèmes informatiques et exfiltrent les données de la victime, promettant de les restituer contre rançon.</p>
<p>Ainsi, en août 2022, une cyberattaque attribuée au rançongiciel LockBit a <a href="https://www.cert.ssi.gouv.fr/cti/CERTFR-2023-CTI-002/">paralysé le centre hospitalier sud-francilien</a> en exfiltrant 11 Gigaoctets de données de patients et d’employés. L’hôpital a dû fonctionner en « mode dégradé » pendant plusieurs mois, avec les dossiers médicaux inaccessibles et des appareils de soin inutilisables. En juillet 2023, c’est le port de Nagoya, l’un des plus importants du Japon, qui a été obligé de s’arrêter pendant deux jours à cause d’un rançongiciel.</p>
<p>De l’exfiltration des données à leur revente sur des marchés illicites et aux menaces de rendre publiques les informations volées, jusqu’au fonctionnement très altéré des organisations victimes des attaques, la réalité du terrain est brutale, purement criminelle et vise sans discernement les particuliers, les hôpitaux, les écoles et toutes les organisations et entreprises vulnérables.</p>
<p>Les organisations cybercriminelles sont aujourd’hui bien organisées et leurs façons de procéder évoluent pour plus d’efficacité : l’économie et l’écosystème souterrains à l’origine de ces cyberattaques sont très modulables et se sont même « uberisé », ce qui les rend résilients aux démantèlements et actions en justice.</p>
<p>C’est une plongée dans ce monde de la cyberextorsion que nous vous proposons ici.</p>
<figure class="align-center zoomable">
<a href="https://images.theconversation.com/files/559043/original/file-20231113-21-jkohlm.png?ixlib=rb-1.1.0&q=45&auto=format&w=1000&fit=clip"><img alt="schéma du mode opératoire utilisé par des cybercriminels" src="https://images.theconversation.com/files/559043/original/file-20231113-21-jkohlm.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/559043/original/file-20231113-21-jkohlm.png?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=366&fit=crop&dpr=1 600w, https://images.theconversation.com/files/559043/original/file-20231113-21-jkohlm.png?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=366&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/559043/original/file-20231113-21-jkohlm.png?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=366&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/559043/original/file-20231113-21-jkohlm.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=459&fit=crop&dpr=1 754w, https://images.theconversation.com/files/559043/original/file-20231113-21-jkohlm.png?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=459&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/559043/original/file-20231113-21-jkohlm.png?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=459&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px"></a>
<figcaption>
<span class="caption">Le mode opératoire des cybercriminels utilisant des rançongiciels est en constante évolution.</span>
<span class="attribution"><span class="source">Jean-Yves Marion</span>, <span class="license">Fourni par l'auteur</span></span>
</figcaption>
</figure>
<h2>L’extorsion cyber en constante évolution</h2>
<p>Quand on parle de rançongiciel, on pense à un programme malveillant qui va chiffrer (crypter) les données d’un ordinateur et demander une rançon pour rendre ces données. Par exemple, le <a href="https://www.bbc.com/news/world-europe-39907965">rançongiciel Wannacry</a>, qualifié de « sans précédent » par Europol, avait compromis environ 5 millions d’appareils en 2017, après avoir exploité une vulnérabilité pour se propager automatiquement.</p>
<p>Aujourd’hui, cette notion a évolué : les rançongiciels sont opérés par des humains qui explorent l’ensemble du système informatique compromis. Les attaques peuvent se déployer sur plusieurs mois, tenir compte des systèmes attaqués et « avancer » à l’intérieur du réseau informatique. Les données sensibles et d’autres informations peuvent être exfiltrées et stockées sur des serveurs contrôlés par les cybercriminels.</p>
<p>Le groupe cybercriminel Royal a par exemple publié en mai 2023 des informations de la ville de Dallas, y compris des <a href="https://www.cbsnews.com/texas/news/royal-ransomware-group-threatens-release-sensitive-information-dallas/">informations confidentielles sur la police et sur des affaires pénales</a>.</p>
<p>De fait, des données partiellement rendues publiques permettent déjà de faire pression sur la victime, et l’<a href="https://www.emsisoft.com/en/blog/44123/unpacking-the-moveit-breach-statistics-and-analysis/">exfiltration suffit à demander une rançon</a>. Les données peuvent aussi être <a href="https://theconversation.com/darknet-markets-generate-millions-in-revenue-selling-stolen-personal-data-supply-chain-study-finds-193506">revendues</a> à un tiers.</p>
<p>Les attaquants peuvent aussi procéder au chiffrement des données sur les serveurs de leur propriétaire. Ce mécanisme est dit de « double extorsion » : exfiltration et chiffrement.</p>
<p>Enfin, le harcèlement sur la victime peut aller jusqu’à une attaque par <a href="https://theconversation.com/quand-internet-ne-vous-rend-plus-service-87125">« déni de service (DDOS) »</a>, qui rendent les services web de la victime inaccessibles. On parle alors de « triple extorsion ».</p>
<p>Le gain financier est le principal moteur des campagnes de rançongiciels, et en fait il faudrait plutôt parler aujourd’hui d’« extortion-wares », qui mobilisent toute une économie souterraine.</p>
<figure class="align-center zoomable">
<a href="https://images.theconversation.com/files/559044/original/file-20231113-23-32a8fq.png?ixlib=rb-1.1.0&q=45&auto=format&w=1000&fit=clip"><img alt="schéma de l’écosystème des rançongiciels" src="https://images.theconversation.com/files/559044/original/file-20231113-23-32a8fq.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/559044/original/file-20231113-23-32a8fq.png?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=489&fit=crop&dpr=1 600w, https://images.theconversation.com/files/559044/original/file-20231113-23-32a8fq.png?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=489&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/559044/original/file-20231113-23-32a8fq.png?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=489&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/559044/original/file-20231113-23-32a8fq.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=614&fit=crop&dpr=1 754w, https://images.theconversation.com/files/559044/original/file-20231113-23-32a8fq.png?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=614&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/559044/original/file-20231113-23-32a8fq.png?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=614&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px"></a>
<figcaption>
<span class="caption">L’écosystème des rançongiciels s’est ubérisé, avec des services disponibles, dont des fournisseurs de logiciels d’attaques ainsi « facilitées », qui permettent à de la main-d’œuvre relativement peu qualifiée en informatique, les « affiliés », de sous-traiter les attaques des commanditaires.</span>
<span class="attribution"><span class="source">Jean-Yves Marion</span>, <span class="license">Fourni par l'auteur</span></span>
</figcaption>
</figure>
<h2>Un écosystème souterrain</h2>
<p>Les organisations souterraines responsables de ces cyberextorsions ont gagné en maturité. Le <a href="https://www.europol.europa.eu/publication-events/main-reports/internet-organised-crime-assessment-iocta-2023">modèle <em>Ransomware as a Service</em> (RaaS) s’est imposé comme à la fois la structure principale d’organisation et comme modèle économique</a>.</p>
<p>Le RaaS est un ensemble d’acteurs qui monnayent des infrastructures, des services et des savoir-faire à leurs « affiliés » : c’est ainsi que ceux-ci disposent des moyens technologiques et humains pour réaliser concrètement les cyberattaques par rançongiciel.</p>
<p>Nos connaissances sur ce système cybercriminel proviennent d’interviews et des fuites d’information. Les <a href="https://www.wired.com/story/conti-leaks-ransomware-work-life/">« ContiLeaks » en particulier furent le fait de disputes entre les acteurs</a>. Pour certaines des fuites documentées sur ContiLeaks, les fuites émanent plus précisément de désaccords subséquents à l’invasion de l’Ukraine.</p>
<h2>Le monde de la cybercriminalité s’est ubérisé</h2>
<p>Dans ce modèle économique du <em>Ransomware as a Service</em>, le recrutement d’« affiliés » est essentiel : ce sont eux qui réalisent les cyberattaques grâce à un certain nombre d’outils et de panneaux de contrôle fournis par l’organisation cybercriminelle à l’initiative de l’attaque. Ces organisations sont assez disparates : il existe à la fois des groupes d’acteurs et des acteurs isolés. Dans tous les cas, ces organisations sont fragmentées – ce qui, on le verra par la suite, leur permet de se reconfigurer, en cas de démantèlement notamment.</p>
<p>Ce soutien « technique » permet de recruter des exécutants dont le niveau technique n’est pas forcément élevé, car ils bénéficient d’outils relativement faciles à mettre en œuvre. Ironiquement d’ailleurs, un groupe se nomme « Read the Manual ».</p>
<p>Autrement dit, le monde de la cybercriminalité s’est, lui aussi, ubérisé. Les profits sont partagés entre les commanditaires et les affiliés (environ <a href="https://www.theregister.com/2023/05/17/ransomware_affiliates_money/">70 % du paiement</a> de la victime est reversé à l’affilié).</p>
<h2>Ventes d’« accès » : comment pénétrer chez la victime</h2>
<p>Un des services les plus importants est celui des fournisseurs d’accès (<em>Internet Access Brokers</em>) qui vendent notamment des mots de passe et des cookies provenant de campagnes précédentes, soit de phishing qui cherche à manipuler une victime pour obtenir un mot de passe, soit d’infostealers qui sont des logiciels spécialisés dans le vol d’information, ou enfin à la suite d’une exfiltration de données par une précédente attaque d’un rançongiciel.</p>
<p>En 2021, l’attaque de Colonial Pipeline a forcé l’arrêt de toutes les opérations d’un pipeline qui transporte environ 400 millions de litres d’essence par jour, ce qui a amené le ministère américain de la Justice à <a href="https://www.reuters.com/technology/exclusive-us-give-ransomware-hacks-similar-priority-terrorism-official-says-2021-06-03/">élever les attaques par rançongiciel au niveau du terrorisme</a>. En effet, selon l’<a href="https://www.techtarget.com/searchsecurity/news/252502216/Mandiant-Compromised-Colonial-Pipeline-password-was-reused">audition de la commission de la sécurité intérieure de la Chambre des représentants des États-Unis</a>, l’accès initial au réseau s’est fait à partir d’un mot de passe réutilisé.</p>
<p>Ce type de « vente d’accès » se fait dans des marchés souterrains et des forums, comme RaidForums.</p>
<h2>Blanchiment des rançons : démêler les flux de cryptomonnaies</h2>
<p>Pour faire fonctionner l’écosystème, un autre service important est celui du blanchiment des rançons (en cryptomonnaies, souvent en Bitcoin). Pour cela, des outils informatiques sont utilisés : des « mixeurs » pour rendre les transactions financières intraçables, et des « échangeurs » pour échanger les cryptoactifs.</p>
<p>Afin de démanteler les services de blanchiment et d’arrêter les cybercriminels, les forces de l’ordre essaient de surveiller ces échanges de cryptomonnaies. C’est ainsi qu’une action internationale a permis de <a href="https://www.reuters.com/business/finance/us-treasury-dept-says-has-identified-bitzlato-ltd-money-laundering-concern-2023-01-18/.">démanteler la plate-forme d’échange de cryptoactifs Bitzlato</a>.</p>
<p>Une des limitations à ces actions internationales est que les organisations RaaS s’appuient le plus souvent sur des infrastructures hébergées dans des pays qui ne collaborent pas, ou peu, avec les forces de l’ordre européennes et américaines.</p>
<h2>Une économie souterraine résiliente</h2>
<p>Le <a href="https://www.enisa.europa.eu/publications/enisa-threat-landscape-2022">modèle RaaS permet de réduire les risques pour les cybercriminels</a>, comme l’observe le rapport 2022 de l’agence européenne pour la cybersécurité (Enisa). En effet, l’arrestation d’un seul cybercriminel n’est pas suffisante pour stopper les méfaits d’un rançongiciel : les groupes comme Conti se fragmentent et se recomposent en différents autres groupes.</p>
<figure class="align-center zoomable">
<a href="https://images.theconversation.com/files/559042/original/file-20231113-16-nyo2lc.png?ixlib=rb-1.1.0&q=45&auto=format&w=1000&fit=clip"><img alt="frise chronologiques d’activités cybercriminelles" src="https://images.theconversation.com/files/559042/original/file-20231113-16-nyo2lc.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/559042/original/file-20231113-16-nyo2lc.png?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=337&fit=crop&dpr=1 600w, https://images.theconversation.com/files/559042/original/file-20231113-16-nyo2lc.png?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=337&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/559042/original/file-20231113-16-nyo2lc.png?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=337&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/559042/original/file-20231113-16-nyo2lc.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=424&fit=crop&dpr=1 754w, https://images.theconversation.com/files/559042/original/file-20231113-16-nyo2lc.png?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=424&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/559042/original/file-20231113-16-nyo2lc.png?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=424&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px"></a>
<figcaption>
<span class="caption">Synthèse chronologique des activités connues du groupe cybercriminel FIN12, illustrant le fait que ce type de gang se désagrège et se reconstitue, ce qui démontre leur adaptabilité et leur résilience.</span>
<span class="attribution"><a class="source" href="https://www.cert.ssi.gouv.fr/uploads/CERTFR-2023-CTI-007.pdf">Agence nationale de la sécurité des systèmes d’information (ANSSI) -- septembre 2023. Licence ouverte (Étalab -- v2.0)</a></span>
</figcaption>
</figure>
<p>Aussi efficaces soient-elles, les actions de justice internationale n’ont parfois qu’un effet limité. Par exemple, le <a href="https://www.europol.europa.eu/media-press/newsroom/news/world%E2%80%99s-most-dangerous-malware-emotet-disrupted-through-global-action">« world’s most dangerous malware »</a>, appelé Emotet, a été démantelé en janvier 2021… pour reprendre du service un an plus tard.</p>
<p>Ce constat peut sembler pessimiste mais ne doit pas masquer que les actions de justice secouent de fait le monde cybercriminel, comme l’ont montré l’<a href="https://www.europol.europa.eu/media-press/newsroom/news/cybercriminals-stung-hive-infrastructure-shut-down">opération offensive contre le rançongiciel Hive</a> ou le <a href="https://www.europol.europa.eu/media-press/newsroom/news/ragnar-locker-ransomware-gang-taken-down-international-police-swoop">démantèlement de Ragnar Locker</a> (suite notamment à une arrestation à Paris).</p>
<p>D’un point de vue économique, le modèle RaaS optimise le retour sur investissement (ROI). L’économie souterraine RaaS prospère. Elle est basée sur des <a href="https://theconversation.com/darknet-markets-generate-millions-in-revenue-selling-stolen-personal-data-supply-chain-study-finds-193506">marchés illicites</a> dans le dark web. En moyenne, un ransomware est vendu pour 56 dollars américains selon <a href="https://cybersecurity.att.com/blogs/security-essentials/an-assessment-of-ransomware-distribution-on-darknet-markets">l’étude menée entre novembre 2022 et février 2023</a>.</p>
<p>Les marchés souterrains sont très volatils et fragmentés. Cette fragmentation permet aux cybercriminels de poursuivre leurs activités commerciales, même après une saisie par les forces de l’ordre comme celles de <a href="https://www.lemonde.fr/pixels/article/2021/01/12/les-autorites-europeennes-demantelent-darkmarket-un-important-site-de-vente-en-ligne-du-marche-noir_6065989_4408996.html">DarkMarket</a> et de <a href="https://www.lemonde.fr/pixels/article/2022/04/05/hydra-market-plate-forme-de-vente-sur-le-dark-net-demantelee-par-la-justice-allemande_6120684_4408996.html">HydraMarket</a>.</p>
<h2>Cyberattaques et conflits armés : la naissance des « cyber-mercenaires » ?</h2>
<p>Des organisations clandestines prennent forme, disparaissent et renaissent, parfois instrumentalisées par les États, comme l’a montré le <a href="https://www.mandiant.com/resources/insights/ukraine-crisis-resource-center">conflit ukrainien</a>. Rien d’étonnant à cela, puisque les moyens d’une cyberattaque sont quasiment les mêmes, que l’objectif soit financier, d’espionnage ou de destruction.</p>
<p>Déjà en 2017, et malgré sa ressemblance avec le rançongiciel WannaCry déjà bien connu, les actions du <a href="https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/">malware NoPetya</a> ont été destructrices, causant environ 10 milliards de dollars de dommages totaux, et préfigurant les cyberattaques menées pendant le <a href="https://theconversation.com/russie-ukraine-la-cyberguerre-est-elle-declaree-177036">conflit ukrainien à l’aide d’armes avec les « wipers »</a>, qui effacent les informations de systèmes compromis.</p>
<p>Les tensions géopolitiques pourraient encourager les acteurs à l’origine des rançongiciels à poursuivre les cyberconflits en cours : en adaptant légèrement leurs comportements, ils peuvent facilement devenir des sources d’espionnage, comme des « cyber-mercenaires ».</p>
<hr>
<p><em>Le <a href="https://www.pepr-cybersecurite.fr/">PEPR Cybersécurité</a> et le projet ANR-22-PECY-0007 sont opérés par l’Agence nationale de la recherche (ANR), qui finance en France la recherche sur projets. Elle a pour mission de soutenir et de promouvoir le développement de recherches fondamentales et finalisées dans toutes les disciplines, et de renforcer le dialogue entre science et société. Pour en savoir plus, consultez le site de l’<a href="https://anr.fr/">ANR</a>.</em></p><img src="https://counter.theconversation.com/content/215489/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Jean-Yves Marion a reçu des financements de la start-uyp Cyber-Detect. Il conseille et détient des parts dans Cyber-Detect. </span></em></p>Les cybercriminels sont très actifs, et leur façon de procéder évolue pour être plus résilients face aux démantèlements.Jean-Yves Marion, Professeur d'informatique et directeur du Loria, CNRS, Inria, Université de LorraineLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/2117612023-09-03T14:16:55Z2023-09-03T14:16:55ZComment fonctionne le brouillage GPS ?<p>Pour la majorité d’entre nous qui utilise un GPS – <a href="https://fr.wikipedia.org/wiki/Global_Positioning_System">Global Positioning System</a> - pour se guider au quotidien ou sur la route des vacances, quelle n’est pas la catastrophe quand celui-ci ne fonctionne pas ! Le GPS est aussi très utilisé dans les cadres professionnels et scientifiques, dans le secteur des transports mais aussi en génie civil, pour les services géolocalisés, la topographie, la géodésie (qui est l’étude de la forme de la Terre)… sans oublier les applications militaires qui sont <a href="https://www.techniques-ingenieur.fr/base-documentaire/mesures-analyses-th1/mesures-tridimensionnelles-et-etats-de-surface-42409210/du-gps-historique-aux-gnss-utilisation-pour-le-positionnement-de-haute-precision-r1384/">à l’origine même du système GPS</a>.</p>
<p>Le GPS s’appuie physiquement sur des signaux radio à des fréquences bien particulières. Si pour une raison ou une autre, ceux-ci sont difficilement accessibles, la géolocalisation est perturbée, voire impossible. Nous allons nous intéresser ici à une raison particulière : le <a href="https://www.anfr.fr/controler/traitement-des-brouillages/les-enquetes-de-lanfr/livret">brouillage</a>, qui peut-être volontaire ou involontaire et se distingue notamment du <a href="https://meta-defense.fr/2023/05/31/4-alternatives-gps-developpent-armees/">« leurre » (<em>spoofer</em> en anglais)</a>.</p>
<p>Le brouillage du GPS entraîne un « déni de service », c’est-à-dire qu’on se trouve incapable de calculer sa position. Celui-ci peut être critique car beaucoup d’applications sensibles l’utilisent : l’aviation civile, la défense, la protection civile notamment. Un brouillage volontaire peut ainsi faire partie d’une cyberattaque, notamment <a href="https://www.rtbf.be/article/guerre-en-ukraine-le-signal-gps-brouille-en-russie-notamment-apres-les-attaques-de-drones-au-kremlin-11203410">dans le cadre de conflits armés comme c’est le cas en Ukraine par exemple</a>.</p>
<p>Pour comprendre de quoi il s’agit, commençons par expliquer le principe du GPS.</p>
<h2>Fonctionnement : le « GPS » est un récepteur</h2>
<p>On appelle communément « GPS » la fonction qui fournit des informations de « géolocalisation », qu’il faut comprendre comme la localisation physique d’un terminal au sens géographique du terme. Son but : obtenir des grandeurs mathématiques, qu’on appelle coordonnées, qui permettent de placer un objet dans un système de représentation comme une carte. En plus de la géolocalisation, le GPS permet une synchronisation précise de l’horloge du récepteur à quelques dizaines de nanosecondes du temps universel. Il est par exemple utilisé pour synchroniser les réseaux mobiles ou les transactions bancaires ou les opérations boursières. Dans ce dernier cas, on peut horodater l’instant de la vente d’un titre et donc se référer à son cours sur le marché à mieux que la seconde près.</p>
<p>On désigne souvent l’objet qui nous sert de GPS par l’acronyme du système, GPS. En toute rigueur, on devrait parler de « récepteur GNSS ». L’acronyme GNSS, pour <em>Global Navigation Satellites Systems</em>, désigne l’ensemble des systèmes permettant la géolocalisation de manière globale : le GPS américain, le Galileo européen, le GLONASS russe et le Beidou chinois. Ainsi, si vous êtes en Europe, vous devriez dire : « J’arrive dans 5 minutes, mon Galileo me dit que je suis près de chez toi ».</p>
<figure class="align-center ">
<img alt="vue d’artiste de la constellation de satellites Galileo autour de la terre" src="https://images.theconversation.com/files/543206/original/file-20230817-29-frdhwo.jpeg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/543206/original/file-20230817-29-frdhwo.jpeg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=600&fit=crop&dpr=1 600w, https://images.theconversation.com/files/543206/original/file-20230817-29-frdhwo.jpeg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=600&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/543206/original/file-20230817-29-frdhwo.jpeg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=600&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/543206/original/file-20230817-29-frdhwo.jpeg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=754&fit=crop&dpr=1 754w, https://images.theconversation.com/files/543206/original/file-20230817-29-frdhwo.jpeg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=754&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/543206/original/file-20230817-29-frdhwo.jpeg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=754&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">La constellation Galileo assure le service de GPS européen et doit comprendre 30 satellites dont 6 de rechange. Les satellites continuent d’émettre indépendamment des brouilleurs, qui perturbent les détecteurs.</span>
<span class="attribution"><a class="source" href="https://www.esa.int/ESA_Multimedia/Images/2014/07/Galileo_constellation">ESA-P. Carril</a>, <a class="license" href="http://creativecommons.org/licenses/by/4.0/">CC BY</a></span>
</figcaption>
</figure>
<p>En pratique, les satellites envoient des signaux radio vers la Terre. Ceux-ci sont reçus grâce à une antenne intégrée au récepteur (le smartphone par exemple) puis traités de manière à permettre de calculer les coordonnées géographiques de l’antenne. Il est important de noter qu’il n’y a pas de retour du récepteur vers le satellite : la liaison est uniquement descendante. Les « GNSS » ne sont donc pas des systèmes de pistage, mais bien de calcul de la position.</p>
<p>Ce qui mène à une information importante pour le sujet qui nous intéresse : la perturbation du GPS concerne la réception du signal au niveau du terminal sur Terre. On peut brouiller tous les récepteurs sur Terre, le réseau de satellites continuera à envoyer ses signaux comme si de rien n’était.</p>
<h2>Le brouillage des signaux GNSS</h2>
<p>Le brouillage d’un système est une action, pas nécessairement volontaire, consistant à émettre un signal sur la bande de fréquences du système qui va s’ajouter à celui du système, et perturber son fonctionnement. De façon commune, on appelle ce signal supplémentaire un « bruit » qui s’ajoute au bruit naturel qui correspond à la somme des signaux de toutes les sources radio existantes, provenant de la Terre, du Soleil, de l’espace et même de l’activité humaine. Pour se représenter ce qu’est le bruit en question, l’analogie la plus simple est celle du langage courant.</p>
<p>Imaginez que vous êtes à la table d’un restaurant en pleine conversation avec une personne en face de vous. Vous comprenez et entendez ce que dit votre interlocuteur. Vous entendez les autres conversations mais vous ne les comprenez pas : c’est du bruit naturel, qui s’ajoute aux bruits ambiants comme ceux de la circulation par exemple… Une personne à une table voisine se met à parler très fort, au point que vous ne comprenez plus ce que dit la personne en face de vous. Vous avez été brouillé !</p>
<p>Pour le GPS, la nature des ondes change mais le principe est le même : tout ce qui est émis sur la bande de fréquences et qui ne vient pas des satellites du système agit comme un brouillage.</p>
<p>De plus, les signaux qui proviennent des satellites ont la particularité d’être très faibles en puissance (quelques dixièmes de femtowatt en réception). Ils sont donc très sensibles au brouillage. Un brouilleur situé à plusieurs kilomètres émettant quelques milliwatts, soit l’ordre de grandeur de la puissance d’un émetteur wifi, suffit. Pour filer la comparaison précédente, imaginez que votre interlocuteur de tout à l’heure ait une petite voix à peine audible, le moindre bruit alentour vous empêchera de le comprendre.</p>
<h2>Brouillages volontaires et involontaires</h2>
<p>Un brouillage involontaire est souvent lié à un dispositif défectueux. Il peut s’agir d’un appareil de télécommunication, comme un routeur wifi ou une antenne relais, qui émet hors de sa fréquence de fonctionnement dans une bande GNSS. Cela peut concerner également des appareils électriques dont la compatibilité électromagnétique (CEM) est mauvaise parce qu’ils ont été endommagés ou qu’ils ne respectent pas les normes de fabrication ou d’utilisation prescrites, par exemple les téléphones mobiles et les fours à micro-ondes. Pour tous ces cas, on dirait dans le langage courant qu’ils sont « mal isolés ».</p>
<p>Le brouillage volontaire peut s’assimiler à une cyberattaque. Il peut être rencontré dans le cadre de la guerre électronique, dans le cadre d’un conflit comme en Ukraine où les <a href="https://www.bbc.com/afrique/monde-66422787">brouillages mutuels sont avérés</a>. L’objectif est alors de perturber l’organisation tactique de l’ennemi en le privant d’information sur les positions de son déploiement ou contrer ses armes guidées.</p>
<p>Mais on le rencontre aussi dans les applications civiles. La plus commune est un <a href="https://www.francelive.fr/article/france-live/le-brouilleur-gps-du-chauffeur-routier-donnait-le-tournis-aux-avions-de-laeroport-8107916/">petit appareil qu’on peut brancher sur un allume-cigare de voiture qui perturbe la réception de tous les récepteurs environnants, par exemple ceux des avions</a>. On trouve cet usage chez les employés des sociétés de transports qui désirent mettre en échec le système de traçage dont est équipé leur véhicule pour que leur employeur ne puisse pas suivre leurs déplacements.</p>
<h2>Comment protéger son GPS du brouillage ?</h2>
<p>Il y a peu de méthodes simples pour se protéger d’un brouillage. Les récepteurs militaires sont dotés de certaines techniques qui permettent d’augmenter la puissance nécessaire pour les brouiller.</p>
<p>Pour certaines applications ayant des configurations (antennes, source d’énergie disponible) le permettant, comme les véhicules ou les avions, outre des traitements spécifiques appliqués aux signaux, il existe des <a href="https://connect.ed-diamond.com/MISC/misc-110/anti-leurrage-et-anti-brouillage-de-gps-par-reseau-d-antennes">antennes « intelligentes » qui atténuent le signal dans la direction de réception du brouilleur</a>, réduisant son efficacité.</p>
<p>Cela dit, toutes les applications, qu’elles soient militaires ou civiles, ne sont pas forcément équipées de récepteurs résistants. Les radios des soldats par exemple ont des <a href="https://www.thalesgroup.com/fr/global/presence/europe/united-kingdom/defence/land-systems/soldier-systems/squadnet-soldier-radio">puces GNSS classiques</a>. Les soldats russes eux-mêmes utilisent le GPS <a href="https://www.lejdd.fr/International/guerre-en-ukraine-apres-le-gaz-coupe-par-la-russie-le-gps-est-il-menace-4149666">malgré son brouillage régulier en Ukraine</a>. On a même retrouvé des <a href="https://www.youtube.com/watch?v=i0fSk9GgXvk">récepteurs basiques dans des cockpits d’avions de combat</a>. Mais cela ne doit pas laisser croire que cette situation est réservée à ce pays.</p>
<p>Pour les récepteurs grand public ou industriels, lorsque l’on perd le signal dans des conditions de réception a priori sans problème, il n’y a souvent pas d’autres choix que de s’éloigner de la zone et de le <a href="https://www.anfr.fr/controler/traitement-des-brouillages/les-enquetes-de-lanfr/livret">signaler à l’ANFR, l’Agence Nationale des Fréquences</a>.</p><img src="https://counter.theconversation.com/content/211761/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Alexandre Vervisch Picois ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>La réception des signaux GPS peut être brouillée, volontairement ou involontairement, notamment dans le cadre de conflits armés. Peut-on s’en protéger ?Alexandre Vervisch Picois, Maître de Conférences, spécialiste GNSS et géolocalisation, Télécom SudParis – Institut Mines-TélécomLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/2080712023-07-03T16:58:12Z2023-07-03T16:58:12ZOpération Doppelgänger : quand la désinformation russe vise la France et d’autres pays européens<figure><img src="https://images.theconversation.com/files/534919/original/file-20230629-12044-v0fp6i.jpg?ixlib=rb-1.1.0&rect=0%2C24%2C5472%2C3317&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Des mois durant, des copies de sites de grands médias ou de ministères occidentaux ont été mises en ligne, affichant des contenus visant à faire pencher les internautes dans le sens de la Russie dans sa guerre contre l’Ukraine.
</span> <span class="attribution"><span class="source">Thx4Stock/Shutterstock</span></span></figcaption></figure><p>Mi-juin, le site du ministère français des Affaires étrangères a été victime d’un <a href="https://www.europe1.fr/international/desinformation-doppelganger-loperation-de-destabilisation-numerique-visant-la-france-4188694">« clonage »</a>. Pendant une durée qui n’a pas encore été définie avec exactitude, une partie des internautes croyant se connecter sur le véritable site ont été exposés à des messages présentés comme des communiqués du ministère mais reprenant en réalité la propagande russe sur la guerre qui oppose actuellement Moscou à Kiev.</p>
<p>Les sites de plusieurs médias français – ceux du <em>Monde</em>, de <em>20 Minutes</em>, du <em>Figaro</em> ou encore du <em>Parisien</em> <a href="https://www.huffingtonpost.fr/international/article/guerre-en-ukraine-qu-est-ce-que-l-operation-doppelganger-que-la-russie-a-menee-en-france_219177.html">ont connu le même sort</a>, ainsi qu’un certain nombre de médias allemands, britanniques ou encore italiens. Certains de ces « clones » sont restés actifs durant des semaines.</p>
<p><a href="https://www.cairn.info/revue-herodote-2017-3-page-145.htm">À défaut d’être originale</a>, cette opération, surnommée « Doppelgänger » (mot allemand signifiant « double » ou « sosie »), est notable par son ampleur et par certaines de ses modalités. Identifiée depuis plusieurs mois, elle a fait l’objet d’analyses poussées, <a href="https://www.disinfo.eu/doppelganger/">notamment de la part de l’EU DisinfoLab</a>, l’organe de lutte contre la désinformation de l’UE.</p>
<p>En outre – et ce n’est pas anodin, car il est toujours délicat d’attribuer de tels agissements à des acteurs précis –, le ministère français des Affaires étrangères a cette fois affirmé avec assurance que <a href="https://www.bfmtv.com/international/asie/russie/la-ministre-des-affaires-etrangeres-denonce-une-campagne-de-desinformation-en-provenance-de-russie_AD-202306130560.html">l’attaque a été organisée par les autorités russes</a>.</p>
<h2>Une pratique ancienne, des méthodes nouvelles</h2>
<p>La pratique consistant à réaliser des copies de certains sites, suffisamment fidèles pour que les internautes ne détectent pas l’usurpation d’identité et accordent leur confiance à ces clones malveillants, existe depuis des années sous la dénomination de <a href="https://www.kaspersky.fr/resource-center/definitions/what-is-typosquatting">« typosquatting »</a>. De telles méthodes avaient déjà pu être observées <a href="https://www.lemonde.fr/les-decodeurs/article/2021/05/12/le-site-vite-ma-dose-parasite-par-un-site-vaccinosceptique_6079997_4355770.html">pendant la pandémie de Covid-19</a>, et dès avant l’ère numérique, au travers de la diffusion de contrefaçons de journaux, en particulier durant la guerre froide.</p>
<p>[<em>Plus de 85 000 lecteurs font confiance aux newsletters de The Conversation pour mieux comprendre les grands enjeux du monde</em>. <a href="https://memberservices.theconversation.com/newsletters/?nl=france&region=fr">Abonnez-vous aujourd’hui</a>]</p>
<p>Les premiers sites reconnus comme étant liés à la campagne Doppelgänger sont apparus en juin 2022, pour atteindre quelque 50 contrefaçons répertoriées.</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"1668287423170637824"}"></div></p>
<p>Le seul fait que ces différents sites clonés partagent tous la même thématique – promouvoir la vision russe de la guerre en Ukraine – ne suffit pas à affirmer avec certitude qu’ils sont liés entre eux. En revanche, les éléments fournis par les analyses techniques ont permis de démontrer qu’ils relèvent tous d’une même campagne.</p>
<p>En effet, à l’examen des différents sites, des caractéristiques communes apparaissent. Par exemple, les vidéos accompagnant les articles contrefaits avaient des métadonnées et des formats de nom communs, et étaient hébergées sur les mêmes serveurs. En outre, les liens contenus sur les Doppelgänger renvoyaient tous vers les sites authentiques des médias dont l’identité était contrefaite, afin de rendre les sites clonés plus crédibles.</p>
<figure class="align-center ">
<img alt="" src="https://images.theconversation.com/files/534906/original/file-20230629-27-qsl40m.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/534906/original/file-20230629-27-qsl40m.png?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=368&fit=crop&dpr=1 600w, https://images.theconversation.com/files/534906/original/file-20230629-27-qsl40m.png?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=368&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/534906/original/file-20230629-27-qsl40m.png?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=368&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/534906/original/file-20230629-27-qsl40m.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=463&fit=crop&dpr=1 754w, https://images.theconversation.com/files/534906/original/file-20230629-27-qsl40m.png?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=463&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/534906/original/file-20230629-27-qsl40m.png?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=463&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">Capture d’écran du faux site du Parisien mis en place dans le cadre de l’opération Doppelgänger.</span>
</figcaption>
</figure>
<p>Ajoutons que les sites ont initialement été hébergés sous réseau de diffusion de contenu (Content Delivery Network – CDN). Il s’agit d’un groupe de serveurs répartis dans diverses régions dont la coordination permet d’accélérer la diffusion d’un contenu, mais aussi de mieux résister aux attaques par déni de service (DDOS) qui visent à saturer un serveur jusqu’à rendre un site inaccessible : la multiplication des serveurs rend la surcharge plus difficile à mettre en place. Un autre avantage particulièrement appréciable, en l’espèce, est la multiplication des pistes à suivre pour qui voudra remonter jusqu’à l’origine de l’action.</p>
<p>Les chercheurs de plusieurs organismes parmi lesquels <a href="https://www.qurium.org/alerts/under-the-hood-of-a-doppelganger/">Qurium</a>, ont analysé les domaines de premier niveau (top-level domain -TLD), qui apparaissent à la fin du nom de domaine utilisé par les faux sites : ltd, fun, ws, today, cfd, asia et autres. Ils ont ensuite collecté et analysé les certificats de SSL qui sécurisent la communication entre le navigateur et le site pour constater que la cinquantaine de domaines déployés en quelque dix semaines était exploitée par un petit nombre de sites d’hébergement.</p>
<p>Un point intéressant, tant du point de vue technique que de la stratégie employée, réside dans la géolocalisation et, plus exactement, le géoblocage des internautes. En effet, les clones des journaux allemands (huit des principales agences de presse du pays ont été victimes de cette opération) ne pouvaient être consultés que depuis une adresse IP identifiée en Allemagne. Toute autre localisation dirigeait vers un autre site, totalement décorrélé du Doppelgänger, notamment un site menant vers un conte de Grimm. Il en allait de même pour les clones britanniques, italiens ou français – spécificité qui a rendu l’analyse plus compliquée, montrant une finesse des stratèges ayant mis en œuvre cette opération.</p>
<h2>L’enjeu de la viralité</h2>
<p>L’étude des cookies utilisés par les Doppelgänger a montré qu’ils employaient un logiciel de suivi de flux et de trafic, <a href="https://keitaro.io/en/">Keitaro</a>. Le choix de ce logiciel témoigne de connaissances en marketing et laisse supposer que l’équipe inclut des acteurs familiers des milieux de la publicité. Grâce à ce logiciel, les différents contenus peuvent être suivis comme des campagnes à part entière, laissant supposer que les auteurs des sites ont voulu avoir une vision très précise des performances de ceux-ci (fréquentation, temps passé par les internautes à les consulter, etc.).</p>
<p>L’intégration à l’opération informationnelle de ces pratiques venues du marketing est loin d’être anodine. En effet, l’un des enjeux des opérations d’influence est de générer une viralité suffisante pour atteindre le public le plus large possible. On constate que cet objectif était particulièrement recherché par les auteurs des Doppelgänger. Les articles contrefaits ont ainsi été largement diffusés sur les réseaux sociaux par l’entremise de nombreux comptes, dont une bonne partie était des faux. Une fois utilisés, la plupart de ces comptes ont été abandonnés par leurs propriétaires, rappelant la destruction de « comptes brûlés ».</p>
<p>Pour augmenter la viralité et l’impact d’un contenu contrefait, l’un des moyens les plus efficaces est de parvenir à ce qu’un média le reprenne : il bénéficiera alors d’une légitimité et d’une caisse de résonance nettement supérieures à celles offertes par les seuls réseaux sociaux où ses promoteurs l’afficheront.</p>
<p>Toujours dans cette recherche de viralité, on a pu observer que les auteurs de l’opération ont réalisé une forme d’investissement en achetant des espaces de publicité sur les réseaux sociaux.</p>
<h2>Comment évaluer l’impact de Doppelgänger ?</h2>
<p>Un élément central reste ambigu : la mesure de l’effet de la campagne d’influence. Pour mesurer l’impact d’une opération informationnelle, il faudrait, de fait, disposer d’un point de mesure delta à partir duquel procéder à un comparatif. Or il est difficile de dater avec précision le début d’une opération informationnelle par nature discrète, ce qui permettrait de tenter d’en mesurer les répercussions sur la période suivante. En outre, à supposer que cette condition soit remplie, il faudrait encore pouvoir isoler les variables à l’origine de l’infléchissement des comportements ou des points de vue afin de mesurer l’incidence de l’opération d’influence sur ces modifications.</p>
<figure class="align-center zoomable">
<a href="https://images.theconversation.com/files/534917/original/file-20230629-12044-xe1vkl.jpeg?ixlib=rb-1.1.0&q=45&auto=format&w=1000&fit=clip"><img alt="" src="https://images.theconversation.com/files/534917/original/file-20230629-12044-xe1vkl.jpeg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/534917/original/file-20230629-12044-xe1vkl.jpeg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=439&fit=crop&dpr=1 600w, https://images.theconversation.com/files/534917/original/file-20230629-12044-xe1vkl.jpeg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=439&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/534917/original/file-20230629-12044-xe1vkl.jpeg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=439&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/534917/original/file-20230629-12044-xe1vkl.jpeg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=552&fit=crop&dpr=1 754w, https://images.theconversation.com/files/534917/original/file-20230629-12044-xe1vkl.jpeg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=552&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/534917/original/file-20230629-12044-xe1vkl.jpeg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=552&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px"></a>
<figcaption>
<span class="caption">Capture d’écran du faux site du ministère des Affaires étrangères, où est « annoncée » une nouvelle taxe visant à financer l’effort de guerre ukrainien.</span>
</figcaption>
</figure>
<p>L’appréciation de la portée d’une telle opération reste un point sensible pour les cibles comme pour les attaquants. Si <a href="https://ojs.aaai.org/index.php/ICWSM/article/view/14169">plusieurs recherches</a> ont établi des <a href="https://doi.org/10.1016/j.chb.2015.01.024">liens</a> entre <a href="https://www.cairn.info/revue-internationale-de-psychosociologie-de-gestion-des-comportements-organisationnels-2022-73-page-85.htm">viralité et persuasion</a> et, plus récemment, mis en évidence <a href="https://www.cairn.info/revue-questions-de-management-2021-7-page-24.htm">l’effet de l’enfermement dans des bulles informationnelles</a> la mesure, et plus encore la prévision, demeure un enjeu significatif et un point sensible.</p>
<p>Un point également intéressant tient à la réutilisation en Russie de ces contenus. Certains d’entre eux ont été diffusés par des médias russes, qui les présentaient comme de vraies informations parues sur les sites officiels occidentaux visés, et ont enregistré d’importants taux de visite et de lecture.</p>
<p>En effet, il est nécessaire de garder à l’esprit qu’une campagne informationnelle, si elle a une cible initiale, pourra être récupérée et servir à conforter des rhétoriques locales. De tels effets vont au-delà de ceux initialement escomptés sur des publics étrangers.</p>
<h2>La réaction des Occidentaux et des Russes</h2>
<p>La réaction officielle à l’égard de cette opération d’influence appelle une observation particulière.</p>
<p>En effet, comme pour les attaques cyber sur les systèmes, les opérations informationnelles, particulièrement celles usant de formats numériques, posent un problème quant à leur attribution à un auteur. Si les éléments techniques peuvent être utiles, ils ne suffisent cependant pas à remonter toute la ligne de commandement à l’origine de l’action analysée.</p>
<p>Dans ce cas particulier, si des noms de fichiers étaient en russe, si les fuseaux horaires à partir desquels les auteurs des campagnes de Doppelgänger ont officié correspondaient, notamment, à la région d’Irkoutsk, cela ne suffit pas pour incriminer avec une certitude absolue la Russie, car les hackers auraient parfaitement pu être engagés par un commanditaire privé ou étatique d’un pays tiers.</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"1578648845957070850"}"></div></p>
<p>Si le « qui bono » ainsi que les thématiques retenues pointent vers la Russie, la possibilité pour Moscou d’adopter une position de déni plausible rend ces opérations particulièrement séduisantes, car elles augmentent l’épaisseur du fameux brouillard de la guerre. C’est pour cette raison que les éditeurs de sécurité et les agences nationales restent prudents dans leurs rapports. À défaut de pouvoir prouver à 100 % l’implication directe d’un État, ils préféreront parler, par exemple, d’acteurs sinophones, russophones ou hispanophones.</p>
<p>Dans le cas de Doppelgänger, la ministre française des Affaires étrangères n’a pas pris de précautions de langage. En <a href="https://www.sudouest.fr/international/europe/ukraine/guerre-en-ukraine-des-agissements-indignes-la-france-denonce-une-vaste-campagne-de-desinformation-russe-15556142.php">déclarant</a> que les autorités françaises avaient « mis en évidence l’existence d’une campagne numérique de manipulation de l’information [..] impliquant des acteurs russes et à laquelle des entités étatiques ou affiliées à l’État russe ont participé », l’État français, par la voix de Catherine Colonna, a opté pour une prise de position ferme qui intervient, certes, au lendemain de l’attaque ayant visé le site du ministère, mais aussi au moment où la <a href="https://theconversation.com/contre-offensive-ukrainienne-pourquoi-et-pour-quoi-207557">contre-offensive ukrainienne vient de démarrer</a> et à la veille de la <a href="https://www.nato.int/cps/fr/natohq/news_214116.htm">réunion de l’OTAN des 11-12 juillet</a>, qui débattra largement de la situation ukrainienne et de l’action russe.</p>
<p>Pour autant, la campagne Doppelgänger était à peine annoncée dans les médias grand public que des profils connus, vrais et faux, y ont réagi en mettant en doute la véracité des enquêtes menées et en cherchant à réorienter le débat vers les lignes éditoriales et l’impartialité des journaux occidentaux en général. Cette ligne de défense a notamment été employée par <a href="https://headtopics.com/fr/desinformation-russe-en-france-le-vice-president-de-la-douma-accuse-catherine-colonna-de-mentir-40207613">Piotr Tolstoï</a>, le vice-président de la Douma.</p>
<p>On le voit : si les campagnes informationnelles restent au cœur de l’actualité des conflits, elles peuvent déborder au-delà des États directement impliqués dans la guerre. Si les États occidentaux avaient déjà pris la mesure de leur existence et du danger qu’elles représentent, ils adoptent aujourd’hui, à l’image de la France, une attitude plus claire et moins timide que par le passé en matière d’attribution de ces opérations. Cette évolution fait échos à la ligne adoptée par la lutte informatique d’influence (L2I) <a href="https://www.defense.gouv.fr/ema/actualites/armees-se-dotent-dune-doctrine-militaire-lutte-informatique-dinfluence-l2i">annoncée fin 2021 par Florence Parly, alors ministre des Armées</a>, dont il ressort que la France cherche à mieux comprendre ce nouvel espace de conflictualité et ne s’interdit pas de réaliser elle-même des opérations d’influence numériques, cependant <a href="https://www.linkedin.com/feed/update/urn:li:activity:7079448802348175360/">encadrées par un cadre éthique strict</a>.</p>
<hr>
<figure class="align-right ">
<img alt="" src="https://images.theconversation.com/files/496784/original/file-20221122-12-xtvhsq.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=237&fit=clip" srcset="https://images.theconversation.com/files/496784/original/file-20221122-12-xtvhsq.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=306&fit=crop&dpr=1 600w, https://images.theconversation.com/files/496784/original/file-20221122-12-xtvhsq.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=306&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/496784/original/file-20221122-12-xtvhsq.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=306&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/496784/original/file-20221122-12-xtvhsq.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=385&fit=crop&dpr=1 754w, https://images.theconversation.com/files/496784/original/file-20221122-12-xtvhsq.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=385&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/496784/original/file-20221122-12-xtvhsq.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=385&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption"></span>
</figcaption>
</figure>
<p><em>Nous proposons cet article dans le cadre du Forum mondial Normandie pour la Paix organisé par la Région Normandie les 28 et 29 septembre 2023 et dont The Conversation France est partenaire. Pour en savoir plus, visiter le site du <a href="https://normandiepourlapaix.fr/">Forum mondial Normandie pour la Paix</a></em>.</p><img src="https://counter.theconversation.com/content/208071/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Christine Dugoin-Clément ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>Une cinquantaine de sites occidentaux ont récemment été « clonés » afin de diffuser un message allant dans le sens des intérêts de la Russie. Radioscopie d’une opération d’influence.Christine Dugoin-Clément, Analyste en géopolitique, membre associé au Laboratoire de Recherche IAE Paris - Sorbonne Business School, Université Paris 1 Panthéon-Sorbonne, chaire « normes et risques », IAE Paris – Sorbonne Business SchoolLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/2086202023-06-28T20:07:39Z2023-06-28T20:07:39ZCyberattaques dans les hôpitaux, universités, administrations… Comment mieux résister ?<figure><img src="https://images.theconversation.com/files/534356/original/file-20230627-23-ievjpf.jpg?ixlib=rb-1.1.0&rect=0%2C12%2C1014%2C684&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Depuis mi-2021, une cybermenace sur 4 dans le monde environ concerne directement un organisme public.
</span> <span class="attribution"><a class="source" href="https://pixabay.com/fr/illustrations/hacker-la-cyber-sécurité-matrice-8033977/">Pixabay</a>, <a class="license" href="http://creativecommons.org/licenses/by-sa/4.0/">CC BY-SA</a></span></figcaption></figure><p>Collectivités territoriales, administrations publiques, <a href="https://theconversation.com/fr/topics/hopital-23258">hôpitaux</a>, écoles et <a href="https://theconversation.com/fr/topics/universites-20604">universités</a>, aucune de ces organisations publiques n’est à l’abri des <a href="https://theconversation.com/fr/topics/cyber-attaques-36559">cyberattaques</a>, que la Défense française définit comme :</p>
<blockquote>
<p>« (toute) action volontaire, offensive et malveillante, menée au travers du cyberespace et destinée à provoquer un dommage (en disponibilité, intégrité ou confidentialité) aux informations ou aux systèmes qui les traitent, pouvant ainsi nuire aux activités dont ils sont le support. »</p>
</blockquote>
<p>Selon l’Agence de l’Union européenne pour la <a href="https://theconversation.com/fr/topics/cybersecurite-31367">cybersécurité</a>, 24,21 % des cybermenaces recensées depuis juillet 2021 à travers le monde <a href="https://www.enisa.europa.eu/publications/enisa-threat-landscape-2022">visaient spécifiquement des administrations publiques</a>.</p>
<p>Cependant, ce risque reste largement sous-estimé en France, comme le soulignait en 2020 une <a href="https://clusif.fr/newspaper/le-risque-associe-aux-rancongiciels-demeure-sous-evalue-dans-les-collectivites-territoriales-clusif/">étude</a> du Clusif, l’association de référence de la sécurité du numérique, menée auprès de collectivités territoriales – malgré le fait que près de 30 % d’entre elles ont subi des attaques par rançongiciel en 2019.</p>
<h2>Des organismes plus vulnérables</h2>
<p>En effet, contrairement aux entreprises privées qui peuvent investir fortement en cybersécurité, les <a href="https://theconversation.com/fr/topics/administration-27868">administrations</a> publiques ont généralement des moyens plus restreints. En conséquence, leur capacité à recruter des experts dans ce domaine, attirés par les salaires plus élevés du secteur privé, reste limitée. Ces contraintes renforcent leur vulnérabilité face aux cyberattaques, qui ont connu une <a href="https://theconversation.com/cyberattaques-et-kidnapping-des-donnees-comment-proteger-les-organisations-des-rancongiciels-155384">augmentation considérable</a> depuis la crise du Covid-19.</p>
<p>Depuis une dizaine d’années, les hôpitaux français étaient déjà des cibles privilégiées.</p>
<p>Encore très récemment, le 7 juin 2023, Aix-Marseille Université a connu une cyberattaque qui a eu pour effet le blocage total et temporaire de l’ensemble de ses services numériques pour les étudiants, les enseignants-chercheurs et les personnels administratifs. La direction du numérique de l’établissement ayant très rapidement isolé son réseau, cette mise hors d’accès a permis de préserver l’intégrité du système informatique, d’éviter des dégâts potentiellement importants et d’assurer un retour rapide à la normale.</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"1666437434358284296"}"></div></p>
<p>Si un niveau élevé de sécurité permet de contrecarrer et résorber la plupart des tentatives d’intrusion, ces phénomènes posent néanmoins de sérieux défis en matière de résilience technologique et organisationnelle. En effet, comment assurer la continuité des services publics tout en protégeant les systèmes d’information et les données personnelles des utilisateurs (personnels et usagers) ?</p>
<h2>Des mesures techniques et organisationnelles</h2>
<p>La notion de <a href="https://theconversation.com/fr/topics/resilience-22971">résilience</a> renvoie de manière générique à une capacité à résister, absorber et/ou rebondir face à un choc traumatisant, que cela soit à un niveau individuel, organisationnel, territorial voire sociétal. Sur le plan organisationnel, la résilience implique des capacités dynamiques visant à anticiper, résister, s’adapter ou encore <a href="https://econpapers.repec.org/paper/haljournl/hal-03083051.htm">se transformer, se réinventer</a>.</p>
<p>Appliquée au domaine des technologies du numérique, la résilience implique à la fois des mesures de sauvegarde, de protection des données, mais aussi de maintien de l’activité. Selon une <a href="https://www.oracle.com/security/cloud-threat-report/">étude</a> conjointe du cabinet de consulting KPMG et l’entreprise informatique Oracle, il convient de définir ces mesures de manière préventive afin qu’elles puissent être déployées efficacement et rapidement le cas échéant.</p>
<p>[<em>Plus de 85 000 lecteurs font confiance aux newsletters de The Conversation pour mieux comprendre les grands enjeux du monde</em>. <a href="https://memberservices.theconversation.com/newsletters/?nl=france&region=fr">Abonnez-vous aujourd’hui</a>]</p>
<p>Plusieurs méthodes peuvent être mobilisées. Sur le plan technique, le <strong>principe du moindre privilège</strong>, selon lequel même les communications internes sont considérées non sécurisées, peut notamment être appliqué. De même, des <strong>systèmes de gestion de l’information</strong> et des événements de sécurité (SIEM) analysent les informations en temps réel pour détecter d’éventuelles anomalies. Enfin, rappelons qu’une bonne compréhension de la <strong>configuration du réseau</strong> est cruciale pour anticiper et prévenir les attaques.</p>
<p>Sur le plan organisationnel, obtenir une <strong>certification</strong> d’une autorité compétente peut aider à prouver que le système a atteint un certain niveau de sécurité. Une <strong>cartographie claire du système d’information</strong>, même s’il est complexe, reste également essentielle pour identifier les failles potentielles. La <strong>communication de crise</strong> auprès des usagers doit aussi être prête en cas de crise. Enfin, la <strong>formation du personnel</strong> doit permettre aux équipes de reconnaître les tentatives d’hameçonnage.</p>
<p>Le cas de l’entreprise GitHub, même s’il ne met pas en scène une administration publique, constitue une illustration de l’efficacité de ces principes. En 2018, ce site de développement collaboratif de logiciel a été victime de ce qui a été qualifié de <a href="https://siecledigital.fr/2018/03/02/github-grosse-attaque-ddos/">plus importante cyberattaque de l’histoire</a>, ce qui ne l’a pas empêché de maintenir son service grâce à une organisation bien pensée (réplication de données, existence de serveurs alternatifs) et une préparation préalable à ce genre d’attaque. Cet épisode montre que les solutions résident dans une approche qui combine des mesures techniques et organisationnelles.</p>
<hr>
<p>
<em>
<strong>
À lire aussi :
<a href="https://theconversation.com/cyberattaques-des-hopitaux-que-veulent-les-hackers-192407">Cyberattaques des hôpitaux : que veulent les hackers ?</a>
</strong>
</em>
</p>
<hr>
<img src="https://counter.theconversation.com/content/208620/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Les auteurs ne travaillent pas, ne conseillent pas, ne possèdent pas de parts, ne reçoivent pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'ont déclaré aucune autre affiliation que leur organisme de recherche.</span></em></p>Les organismes publics constituent des cibles privilégiées pour les hackers qui ont multiplié leurs offensives depuis la crise du Covid-19.Mohammed Chergui Darif, Doctorant contractuel en science de gestion à l'Institut de Management Public et Gouvernance Territoriale (IMGPT) / CERGAM, Aix-Marseille Université (AMU)Bruno Tiberghien, Maître de conférences HDR en sciences de gestion à l’Institut de Management Public et de Gouvernance Territoriale (IMPGT) d’Aix-en-Provence, Aix-Marseille Université (AMU)Licensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/2053462023-05-23T17:51:14Z2023-05-23T17:51:14ZRGPD : cinq ans après, le rôle difficile des délégués à la protection des données<figure><img src="https://images.theconversation.com/files/525171/original/file-20230509-12882-bnnzdk.jpg?ixlib=rb-1.1.0&rect=44%2C13%2C1214%2C831&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Le 25&nbsp;mai 2018, le Règlement général sur la protection des données était adopté par l’Union européenne.
</span> <span class="attribution"><a class="source" href="https://pixabay.com/illustrations/europe-united-europe-flag-united-2021308/">Arakir/Pixabay</a>, <a class="license" href="http://creativecommons.org/licenses/by-sa/4.0/">CC BY-SA</a></span></figcaption></figure><p>Le lundi 22 mai, Meta, la maison-mère de Facebook, Instagram ou encore WhatsApp, a écopé d’une <a href="https://www.francetvinfo.fr/internet/reseaux-sociaux/union-europeenne-meta-la-maison-mere-de-facebook-ecope-d-une-amende-record-de-1-2-milliard-d-euros-pour-avoir-envoye-les-donnees-d-utilisateurs-aux-etats-unis_5840483.html">amende de 1,2 milliard d’euros</a> pour avoir enfreint le <a href="https://www.cnil.fr/fr/reglement-europeen-protection-donnees">règlement général sur la protection des données</a> (<a href="https://theconversation.com/fr/topics/rgpd-54271">RGPD</a>). Le régulateur irlandais, en charge d’appliquer le texte européen, a estimé que le géant américain avait « continué de transférer des données personnelles » d’utilisateurs du siège européen à Dublin vers les États-Unis en violation des règles des vingt-sept.</p>
<p>Cette amende, que Meta conteste, constitue la troisième infligée à la maison-mère de Facebook depuis le début de l’année dans l’UE. Il s’agit également d’un montant record qui dépasse les <a href="https://www.usine-digitale.fr/editorial/amazon-ecope-d-une-amende-record-de-746-millions-d-euros-au-luxembourg-pour-violation-du-rgpd.N1130064">746 millions d’euros réclamés à Amazon</a> en juin 2021 au Luxembourg.</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"1660582626879500290"}"></div></p>
<p>Cette nouvelle amende contre Facebook illustre bien la montée en puissance réglementaire du RGPD, qui a été adopté par l’<a href="https://theconversation.com/fr/topics/union-europeenne-ue-20281">Union européenne</a> (UE) il y a presque cinq ans, le 25 mai 2018. L’idée de ce nouveau cadre normatif était de trouver un compromis entre défendre les droits des individus et permettre l’innovation des agents économiques. En effet, pour de nombreuses entreprises, les <a href="https://theconversation.com/fr/topics/donnees-23709">données</a> à caractère personnel sont devenues une véritable manne, dont la protection suscite des craintes chez les citoyens comme chez leurs représentants.</p>
<h2>Encore peu de DPD</h2>
<p>Le texte, du fait de sa nature juridique, s’est appliqué immédiatement à tous les États membres. En France, c’est la <a href="https://theconversation.com/fr/topics/commission-nationale-de-linformatique-et-des-libertes-cnil-137097">Commission nationale informatique et libertés</a> (CNIL) qui est garante de son respect. En 2022, l’autorité a prononcé 21 sanctions pour un montant total de 101 277 900 euros. En outre, avec 147 décisions prononcées, la CNIL a également annoncé un nombre record de mises en demeure (ordonnant à un organisme de se mettre en conformité dans un délai fixé).</p>
<p><iframe id="pwI5E" class="tc-infographic-datawrapper" src="https://datawrapper.dwcdn.net/pwI5E/1/" height="400px" width="100%" style="border: none" frameborder="0"></iframe></p>
<p>Pourtant, les entreprises n’avaient pas nécessairement attendu la Commission européenne pour être sensibilisées à cette problématique. Dans l’Hexagone, la loi dite « <a href="https://www.legifrance.gouv.fr/loda/id/JORFTEXT000000886460">Informatique et liberté</a> » de 1978 était déjà maîtrisée par les organisations. Beaucoup avaient déjà en leur sein un <a href="https://www.legifrance.gouv.fr/loda/id/JORFTEXT000000886460/2014-05-01/">« correspondant informatique et libertés »</a>, ancêtre du <a href="https://www.apec.fr/tous-nos-metiers/informatique/delegue-a-la-protection-des-donnees.html">délégué à la protection des données personnelles</a> (DPD), fonction instituée par le RGPD pour les organismes publics et les organisations amenées à traiter à grande échelle des données dites « sensibles », avec des missions de veille, d’information, de conseil, de contrôle et d’alerte si besoin.</p>
<p>Malgré cela, cinq ans après l’entrée en vigueur du RGPD, de nombreux chantiers restent en cours. D’abord, des progrès restent à accomplir en matière d’amélioration de la sécurité des données informationnelles et de suppressions des données (purges) dans tout le système d’information. Autre difficulté : les organismes tardent à se doter d’un délégué à la protection des données qui, selon le <a href="https://www.cnil.fr/fr/le-delegue-la-protection-des-donnees-dpo">guide publié par la CNIL</a>, ne doit pas recevoir d’instructions ni ne peut être sanctionné ou licencié en raison des conclusions qu’il tire dans le cadre de ses missions.</p>
<p>Si le <a href="https://www.cnil.fr/sites/default/files/atoms/files/cnil_-_42e_rapport_annuel_-_2021.pdf">rapport</a> publié par la CNIL en 2022 faisait état de <a href="https://www.cnil.fr/sites/default/files/atoms/files/cnil_-_43e_rapport_annuel_-_2022.pdf#page=12">89 841</a> organismes ayant désigné un DPD, ces responsables restent encore peu présents dans un certain nombre de structures. C’est particulièrement le cas au sein des collectivités territoriales, au point que des <a href="https://www.cnil.fr/fr/la-cnil-met-en-demeure-vingt-deux-communes-de-designer-un-delegue-la-protection-des-donnees">communes</a> ont pu être mises en demeure d’en désigner un par les autorités.</p>
<h2>Un rôle très (trop ?) vaste</h2>
<p>Au sein des organisations qui ont nommé un DPD, les missions qui ont présenté la plus lourde charge de travail lors du déploiement du RGPD ont porté sur la mise en place et le suivi d’un <a href="https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4">registre des activités de traitements</a> des données. Constituer ce document a souvent nécessité de longs échanges en interne pour recenser toutes les activités susceptibles de collecter des données, puis d’identifier la nature et la durée de leur conservation.</p>
<p>[<em>Près de 80 000 lecteurs font confiance à la newsletter de The Conversation pour mieux comprendre les grands enjeux du monde</em>. <a href="https://theconversation.com/fr/newsletters/la-newsletter-quotidienne-5?utm_source=inline-70ksignup">Abonnez-vous aujourd'hui</a>]</p>
<p>Or, ce temps nécessaire apparaît inadapté à la rapidité des développements informatiques et des projets : les documents de conformité sont ainsi souvent en décalage avec les exigences. Par exemple, les <a href="https://www.cnil.fr/fr/ce-quil-faut-savoir-sur-lanalyse-dimpact-relative-la-protection-des-donnees-aipd">analyses d’impacts sur la vie privée (AIVP)</a> sollicitent énormément de temps car impliquent de nombreux échanges avec l’ensemble des métiers impactés. Ce document, obligatoire pour les traitements susceptibles d’engendrer des risques élevés, peut donc parfois être obsolète une fois publié.</p>
<p>Comme l’indique un témoignage que nous avons recueilli :</p>
<blockquote>
<p>« Le rôle de DPD est vaste car il est à la fois le pilote de la conformité, un conseiller auprès de la direction et un accompagnateur des métiers. Il doit s’intéresser à toutes les directions et comprendre tous les métiers de l’entreprise afin d’apprécier la conformité des traitements. »</p>
</blockquote>
<p>Cela n’est pas sans conséquence sur ces responsables :</p>
<blockquote>
<p>« Nous devons répondre à une demande d’exercice des droits, déclarer une notification de violation de données, etc. En termes de savoir-être, il faut être capable de gérer le stress et les pics d’activité. »</p>
</blockquote>
<h2>DPD, un rôle mal reconnu</h2>
<p>D’après nos observations sur le terrain, quelques recommandations pourraient être suggérées afin de faciliter le travail des DPD. Une première voie consisterait à <strong>alléger leur charge de travail</strong>, ce qui peut se faire en étoffant leur équipe pour répondre aux nombreuses sollicitations au quotidien. Les DPD travaillent majoritairement seuls : <a href="https://travail-emploi.gouv.fr/IMG/pdf/rgpd-metier-dpo-premiers-resultats-072019.pdf">75 % d’entre eux n’ont pas d’équipe pour les épauler dans leur mission</a>.</p>
<p>Rares sont de plus les DPD qui disposent d’un <a href="https://travail-emploi.gouv.fr/IMG/pdf/rgpd-metier-dpo-premiers-resultats-072019.pdf">budget</a> afin d’accomplir leurs tâches. Seul près d’un tiers d'entre eux déclarent avoir eu des fonds en 2020, ou avoir pu bénéficier facilement de ceux d’autres services. Aussi allouer plus de <strong>moyens financiers</strong> représente-t-il un autre chemin sur lequel il serait bon de s’engager.</p>
<p>La <strong>place du DPD dans l’organisation</strong> mérite aussi réflexion. Il remplit une fonction support et de conseil, ce qui peut présenter certaines limites si la direction générale décide de passer outre l’alerte du DPD. Un enquêté le rappelle bien :</p>
<blockquote>
<p>« Le DPD conseille le responsable de traitement, il ne décide pas. D’où l’intérêt qu’il puisse être proche de la direction générale. »</p>
</blockquote>
<p>L’idée est qu’il puisse être soutenu dans la mise en place des recommandations qu’il formule. Un DPD nous a, par exemple, fait part des difficultés auxquelles il a été confronté et de la manière dont il tente de s’en sortir :</p>
<blockquote>
<p>« Après 7 ans d’expérience dans la protection des données, dont 5 comme DPD, je constate que la conduite du changement se réalise de manière progressive, difficile. Elle passe par beaucoup de sensibilisation et d’accompagnement des métiers. Ensuite, selon moi, il est toujours indispensable d’avoir le sourire et d’être aimable. La conformité n’est pas une thématique très motivante pour la plupart des collègues, alors autant faire preuve de sympathie afin qu’ils soient moins réticents à assister aux réunions de suivi ».</p>
</blockquote>
<p>Cette difficulté de sensibilisation des métiers internes à l’entreprise provient très probablement de l’absence de lien hiérarchique entre le DPD et les métiers. Il est très complexe pour lui de faire adhérer les parties prenantes : il ne bénéficie de fait pas d’un pouvoir de motivation, voire de sanction en cas de non-atteinte des objectifs de ses collègues.</p>
<p>Le rôle de DPD semble donc ne pas avoir terminé sa mutation. Peut-être, le nombre croissant de <a href="https://theconversation.com/fr/topics/cyber-attaques-36559">cyberattaques</a> ainsi que des normes juridiques à venir, comme le <a href="https://www.pwc.fr/fr/expertises/gestion-des-risques/maitrise-des-risques-technologiques/dora-exigences-reglementaires-europeennes.html">règlement Dora</a> qui entrera en vigueur en janvier 2025, inciteront-ils les organisations à accroître leur sécurité informatique et à renforcer les moyens des DPD.</p><img src="https://counter.theconversation.com/content/205346/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Odette Simoes ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>La réglementation européenne a imposé la mise en place de ces responsables qui se retrouvent souvent seuls et avec peu de moyens financiers au sein de leur organisation.Odette Simoes, Maître de conférences associé en Management des Systèmes d'information et conformité, IAE Paris – Sorbonne Business SchoolLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/2045682023-05-09T10:33:33Z2023-05-09T10:33:33ZTravail, management, fraude… Les multiples risques de l’intelligence artificielle pour les entreprises<figure><img src="https://images.theconversation.com/files/522988/original/file-20230426-987-s8qq58.jpg?ixlib=rb-1.1.0&rect=23%2C107%2C725%2C490&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">La Chine a récemment décidé d’encadrer l’utilisation de ChatGPT tandis que l’Italie souhaite interdire l’outil.
</span> <span class="attribution"><a class="source" href="https://commons.wikimedia.org/wiki/File:Artificial_Intelligence_%26_AI_%26_Machine_Learning_-_30212411048.jpg">Wikimedia commons</a>, <a class="license" href="http://creativecommons.org/licenses/by-sa/4.0/">CC BY-SA</a></span></figcaption></figure><p><a href="https://theconversation.com/fr/topics/intelligence-artificielle-ia-22176">L’intelligence artificielle (IA)</a> semble être à la fois source d’opportunités et de menaces pour le futur. Du côté des opportunités, l’homme a toujours cherché à automatiser les tâches physiquement pénibles et/ou répétitives. L’individu est ainsi plus productif et est capable d’utiliser sa propre capacité intellectuelle <a href="https://www.aeaweb.org/articles?id=10.1257/jep.29.3.3">pour d’autres activités plus stimulantes</a>. L’IA permettra d’aller plus loin dans ce processus. Du côté des menaces, on retrouve globalement la peur de l’inconnu et toutes les insécurités qu’il génère.</p>
<p>L’intelligence artificielle (IA) fait référence à des machines conçues pour effectuer des tâches similaires à l’intelligence humaine, interpréter les données externes, apprendre de ces données externes et utiliser cet apprentissage à s’adapter aux tâches pour obtenir des <a href="https://www.sciencedirect.com/science/article/abs/pii/S0883902622000398">résultats spécifiques et personnalisés</a>.</p>
<p>Récemment, le focus médiatique autour de <a href="https://theconversation.com/fr/topics/chatgpt-133745">ChatGPT</a>, attise les hardiesses et les peurs, si bien que des pays comme la <a href="https://www.boursedirect.fr/fr/actualites/categorie/economie/en-pleine-euphorie-chatgpt-la-chine-veut-encadrer-l-intelligence-artificielle-afp-f4e3b1bd045942c365a43da853354bd34c090976">Chine</a> ou <a href="https://etudestech.com/decryptage/chatgpt-interdit-italie/">l’Italie</a> ont récemment décidé de limiter voire d’en interdire l’usage. Des voix s’élèvent également en France où ChatGPT a été interdit dans un <a href="https://www.sciencespo.fr/fr/actualites/sciences-po-fixe-des-regles-claires-sur-lutilisation-de-chat-gpt-par-les-etudiants">certain nombre d’établissements universitaires</a> et où des <a href="https://www.leparisien.fr/high-tech/intelligence-artificielle-la-france-pourrait-elle-interdire-chatgpt-01-04-2023-POX4EU6CZ5CZZAEXOOVZJKJISA.php">élus réclament son interdiction au parlement</a>.</p>
<p>Cet outil donne une idée de la puissance potentielle de l’IA. En effet, avant ChatGPT, l’automatisation était essentiellement liée à la robotisation des tâches manuelles. ChatGPT pourrait en revanche remplacer l’intelligence humaine. Une étape importante semble donc franchie.</p>
<h2>Risques multiples</h2>
<p>Dans ce contexte, nous avons mené une <a href="https://www.openscience.fr/Les-risques-lies-a-l-innovation-le-cas-de-l-intelligence-artificielle">recherche</a> pour identifier les différents risques liés à l’essor de l’IA. Ils sont de plusieurs types : les risques managériaux, risques opérationnels, risques au sein du marché de travail, risques d’autres clivages sociaux et les risques de concurrence mondiale.</p>
<p>Les <strong>risques managériaux</strong> principaux sont liés à la responsabilité humaine dans la décision et de la dépendance humaine aux outils d’analyse de données. Le manager prend des décisions en se basant sur les informations générées par les outils d’IA. <a href="https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3263878">Qui est responsable</a> si les résultats donnés par l’outil numérique sont faux et que le manager en conséquence a pris une mauvaise décision ayant des implications lourdes ? Un exemple peut être les études de marchés développés par ChatGPT avec des recommandations plausibles mais basées sur de mauvaises informations et sur lesquelles s’appuieraient des décisions managériales.</p>
<p>Les <strong>risques opérationnels</strong> sont eux essentiellement liés à la sécurité et à la fraude. D’un côté, l’IA pourrait aider à améliorer la sécurité des transactions financières, mais il peut aussi <a href="https://www.tandfonline.com/doi/abs/10.1080/13669877.2021.1958047">augmenter le pouvoir de nuisance des fraudeurs</a>. En effet, cette numérisation extrême constitue un terrain propice aux <a href="https://theconversation.com/fr/topics/cyber-attaques-36559">cyberattaques</a>. Un outil d’IA peut par exemple imiter la voix d’un tiers de confiance et obtenir ainsi des informations confidentielles. ChatGPT pourrait même étudier et permettre de briser les pare-feux des entreprises.</p>
<p>Les <strong>risques au sein du marché de travail</strong> sont liés au possible remplacement de certains métiers par l’IA. Jusqu’à récemment, les craintes étaient liées <a href="https://psycnet.apa.org/record/2014-07087-000">aux métiers des cols bleus</a> mais désormais ces craintes se portent <a href="http://theconversation.com/artificial-intelligence-has-a-gender-bias-problem-just-ask-siri-123937.">sur les cols blancs</a>. Par exemple, les textes écrits dans n’importe quel domaine, des problèmes complexes de mathématiques, des programmes informatiques peuvent à présent être effectués par ChatGPT, bien qu’une intervention humaine soit souvent requise pour finaliser les résultats. Ces compétences pourraient donc remplacer beaucoup de métiers à terme. Pour qu’elle fonctionne mieux, l’IA doit pouvoir discerner les données produites par des experts fiables de celles produites par d’autres.</p>
<hr>
<figure class="align-left zoomable">
<a href="https://images.theconversation.com/files/521343/original/file-20230417-974-5x3idt.png?ixlib=rb-1.1.0&q=45&auto=format&w=1000&fit=clip"><img alt="" src="https://images.theconversation.com/files/521343/original/file-20230417-974-5x3idt.png?ixlib=rb-1.1.0&q=45&auto=format&w=237&fit=clip" srcset="https://images.theconversation.com/files/521343/original/file-20230417-974-5x3idt.png?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=600&fit=crop&dpr=1 600w, https://images.theconversation.com/files/521343/original/file-20230417-974-5x3idt.png?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=600&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/521343/original/file-20230417-974-5x3idt.png?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=600&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/521343/original/file-20230417-974-5x3idt.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=754&fit=crop&dpr=1 754w, https://images.theconversation.com/files/521343/original/file-20230417-974-5x3idt.png?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=754&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/521343/original/file-20230417-974-5x3idt.png?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=754&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px"></a>
<figcaption>
<span class="caption"></span>
</figcaption>
</figure>
<p><em>Chaque lundi, que vous soyez dirigeants en quête de stratégies ou salariés qui s’interrogent sur les choix de leur hiérarchie, recevez dans votre boîte mail les clés de la recherche pour la vie professionnelle et les conseils de nos experts dans notre newsletter thématique « Entreprise(s) ».</em></p>
<p><a href="https://theconversation.com/fr/newsletters/la-newsletter-entreprise-s-153/"><em>Abonnez-vous dès aujourd’hui</em></a></p>
<hr>
<p>Au-delà de ces problématiques qui concernent directement les entreprises, d’autres risques apparaissent, tels que ceux qui concernent les <strong>clivages sociaux.</strong> Ceux-ci peuvent concerner les <a href="https://theconversation.com/artificial-intelligence-has-a-gender-bias-problem-just-ask-siri-123937">discriminations de genres</a> ou l’accentuation des inégalités en termes de richesses. D’une part, les entreprises du numérique sont accusées de préjugés sexistes dans leurs algorithmes de recherche. En effet, si un outil génératif ne répond pas à un besoin par un souci d’être politiquement correcte, il est possible de s’alimenter sur des outils concurrents qui autoriseraient ces biais. D’autre part, les personnes ayant les moyens financiers pourraient se former aux nouveaux outils de l’IA et les moins favorisés seraient déclassés par ces changements.</p>
<p>Les <strong>risques de concurrence internationale</strong> font référence au poids des entreprises mondialisées du numérique ayant une base d’utilisateurs très importante, comme les <a href="https://theconversation.com/fr/topics/gafam-45037">Gafam</a> américains ou les chinoises Alibaba ou ByteDance. Ces entreprises de marché capitalistique donneraient implicitement au gouvernement de leur pays d’origine un <a href="https://hbr.org/1990/03/the-competitive-advantage-of-nations">pouvoir de domination géopolitique</a>. Pour l’instant, la majorité des outils disponibles sur le marché sont par des entreprises américaines, ce qui renforce l’hégémonie des États-Unis. La Chine ne s’y trompe pas : la société Baidu a développé Ernie Bot, mais il n’est pas encore efficace car il doit prendre en compte la censure des informations par le gouvernent chinois. Et Alibaba prévoit aussi d’avoir l’outil concurrençant ChaptGPT.</p>
<h2>Le rôle décisif des pouvoirs publics</h2>
<p>Les risques liés à l’IA sont multiples. Sont-ils pour autant source d’inéluctables problèmes ? La réponse à cette question dépend de l’utilisation qui sera faite de l’IA. La réponse serait affirmative si l’IA est utilisée à des fins de surveillance, de fraude sur les données, voire de destruction volontaire d’emplois par des entrepreneurs ou si elle perpétue des biais sociaux. La réponse sera négative, si le développement et l’utilisation de ces outils est encadré par la loi, et lorsque ces outils permettront l’amélioration des conditions de travail ou la fourniture de services aux citoyens là où il n’y a en avait pas.</p><img src="https://counter.theconversation.com/content/204568/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Les auteurs ne travaillent pas, ne conseillent pas, ne possèdent pas de parts, ne reçoivent pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'ont déclaré aucune autre affiliation que leur organisme de recherche.</span></em></p>Comme le montrent les réactions récentes à l’essor de ChatGPT, le développement de l’IA soulève de nouvelles problématiques qui s’imposent directement aux organisations.Vipin Mogha, Enseignant-Chercheur en Finance et Entrepreneuriat, ESCE International Business SchoolArvind Ashta, Professor Finance and Control, Burgundy School of Business Licensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1961142023-03-08T15:09:52Z2023-03-08T15:09:52ZDavantage de femmes sur les CA : la solution pour une meilleure cybersécurité ?<figure><img src="https://images.theconversation.com/files/499629/original/file-20221207-10117-chefed.jpeg?ixlib=rb-1.1.0&rect=25%2C17%2C5725%2C3216&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Lorsque les femmes sont présentes au sein des conseils d'administration, la gestion des cyberrisques se voit améliorée.
</span> <span class="attribution"><span class="source">(Shutterstock)</span></span></figcaption></figure><p>Les femmes sont encore sous-représentées dans le domaine de la technologie de l’information (TI), malgré leur importante contribution. <a href="https://www.famousscientists.org/ada-lovelace/">Ada Lovelace</a>, par exemple, a été la première programmeuse informatique au monde. <a href="https://www.famousscientists.org/grace-murray-hopper/">Grace Murray Hopper</a> a développé le premier compilateur. De plus, <a href="https://www.famousscientists.org/hedy-lamarr/">Hedy Lamarr</a> a été la co-inventrice de la <a href="https://www.sciencedirect.com/topics/engineering/spread-spectrum-communications">technologie moderne de la communication</a>, utilisée pour les technologies Bluetooth, wifi et GPS.</p>
<p>Aujourd’hui, les leaders dans le domaine des TI sont tous des hommes. Bien que 39 % des membres des conseils d’administration des plus grandes entreprises technologiques de la Silicon Valley soient des femmes, tous les présidents et PDG sont des hommes : <a href="https://www.apple.com/ca/newsroom/2011/11/15enCA-Apple-Names-Arthur-D-Levinson-Chairman-of-the-Board/">Arthur D. Levinson</a> et <a href="https://www.britannica.com/biography/Tim-Cook">Tim Cook</a> pour Apple, <a href="https://www.britannica.com/biography/Satya-Nadella">Satya Nadella</a> pour Microsoft, <a href="https://www.britannica.com/biography/Jeff-Bezos">Jeff Bezos</a> et <a href="https://ir.aboutamazon.com/officers-and-directors/person-details/default.aspx?ItemId=7601ef7b-4732-44e2-84ef-2cccb54ac11a">Andrew Jassy</a> pour Amazon, <a href="https://www.britannica.com/biography/Mark-Zuckerberg">Mark Zuckerberg</a> pour Meta, et <a href="https://hennessy.stanford.edu/biography/">John L. Hennessy</a> et <a href="https://www.britannica.com/biography/Sundar-Pichai">Sundar Pichai</a> pour Google.</p>
<figure class="align-right ">
<img alt="Aquarelle représentant une femme habillée à la mode du XIXᵉ siècle" src="https://images.theconversation.com/files/496839/original/file-20221122-25-freza.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=237&fit=clip" srcset="https://images.theconversation.com/files/496839/original/file-20221122-25-freza.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=862&fit=crop&dpr=1 600w, https://images.theconversation.com/files/496839/original/file-20221122-25-freza.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=862&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/496839/original/file-20221122-25-freza.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=862&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/496839/original/file-20221122-25-freza.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=1083&fit=crop&dpr=1 754w, https://images.theconversation.com/files/496839/original/file-20221122-25-freza.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=1083&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/496839/original/file-20221122-25-freza.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=1083&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">Portrait à l’aquarelle d’Ada King, comtesse de Lovelace, vers 1840.</span>
<span class="attribution"><span class="source">(Science Museum Group)</span></span>
</figcaption>
</figure>
<p>Mais on assiste tout de même à un certain progrès. Une étude faite par Osler, un cabinet d’avocats en droit des affaires, a relevé que <a href="https://www.osler.com/osler/media/Osler/reports/corporate-governance/Osler-Diversity-Disclosure-Practices-report-2022.pdf">23 % des membres des conseils d’administration des sociétés de l’indice boursier S&P/TSX 60 étaient des femmes</a>. Il s’agit d’une augmentation par rapport aux données que nous avons récoltées pour notre recherche <a href="https://doi.org/10.1007/s10551-020-04717-9">sur les sociétés de la Bourse de Toronto entre 2014 et 2018</a>. En effet, ces données ont révélé que 11,7 % des entreprises avaient une femme au sein de leur conseil d’administration, 27,7 % avaient deux femmes et 56,3 % avaient au moins trois femmes.</p>
<p>En ce qui concerne le nombre de femmes expertes en informatique dans les conseils d’administration, le nombre était encore plus faible. Seulement 22 des 683 membres de conseils d’administration en 2018 étaient des femmes expertes en TI. Bien que ce nombre ait doublé depuis 2014, il demeure très faible. C’est important d’augmenter le nombre de femmes dans le domaine des TI, non seulement pour des raisons d’égalité, mais aussi parce que la présence des femmes améliore les principaux résultats organisationnels.</p>
<h2>La cybersécurité est la clé du succès</h2>
<p>Nous avons évalué <a href="https://doi.org/10.1007/s10551-020-04717-9">l’impact de la diversité des genres au sein des conseils d’administration sur la réaction des entreprises au cyberrisque</a>. Nos résultats démontrent la gestion de ce dernier est meilleure lorsque des femmes sont présentes. Une bonne gestion des cyberrisques est la clé du succès des entreprises qui utilisent les TI.</p>
<p>La cybersécurité implique de prendre des mesures appropriées ainsi que de prendre des décisions éthiques pour atténuer les cyberrisques. Plus spécifiquement, la cybersécurité aborde le risque financier et technique causé par <a href="https://home.kpmg/us/en/home/insights/2020/09/digital-acceleration.html">l’accélération numérique</a> – l’amplification de la transformation digitale causée par la pandémie.</p>
<p>En raison de l’accélération numérique, les organisations sont plus vulnérables aux utilisations non éthiques de la technologie. L’histoire de Facebook et de Google concernant les <a href="https://sloanreview.mit.edu/article/business-technology-and-ethics-the-need-for-better-conversations/">utilisations inappropriées et contraires à l’éthique ou la suppression d’informations</a> a mis en lumière l’importance d’une approche éthique de la cybersécurité. L’exemple le plus médiatisé est celui de <a href="https://www.nytimes.com/2018/04/04/us/politics/cambridge-analytica-scandal-fallout.html">Facebook, qui a vendu des données à des entreprises qui tentaient d’influencer l’élection présidentielle aux États-Unis en 2016</a>.</p>
<p>Les organisations <a href="https://theconversation.com/a-unified-cybersecurity-strategy-is-the-key-to-protecting-businesses-182405">devraient développer leur stratégie de cybersécurité en fonction de certains principes éthiques</a>. On parle ici de la vie privée, la collecte, l’entreposage et l’utilisation des données, l’intelligence artificielle, le développement d’algorithmes et le profilage, notamment.</p>
<p>La cybersécurité doit passer par les <a href="https://global.oup.com/academic/product/corporate-governance-4e-9780198809869?q=bob%20tricker&lang=en&cc=ca">conseils d’administration</a>. Ces derniers représentent les intérêts des parties prenantes, surveillent la gestion de l’entreprise et diminuent les conflits d’intérêts entre les actionnaires, qui possèdent les entreprises cotées en bourse, et la direction de l’entreprise. Ils ont également le devoir de veiller à ce que leurs entreprises adoptent des mesures de cybersécurité appropriées et efficaces.</p>
<h2>Les femmes ont un impact positif sur la cybersécurité</h2>
<p>Notre étude a révélé une association positive entre le niveau de divulgation de la cybersécurité et la diversité des genres au sein du conseil. En d’autres termes, la présence de femmes dans les conseils d’administration s’est traduite par une meilleure gestion du cyberrisque. Dans quelle mesure ? Grâce à une amélioration de la surveillance effectuée par le conseil d’administration, une meilleure supervision de la direction et donc une meilleure gouvernance d’entreprise.</p>
<p>Les femmes ont apporté de nouvelles perspectives au processus de prise de décision et ont ajouté une plus grande variété de compétences et de capacités, ce qui a amélioré la prise de décision des conseils.</p>
<figure class="align-center ">
<img alt="Une femme assise à la tête d’une réunion du conseil d’administration" src="https://images.theconversation.com/files/496838/original/file-20221122-11-qexdt7.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/496838/original/file-20221122-11-qexdt7.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=338&fit=crop&dpr=1 600w, https://images.theconversation.com/files/496838/original/file-20221122-11-qexdt7.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=338&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/496838/original/file-20221122-11-qexdt7.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=338&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/496838/original/file-20221122-11-qexdt7.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=424&fit=crop&dpr=1 754w, https://images.theconversation.com/files/496838/original/file-20221122-11-qexdt7.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=424&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/496838/original/file-20221122-11-qexdt7.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=424&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">la présence de femmes expertes en informatique dans les conseils d’administration a permis d’améliorer la gestion des cyberrisques.</span>
<span class="attribution"><span class="source">(Shutterstock)</span></span>
</figcaption>
</figure>
<p>Les femmes sont plus informatives. C’est-à-dire qu’elles ont tendance à valoriser la communication et les divulgations davantage que les hommes, et qu’elles collaborent mieux avec les parties prenantes. Les femmes ont une <a href="https://www.wolterskluwer.com/en/expert-insights/risk-appetite-and-risk-tolerance-whats-the-difference">plus faible tolérance au risque</a>, favorisent les pratiques éthiques et sont moins engagées dans des pratiques frauduleuses.</p>
<p>Ces compétences spécifiques, combinées à leur expertise en TI, permettent aux femmes d’améliorer la surveillance des risques en matière de cybersécurité de leurs entreprises. En somme, avoir plus de femmes expertes en informatique dans les conseils d’administration pourrait se traduire par une approche de la cybersécurité plus intégrative, qui réunit les perspectives technologiques, commerciales et éthiques.</p>
<h2>Suggestions pour améliorer la représentation des femmes dans les TI</h2>
<p>Afin de combler l’écart entre les sexes dans le domaine des TI, il doit y avoir un effort concerté pour fournir aux filles et aux femmes une éducation et des compétences liées à l’informatique. Les entreprises devraient développer des programmes pour promouvoir la présence de femmes ayant des compétences en informatique et financer des programmes de bourses et subventions pour les femmes.</p>
<p>Les femmes devraient être encouragées à choisir des études et des carrières liées à l’informatique. Au stade le plus précoce, les écoles devraient motiver la curiosité et l’intérêt liés à la technologie chez les enfants. Bien qu’il existe des universités qui offrent des programmes d’études supérieures, des diplômes et des certificats en cybersécurité, il faudrait en créer davantage. Les ONG peuvent également faire partie de la solution, en appuyant la cause des femmes expertes en informatique.</p>
<p>Une autre façon de combler l’écart entre les sexes est de promouvoir davantage la présence des femmes à des postes de direction. À compter de 2020, la <a href="https://laws-lois.justice.gc.ca/eng/annualstatutes/2018_8/page-2.html">Loi canadienne sur les sociétés par actions oblige les sociétés ouvertes</a> à fournir des informations sur les politiques et les pratiques liées à la diversité au sein des conseils d’administration et de la haute direction. Davantage de jeunes femmes devraient être promues à des postes de direction dans le domaine de l’informatique pour alimenter le bassin de candidats potentiels aux conseils d’administration.</p>
<p>La mise à jour des compétences des membres actuels des conseils d’administration est également capitale. L’éthique et la cybersécurité devraient être une priorité de formation pour tous les membres des conseils d’administration. À cet effet, la <a href="https://corpgov.law.harvard.edu/2020/10/07/board-practices-quarterly-diversity-equity-and-inclusion/">mise à jour des compétences en matière d’éthique et de cybersécurité de tous les membres du conseil</a> constitue une étape importante vers l’amélioration des compétences des femmes dans les conseils d’administration.</p><img src="https://counter.theconversation.com/content/196114/count.gif" alt="La Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Camélia Radu a reçu des financements du Conseil de recherches en sciences humaines et de l'Association canadienne des professeurs de comptabilité. </span></em></p><p class="fine-print"><em><span>Nadia Smaili ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>Une nouvelle étude révèle que les femmes améliorent la gestion des cyberrisques en apportant de nouvelles perspectives et compétences au processus décisionnel des conseils d’administration des entreprises.Camélia Radu, Associate Professor in Accounting, Université du Québec à Montréal (UQAM)Nadia Smaili, Professor in Accounting (forensic accounting), Université du Québec à Montréal (UQAM)Licensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1964272022-12-14T18:41:51Z2022-12-14T18:41:51ZCyberattaques contre les collectivités territoriales : le pire est-il à venir ?<figure><img src="https://images.theconversation.com/files/500412/original/file-20221212-109649-3bblu5.jpg?ixlib=rb-1.1.0&rect=95%2C32%2C1102%2C643&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Depuis le Covid-19, les systèmes d’information des régions, départements ou communes sont de plus en plus ciblés par les pirates informatiques.
</span> <span class="attribution"><a class="source" href="https://www.pexels.com/fr-fr/photo/developpeur-sans-visage-crop-travaillant-sur-le-code-logiciel-sur-ordinateur-portable-5926382/">Sora Shimazaki/Pexels</a>, <a class="license" href="http://creativecommons.org/licenses/by-sa/4.0/">CC BY-SA</a></span></figcaption></figure><p>Depuis le début de la crise du <a href="https://theconversation.com/fr/topics/covid-19-82467">Covid-19</a> et notamment durant la période de confinement, on assiste à une augmentation sans précédent des cyberattaques touchant les <a href="https://theconversation.com/fr/topics/collectivites-26722">collectivités territoriales</a> françaises (régions, départements, communes, communautés de communes, etc.). Toutefois, ces dernières sont souvent occultées par celles qui affectent les établissements de santé du fait de leurs conséquences potentiellement dramatiques, à l’image de l’attaque qui a touché, début décembre, le <a href="https://www.lefigaro.fr/actualite-france/yvelines-cyberattaque-contre-l-hopital-andre-mignot-du-centre-hospitalier-de-versailles-20221204">centre hospitalier de Versailles</a>, au Chesnay-Rocquencourt (Yvelines).</p>
<p>Nos travaux sur la <a href="https://www.cairn.info/revue-des-sciences-de-gestion-2021-3-page-21.htm">vulnérabilités des collectivités territoriales françaises</a> face aux <a href="https://theconversation.com/fr/topics/cyber-attaques-36559">cyberattaques</a> ont notamment été sanctionnés par la première (et seule à ce jour) thèse en sciences de gestion soutenue dès 2012 et donné lieu à plusieurs articles scientifiques ultérieurs. Ces travaux furent l’occasion d’appeler à la mise en place d’une politique publique nationale d’accompagnement des collectivités territoriales relativement à la nécessaire sécurisation de leurs systèmes d’information (SI), malheureusement sans grand succès.</p>
<p>Si nous aurions préféré avoir tort quant aux évolutions envisagées, force est de constater que le sujet est finalement apparu sur l’agenda médiatique <a href="https://www.cairn.info/revue-francaise-de-gestion-2020-8-page-81.htm">depuis la crise du Covid</a> pour ne plus la quitter depuis lors. Eu égard à la structuration territoriale française (<a href="https://www.collectivites-locales.gouv.fr/collectivites-locales-chiffres-2022">45 205 collectivités locales</a> en 2022), ces dernières revêtent une importance prépondérante, autant pour leur proximité directe avec les citoyens qu’en termes de services rendus. C’est vraisemblablement ce constat qui a amené de plus en plus de groupes de <a href="https://theconversation.com/fr/topics/hacker-33939">hackers</a> à les choisir pour cibles.</p>
<p>Les cyberattaques menées demeurent pour le moment essentiellement liées à l’envoi de ransomwares (logiciels malveillants se diffusant à l’intérieur d’un système d’information et chiffrant l’ensemble des données accessibles) et visent un objectif exclusivement pécuniaire au travers de la demande d’une rançon dont le paiement préalable conditionne l’envoi (ou pas) d’un code de déchiffrement. Ce type d’offensive s’avère effectivement d’une efficacité redoutable en cas de sauvegarde non redondante.</p>
<h2>Triple défi numérique</h2>
<p>Appelant de nos vœux une véritable prise de conscience des enjeux liés à une mauvaise sécurité des SI, il nous semble impératif d’alerter sur d’autres types d’atteintes aux données des collectivités, d’autant plus dangereux selon nous qu’ils s’avèrent potentiellement cumulatifs.</p>
<p>À trop se focaliser sur les rançongiciels touchant leurs serveurs, on en vient à oublier que les collectivités territoriales se situant intrinsèquement à l’intersection de trois univers (politique, économique et sociétal), celles-ci relèvent quotidiennement trois défis numériques majeurs : l’administration électronique, l’e-démocratie et la dématérialisation des appels d’offres.</p>
<p>[<em>Près de 80 000 lecteurs font confiance à la newsletter de The Conversation pour mieux comprendre les grands enjeux du monde</em>. <a href="https://theconversation.com/fr/newsletters/la-newsletter-quotidienne-5?utm_source=inline-70ksignup">Abonnez-vous aujourd'hui</a>]</p>
<p>Dépassant largement la mise à disposition des administrés de nouveaux moyens de communication, l’administration électronique, régulièrement plébiscitée par les Français depuis plusieurs années, est devenue un outil stratégique de service public. Et cet état de fait devint encore plus évident durant la période de confinement relative au Covid-19 : il est aisé d’imaginer l’impact politique et social qu’auraient engendré des cyberattaques privant des citoyens d’un moyen d’interaction devenu d’autant plus essentiel qu’ils se trouvaient dans l’incapacité de se déplacer pour effectuer la moindre démarche administrative. Il convient par conséquent de sécuriser les SI afférents afin <a href="https://www.cairn.info/revue-des-sciences-de-gestion-2021-3-page-21.htm">d’assurer une continuité de service public</a> en cas de crise majeure.</p>
<p>Le même problème se pose en ce qui concerne l’e-démocratie. Nous avons récemment mis en évidence l’existence d’une typologie des <a href="https://www.cairn.info/revue-management-et-avenir-2021-6-page-15.htm">interactions entre la collectivité et ses administrés</a> selon le support numérique utilisé : interaction forte (échanges directs entre les citoyens et les exécutifs territoriaux), modérée (enquête en ligne ou dialogue sur les réseaux sociaux) ou faible (remontée d’informations ponctuelles à l’initiative des administrés).</p>
<p>Le degré de gravité d’une cyberattaque touchant les SI d’e-démocratie sera donc directement corrélé au vecteur numérique : pertes ou vols potentiels d’informations à caractère personnel dans les deux premières hypothèses et perte de confiance dans tous les cas. Ici encore se pose la question de l’impact de telles attaques contre des outils précisément mis en place pour tenter de favoriser une meilleure participation à la vie publique de citoyens de plus en plus méfiants vis-à-vis des institutions démocratiques.</p>
<p>À cela s’ajoute enfin la possibilité que les SI dédiés aux appels d’offres des collectivités puissent également être ciblés. Que se soit en termes de fonctionnement ou d’investissement une collectivité, à l’image de la grande majorité des organisations, se trouve dans l’obligation de faire appel à des prestataires extérieurs.</p>
<p>La dématérialisation de ces procédures fut précisément menée pour permettre une meilleure fluidité dans la gestion des appels d’offres, ainsi que dans le souci de permettre de simplifier les procédures afin de permettre à des petites et moyennes entreprises (PME) de répondre à ceux-ci avec une chance raisonnable de succès. Une offensive numérique visant les échanges entre les soumissionnaires et la collectivité s’avérerait également lourde de conséquences, non seulement en matière économique mais également en termes de crédibilité intrinsèque.</p>
<h2>Acteurs de la défense</h2>
<p>Face à l’ensemble des défis précités, on peut espérer que le volet dédié au financement numérique des collectivités territoriales du plan gouvernemental « France Relance » permettra d’améliorer sensiblement la sécurisation des SI territoriaux. Pour autant, l’opportunité budgétaire ne fait pas tout, <em>a fortiori</em> lorsque les projets potentiellement finançables entrent immanquablement en compétition les uns avec les autres et que les capacités d’accompagnement financier d’origine étatique demeurent par nature limitées.</p>
<p>Or, il convient de conserver à l’esprit qu’en matière de sécurisation des SI, comme nous le mettions déjà en évidence dans le premier <a href="https://eska-publishing.com/fr/politique-strategie-geo-economie/1944-les-collectivites-territoriales-face-a-la-cybercriminalite-9782747222952.html">ouvrage</a> dédié à cette problématique et paru dès 2014, l’une des conditions essentielles du succès, voire la principale d’entre elles, relève d’une volonté politique forte au sens ou l’impulsion doit venir directement des exécutifs territoriaux.</p>
<p>Notre expérience d’universitaire spécialiste du sujet et d’ancien élu d’une ville de plus de 100 000 habitants nous incite donc à préconiser la définition d’une véritable politique publique d’accompagnement des collectivités territoriales en matière de sécurisation de leurs SI. Et ce d’autant plus qu’à la lumière des enseignements tactiques issus du conflit ukrainien, on redécouvre la nécessité de renforcer la défense opérationnelle du territoire français dont les collectivités territoriales demeurent des <a href="https://www.youtube.com/watch?v=qusW-UE6Unw">parties prenantes essentielles</a>.</p><img src="https://counter.theconversation.com/content/196427/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Rémy Février ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>Le déploiement de l’administration électronique, de l’e-démocratie et de la dématérialisation des appels d’offres ouvre de nouvelles opportunités pour les hackers.Rémy Février, Maître de Conférences HDR en Sciences de Gestion - Equipe Sécurité-Défense-Renseignement, Conservatoire national des arts et métiers (CNAM)Licensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1945082022-11-22T19:27:47Z2022-11-22T19:27:47ZAprès le gaz, Poutine va-t-il nous couper le GPS ?<figure><img src="https://images.theconversation.com/files/496707/original/file-20221122-19-6istkj.jpg?ixlib=rb-1.1.0&rect=29%2C11%2C3964%2C1982&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Une perturbation majeure des systèmes GPS aurait des conséquences colossales pour le fonctionnement de l’économie mondiale.
</span> <span class="attribution"><span class="source">karelnoppe/Shutterstock</span></span></figcaption></figure><p>Initialement conçu pour des applications militaires, le <a href="https://www.cairn.info/revue-historique-des-armees-2018-1-page-111.htm">Global Positioning System</a> est un système de positionnement par satellites appartenant au Pentagone, également utilisé pour de très nombreuses applications civiles.</p>
<p>Que ce soit en matière de logistique, de transport, d’agriculture, de finance, d’industrie, de défense ou de sécurité, le GPS garantit aujourd’hui un positionnement et un <a href="https://www.globalsign.com/fr/blog/horodatage-definition-et-fonctionnement">horodatage</a> précis n’importe où dans le monde.</p>
<p>Dans le contexte actuel, marqué par des <a href="https://theconversation.com/si-la-russie-coupe-les-cables-sous-marins-leurope-peut-perdre-son-acces-a-internet-169858">menaces sans cesse croissantes de la part de la Russie à l’égard des Occidentaux</a>, ces infrastructures cruciales sont-elles en danger ?</p>
<h2>Qu’est-ce que le GPS ?</h2>
<p>Le <a href="https://air-cosmos.com/article/la-localisation-par-satellites-40-ans-de-rvolutions-2858">premier satellite GPS fut mis en orbite en 1978</a> et la couverture mondiale fut achevée en janvier 1995. Le système GPS repose aujourd’hui sur une constellation de <a href="https://www.gps.gov/systems/gps/space/">31 satellites</a> qui permet à un utilisateur situé en n’importe quel point du globe d’avoir en permanence au minimum quatre satellites à sa portée. Les satellites GPS évoluent en orbites circulaires à une altitude de 20 200 km.</p>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/K4BFxwCCx_A?wmode=transparent&start=0" frameborder="0" allowfullscreen=""></iframe>
</figure>
<p>Le système est avant tout connu du grand public pour ses applications de géolocalisation, telles <a href="https://www.waze.com/fr/live-map">Waze</a> ; mais ses usages sont en réalité très variés.</p>
<p>[<em>Près de 80 000 lecteurs font confiance à la newsletter de The Conversation pour mieux comprendre les grands enjeux du monde</em>. <a href="https://theconversation.com/fr/newsletters/la-newsletter-quotidienne-5?utm_source=inline-70ksignup">Abonnez-vous aujourd’hui</a>]</p>
<p>Un satellite comprend en effet quatre horloges atomiques, synchronisées et traçables, qui servent de référence pour des milliards d’utilisateurs. La synchronisation GPS est tellement précise qu’elle joue désormais un rôle essentiel dans l’industrie mondiale. Par exemple, les centrales électriques modernes reposent sur cette synchronisation dans le but de modifier, adapter et suivre les demandes de puissance électrique et ajuster la production d’énergie.</p>
<p>Par ailleurs, les marchés financiers mondiaux s’appuient également sur l’heure GPS afin d’enregistrer en quelques millisecondes seulement des milliards de transactions quotidiennes.</p>
<h2>Notre infrastructure la plus vulnérable</h2>
<p>Les signaux GPS constituent donc une infrastructure essentielle… mais éminemment vulnérable. D’abord du fait de menaces naturelles, telles les <a href="https://www.ouest-france.fr/sciences/espace/quelle-est-cette-tempete-solaire-qui-a-touche-la-terre-dans-la-nuit-de-lundi-a-mardi-7864285">éruptions solaires de l’été 2022</a>, qui ont perturbé la ionosphère en empêchant les signaux GPS de passer. Ces tempêtes sont de plus en plus fréquentes. Notre soleil est en effet entré dans un nouveau cycle, dont le <a href="https://www.youtube.com/watch?v=rlbmb4X_oEA">pic d’activité est prévu pour 2025-2026</a>. Une éruption solaire d’envergure pourrait mettre hors service plusieurs satellites, temporairement ou définitivement.</p>
<p>Au-delà, le GPS est exposé à toutes sortes de menaces d’origine humaine, allant du brouillage au piratage, aux cyberattaques, voire aux attaques physiques.</p>
<p>Les menaces d’attaque physique des satellites GPS n’ont pas été mises à exécution à ce jour (mais un tel scénario n’est pas à exclure, au vu du <a href="https://www.youtube.com/watch?v=hm4AOfayPXo">développement rapide des armes anti-satellites</a>). En revanche, on constate déjà une augmentation rapide d’incidents, intentionnels ou involontaires. Selon le <a href="https://aric-aachen.de/strike3/S3-work/">projet Strike3</a>, initiative européenne visant à limiter l’exposition du continent au « risque GPS », plus de 21 000 événements d’interférence aux communications aéroportuaires ont été détectés pendant le seul mois d’avril 2018, sur les huit principaux aéroports européens. Parmi ceux-ci, 1 141 ont été identifiés comme des interférences délibérées.</p>
<p>Une cyberattaque spatiale peut générer des perturbations, entraîner une perte de données voire mener à la perte d’un satellite ou d’un réseau complet de satellites. En prenant la main sur le système de commande et contrôle d’un satellite, un attaquant pourrait en modifier l’orbite, couper les communications, ou encore désactiver son électronique. Comme dans la plupart des cyberattaques terrestres, l’attaquant pourrait utiliser des serveurs détournés sans laisser de traces.</p>
<p>Conscients de la fragilité du système, la Russie, puis l’UE et enfin le Japon et la Chine ont mis en place leurs propres constellations de satellites : respectivement <a href="https://fr.rbth.com/tech/87655-glonass-differences-gps-russe">Glonass</a> en 1993, <a href="https://www.esa.int/Space_in_Member_States/France/Qu_est-ce_que_Galileo">Galileo</a> en 2011, <a href="https://qzss.go.jp/en/">QZSS</a> et <a href="https://www.bfmtv.com/economie/entreprises/services/le-gps-chinois-beidou-est-finalise-et-couvre-desormais-toute-la-planete_AN-202006230282.html">Beidou</a> en 2018.</p>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/4sht2CDVQ2w?wmode=transparent&start=0" frameborder="0" allowfullscreen=""></iframe>
</figure>
<p>L’appellation GPS, spécifique au système américain, tend donc à être remplacée par « Système mondial de navigation par satellites » (SMNS), en anglais : <em>Global Navigation Satellites System</em>.</p>
<h2>Le risque géostratégique</h2>
<p>Les forces armées contemporaines, particulièrement en Occident, ont développé une dépendance aiguë au système GPS, que ce soit pour la géolocalisation, le guidage des missiles, ou encore la navigation en mer ou dans les airs. Les obus d’artillerie « intelligents », ainsi que les roquettes des Himars, grâce à leur guidage GPS sophistiqué, sont capables de frapper avec une précision de moins de 2 mètres une cible située à plusieurs dizaines, voire centaines de kilomètres, comme <a href="https://www.capital.fr/economie-politique/voici-comment-fonctionne-le-systeme-himars-cette-arme-qui-met-les-troupes-russes-en-difficulte-1449355">démontré avec succès par l’artillerie ukrainienne</a> ces dernières semaines.</p>
<p>Dès lors, bon nombre d’acteurs ont intérêt à développer des systèmes de brouillage.</p>
<p>Le brouillage vise à transmettre un signal plus puissant dans la même bande de fréquence que le GPS pour perturber ses signaux. Disponibles <a href="https://www.123automoto.fr/les-brouilleurs-gps-sont-ils-efficaces-contre-les-traceurs-gps-voiture/">pour quelques dizaines d’euros</a>, les dispositifs de brouillage sont fréquemment utilisés dans le vol de véhicules par des malfrats. Les dispositifs civils ont une portée de quelques dizaines de mètres, alors que les dispositifs militaires permettent de brouiller voire d’interrompre les signaux GPS sur plusieurs centaines de kilomètres à la ronde.</p>
<p>Lors de l’opération Iraqi Freedom en 2003, la société russe Aviaconversiya avait <a href="https://www.scientificamerican.com/article/safeguarding-gps/">fourni aux forces armées irakiennes des dispositifs de brouillage GPS</a>, d’un poids de moins de 8kg et d’une portée de 200 km. La menace avait été jugée suffisamment sérieuse pour que les frappes de la coalition visent en priorité ces dispositifs.</p>
<p>Plus proche de chez nous, à Nantes en 2017, un ingénieur commercial avait omis d’éteindre son brouilleur GPS grand public laissé dans son véhicule, garé à l’aéroport. <a href="https://www.20minutes.fr/nantes/2115615-20170810-nantes-bloque-plusieurs-cause-brouilleur-gps">Le brouilleur perturba sérieusement le fonctionnement de l’aéroport</a>, et le risque d’une collision aérienne entraîna l’intervention de la gendarmerie qui géolocalisa puis neutralisa le brouilleur.</p>
<p>À l’autre bout du continent, la Corée du Nord se livre régulièrement, dans un but obscur, à des <a href="https://www.20minutes.fr/monde/1817547-20160401-maintenant-coree-nord-brouille-gps-sud">campagnes de brouillage</a> visant les aéronefs, civils ou militaires, sud-coréens. Plusieurs centaines d’avions civils peuvent être visés chaque mois, selon l’autorité de l’aviation civile coréenne.</p>
<p>Le brouillage est, à la base, une opération relativement aisée, tant les signaux des GNSS – GPS comme Galileo – sont faibles en comparaison de ceux émis par les brouilleurs. Le signal d’un GPS peut être comparé au bruit émis par une cigale, alors que son brouillage par interférence se rapproche à celui d’un avion à réaction.</p>
<p>Dans ces conditions, pourquoi la Russie, qui a <a href="https://lerubicon.org/publication/le-combat-cyberelectronique-russe-en-ukraine/">massivement investi</a> dans des systèmes de guerre électronique capables de couper les communications et les signaux sur un large spectre, n’a-t-elle pas encore « coupé » le GPS ?</p>
<h2>Pourquoi Poutine attend avant d’aveugler l’Occident</h2>
<p>La Russie dispose d’équipements de brouillage anti-GPS et d’armes anti-satellites <a href="https://www.tf1info.fr/sciences-et-innovation/espace-armes-la-russie-travaille-sur-un-canon-laser-capable-d-aveugler-les-satellites-militaires-depuis-le-sol-2228359.html">extrêmement sophistiquées</a>. Elle a déjà, par le passé, brouillé les signaux GPS de l’OTAN sur une vaste région, à savoir l’Arctique, <a href="https://www.ledevoir.com/monde/europe/541181/la-finlande-accuse-la-russie-de-brouiller-les-signaux-gps-dans-l-arctique">lors des exercices militaires de l’OTAN de l’automne 2018</a>.</p>
<p>En 2021, alors que la Russie venait de <a href="https://www.tf1info.fr/sciences-et-innovation/tir-de-missile-russe-dans-l-espace-quelle-menace-representent-ces-tirs-antisatellites-2202062.html">détruire un de ses satellites dans l’espace</a>, un commentateur de la télévision russe avait déclaré en 2021 que la nation pourrait <a href="https://www.dailymail.co.uk/news/article-10233287/Russia-warns-destroy-NATO-satellites-White-House-says-concerns.html">« aveugler l’OTAN »</a> en abattant tous les satellites GPS. Aujourd’hui, en Ukraine, les forces russes <a href="https://www.futura-sciences.com/tech/actualites/cyberguerre-guerre-ukraine-russie-brouille-signal-gps-97991/">brouillent régulièrement les signaux GPS</a> sur une partie du théâtre d’opérations. Pour autant, ce brouillage n’est pas aussi complet que certains observateurs l’avaient prévu.</p>
<p>La principale raison est que les forces russes ont elles-mêmes cruellement besoin du GPS. En effet, les récepteurs GPS sont très répandus, bien meilleur marché et plus faciles à utiliser que les récepteurs Glonass. Pour preuve, les avions de chasse russes abattus dont on a découvert qu’ils avaient des <a href="https://www.youtube.com/watch?v=i0fSk9GgXvk">récepteurs GPS civils scotchés sur leur tableau de bord</a>.</p>
<p>Par ailleurs, l’Ukraine utilise toujours d’importants stocks d’armes datant de l’ère soviétique, qui sont peu susceptibles d’être affectés par les formes de guerre électronique.</p>
<h2>Le scénario « GPS blackout » et le retour du sextant</h2>
<p>Il n’en reste pas moins que, depuis plusieurs années, les forces armées occidentales se préparent à un scénario d’interruption complète et prolongée des systèmes de positionnement et navigation par satellite : le <a href="https://geointblog.wordpress.com/2018/03/05/le-gps-est-il-menace/">« GPS Blackout »</a>.</p>
<p>Les exercices de l’OTAN simulent désormais un conflit à haute intensité, fulgurant et simultané, dans un environnement aux communications fortement dégradées et au sein duquel une panne GPS majeure se produit sur plusieurs semaines, voire plusieurs mois. Les armées occidentales envisagent des solutions alternatives pour maintenir leurs capacités de combat à un niveau adéquat : tirs de missiles sans GPS, et… utilisation du <a href="https://www.youtube.com/watch?v=NRB8CIj6esU">sextant</a> comme instrument de navigation en mer.</p>
<p>Parmi les solutions plus techniques, les armées occidentales se tournent vers la mise en place de réseaux de pseudo-satellites, ou <a href="https://asc.army.mil/web/portfolio-item/pseudolites/"><em>pseudolites</em></a>, via les antennes terrestres, afin de créer un système de localisation « de théâtre », par opposition au GPS qui est de nature globale. Ce type de système permet une meilleure résilience, et est par ailleurs nettement moins coûteux à déployer.</p>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/2vJGi4BRPQQ?wmode=transparent&start=0" frameborder="0" allowfullscreen=""></iframe>
</figure>
<p>Des systèmes assez anciens, tels l’Astro-inertial navigation system (ANS, en français : système de navigation inertiel recalé par visée stellaire) sont <a href="https://www.sciencedirect.com/science/article/abs/pii/S1270963806000204">ressortis des cartons</a>, afin d’assurer une redondance au GPS. L’ANS équipe certains aéronefs américains, dont l’avion-espion <a href="https://aviationsmilitaires.net/v3/kb/aircraft/show/913/lockheed-sr-71-blackbird">BlackBird SR71</a>. Bien que moins précis que le GPS, l’ANS permet une géolocalisation et un géopositionnement à 100 mètres près.</p>
<p>Enfin, l’agence publique américaine <a href="https://www.darpa.mil/">DARPA</a> – génitrice d’Internet dans les années 1960 – planche en ce moment sur une autre technologie jugée « très prometteuse », l’ASPN : <a href="http://people.csail.mit.edu/chiu/projects_files/ASPN.htm"><em>All-Source Positioning and Navigation</em></a>. Il s’agit ici d’utiliser des signaux d’opportunité, tels la radio, les antennes relais et la télévision, pour se positionner.</p>
<p>Son homologue britannique, l’<a href="https://www.gov.uk/government/organisations/advanced-research-and-invention-agency">ARIA</a>, travaille pour sa part sur un système de navigation baptisé <a href="https://www.baesystems.com/en/product/navigation-via-signals-of-opportunity-navsop">NAVSOP</a>, pour <em>Navigation via Signals of Opportunity</em>, basé sur des principes identiques.</p><img src="https://counter.theconversation.com/content/194508/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Serge Besanger ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>La Russie pourrait-elle s’attaquer aux réseaux GPS indispensables aux Occidentaux ?Serge Besanger, Professeur à l’ESCE International Business School, INSEEC U Research Center, ESCE International Business SchoolLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1924072022-11-02T19:39:04Z2022-11-02T19:39:04ZCyberattaques des hôpitaux : que veulent les hackers ?<p>Le 20 août 2022, le Centre Hospitalier Sud Francilien (CHSF) de Corbeil-Essonnes a été <a href="https://www.liberation.fr/societe/sante/hopital-pirate-en-essonne-des-hackers-russophones-revendiquent-lattaque-20220912_ZS2FG5FIM5EKVL2ORDTQFDJZ7Q/?redirected=1">victime d’une cyberattaque</a>. Pour le vice-amiral Arnaud Coustillère, chargé de la cyberdéfense française, la <a href="https://theconversation.com/comment-lutter-contre-les-cyberattaques-192346">cyberattaque</a> se définit comme « une action volontaire, offensive ou malveillante, menée au travers du cyberespace et destinée à provoquer un dommage aux informations et aux systèmes qui les traitent, pouvant ainsi nuire aux activités dont ils sont le support ».</p>
<p>De son côté, l’Agence nationale de sécurité des systèmes d’information <a href="https://www.ssi.gouv.fr">(ANSSI)</a> définit la cyberattaque comme « une tentative d’atteinte à des systèmes d’information réalisée dans un but malveillant. Elle peut avoir pour objectif de voler des données (secrets militaires, diplomatiques ou industriels, données personnelles bancaires, etc.), de détruire, endommager ou altérer le fonctionnement normal de systèmes d’information (dont les systèmes industriels) ».</p>
<h2>Le cas du CHU de Corbeil</h2>
<p>Dans le cas du <a href="https://www.tf1info.fr/justice-faitsdivers/cyberattaque-au-chu">CHSF de Corbeil</a>, il s’agissait de voler et chiffrer (c’est-à-dire coder) une partie des données traitées par le Centre hospitalier, ce qui a eu pour effet de bloquer le système informatique. Les cybercriminels ont ensuite exigé le paiement d’une rançon pour débloquer le système et ses ressources nécessaires au bon fonctionnement des services et à la prise en charge des patients.</p>
<p>S’en est suivie une certaine désorganisation, malgré le souci du CHU et du personnel d’assurer la pérennité des soins. Le CHSF a déposé une plainte dès le 21 août 2022 et l’enquête a été confiée au Centre de lutte contre les criminalités numériques, le service compétent de la gendarmerie nationale. Une notification de violation de données à caractère personnel a été effectuée auprès de la <a href="https://www.cnil.fr/">Commission nationale informatique et libertés</a> (CNIL) le 22 août 2022, conformément à <a href="https://gdpinfo.eu/fr/fr.article33">l’article 33</a> du Règlement général sur la protection des données.</p>
<p>[<em>Près de 80 000 lecteurs font confiance à la newsletter de The Conversation pour mieux comprendre les grands enjeux du monde</em>. <a href="https://theconversation.com/fr/newsletters/la-newsletter-quotidienne-5?utm_source=inline-70ksignup">Abonnez-vous aujourd’hui</a>]</p>
<p>Le 12 septembre 2022, les rançonneurs ont lancé un ultimatum de diffusion en masse des données volées en exfiltrant certaines données. Le CHSF a refusé de céder au chantage. Le 23 septembre, les cybercriminels ont divulgué pour l’exemple certaines données. Ces dernières portent sur des éléments afférents à des informations d’identité, tels nom, prénom, date et lieu de naissance, genre, numéro de sécurité sociale, les données de contact, tels les adresses postales et électroniques, les coordonnées téléphoniques, les informations résultant du passage des patients dans le CHU, comptes rendus médicaux, résultats d’examens, hospitalisation, ordonnances, etc.</p>
<h2>Comment sont traitées les données sensibles ?</h2>
<p>Le premier danger résulte dans l’éventuelle divulgation de données de santé. Ces dernières sont des données à caractère personnel, et des <a href="https://www.cnil.fr/fr/definition/donneesensible">données dites sensibles</a> selon le <a href="https://www.economie.gouv.fr/entreprises/reglement.general">Règlement général sur la protection des données</a> (RGPD) européen.</p>
<p>Les données personnelles permettent d’identifier ou de rendre identifiables, directement ou indirectement, des personnes physiques. Les données sensibles sont les données relatives à l’origine ethnique, aux opinions politiques, syndicales, religieuses, philosophiques, les données de santé, afférentes à la vie sexuelle, et depuis le RGPD, les données des fichiers biométriques et génétiques.</p>
<p>Les données sensibles ne sont pas censées être stockées, et quand le stockage est autorisé pour des raisons tenant à l’intérêt général, elles ne doivent en aucun cas être cédées, à titre gracieux ou onéreux (par exemple, un parti politique possède un fichier de ses adhérents, mais la <a href="https://www.cnil.fr/fr/elections/obligations-des-partis">vente de ce fichier est un délit</a>).</p>
<p>En ce qui concerne la santé, les données sont stockées, car elles sont nécessaires aux soins, et, en période d’épidémie, à l’intérêt public ; il existe aussi une finalité gestionnaire. La non-divulgation des données de santé est fondée sur le secret professionnel des soignants et <a href="https://www.service-public.fr/particuliers/vosdroits/F530">l’obligation de discrétion</a> à laquelle sont tenus les gestionnaires de santé.</p>
<h2>La jurisprudence « Jacques Brel »</h2>
<p>La santé s’attache à l’intimité de la personne. Cette intimité est tout particulièrement protégée dans les centres hospitaliers, maillons du système social français qui ne considère pas la santé comme un bien commercial, contrairement à ce qui s’impose aux <a href="https://www.cairn.info/revue-journal-du-droit-de-la-sante-et-de-l-assurance-maladie-2018-3-page-30.htm">États-Unis</a>.</p>
<p>Dans ce contexte, la divulgation des données de santé est protégée contre les intrusions, qu’il s’agisse de cyberattaques ou de photographies « dérobées » sans l’accord d’un malade.</p>
<p>Les journaux « people » ont gardé en mémoire la jurisprudence d’octobre 1978 : Jacques Brel, atteint d’un cancer en phase terminale, avait été photographié au téléobjectif sans son consentement et les clichés avaient fait l’objet d’une publication, révélant indiscrètement les ravages causés par la maladie à ce célèbre auteur-compositeur-interprète. La saisine en référé d’un tribunal avait abouti au retrait de la vente des exemplaires incriminés de <em>Paris Match</em>.</p>
<p>Le CHSF est donc particulièrement sensible à cette cyberattaque et il a informé individuellement les patients dont les données ont été prises en otage, avec communication de liens, et exemplaire d’une lettre de plainte.</p>
<h2>Le hameçonnage</h2>
<p>Une autre risque encouru par les patients dont les données sont diffusées pourrait être le <a href="https://www.service-public.fr/particuliers/vosdroits/hameconnage">hameçonnage</a>. Le hameçonnage correspond à une usurpation d’identité. Grâce aux données personnelles indûment obtenues, un SMS ou un courriel sont envoyés à une personne physique, sous couvert d’une identité médicale ou de la Sécurité sociale, pour obtenir de nouvelles informations ou un paiement non justifié.</p>
<p>Le CHSF de Corbeil a invité ses patients à faire preuve de vigilance après cette fuite de données. Il s’agit de vérifier que l’expéditeur du message est bien légitime et en rapport avec le sujet abordé, de ne jamais fournir d’informations confidentielles, telles des données bancaires (exemple : numéro de la carte bancaire), un ou des mots de passe, de ne pas ouvrir des pièces jointes qui pourraient être piégées. Il convient aussi de suivre de près les comptes associés à un numéro de Sécurité sociale, et de changer ses mots de passe au moindre doute.</p>
<hr>
<p>
<em>
<strong>
À lire aussi :
<a href="https://theconversation.com/ukraine-la-guerre-se-joue-egalement-dans-le-cyberespace-178846">Ukraine : la guerre se joue également dans le cyberespace</a>
</strong>
</em>
</p>
<hr>
<p>Si malgré ces recommandations, des personnes sont victimes d’escroqueries, elles sont invitées à porter plainte. La plainte sera en phase avec <a href="https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/violation-donnees-chsf-formulaire-lettre-plainte-electronique">l’enquête préliminaire</a> diligentée sur les instructions du Parquet de Paris, en cours au Centre de lutte contre les criminalités numériques, pour infractions d’accès et maintien dans un système de traitement automatisé de données (STAD), introduction frauduleuse de données dans un STAD, modification frauduleuse de données contenues dans un STAD, entrave au fonctionnement d’un STAD, extorsion en bande organisée et association de malfaiteurs en vue de commettre un crime ou un délit punis de cinq ans au moins d’emprisonnement.</p>
<p>Les plaignants qui se constituent partie civile pourront aussi saisir la commission d’indemnisation des victimes d’infraction, conformément aux <a href="https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000038312693/">articles 706-3</a> ou 706-14 du code de procédure pénale. Ils pourront ensuite espérer obtenir réparation du préjudice subi par voie d’indemnisation, notamment en cas d’escroquerie. Rappelons que pour l’heure, les polices d’assurance civile font rarement apparaître une clause « hameçonnage ».</p><img src="https://counter.theconversation.com/content/192407/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Claudine Guerrier ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>Les cybercriminels ont exigé le paiement d’une rançon pour débloquer le système informatique nécessaire au bon fonctionnement des services et à la prise en charge des patients.Claudine Guerrier, Professeur à l'Institut Mines-Télécom Business School, Institut Mines-Télécom Business School Licensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1923462022-10-16T15:39:38Z2022-10-16T15:39:38ZComment lutter contre les cyberattaques ?<p>Plusieurs cyberattaques ont été rapportées dans la presse récemment. La mairie de Caen et le département de la Seine-Maritime ont fait mention d’interruptions de service significatives, mais sans publier de détails. D’autres cyberattaques largement publiées dans la presse ont touché le centre hospitalier sud-francilien (CHSF) et l’Institut National Polytechnique de Toulouse.</p>
<p>Dans ces deux derniers cas, il s’agit d’une attaque par <a href="https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/rancongiciels-ransomwares">ransomware</a> ou rançongiciel qui consiste en l’envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement.</p>
<p>Dans ces deux cas comme dans d’autres, l’attaque se déroule en plusieurs temps. Tout d’abord, l’attaquant pénètre le système d’information et s’y propage. Il obtient ensuite l’accès à des données sensibles et les exfiltre. Il rend ensuite les données inaccessibles localement, en les chiffrant. L’intérêt du chiffrement plutôt que de l’effacement est qu’il rend la récupération très difficile, voire impossible. Finalement, il dépose une demande de rançon pour d’une part ne pas divulguer des données sensibles, d’autre part donner les outils nécessaires au déchiffrement des données.</p>
<p>Ces attaques sont bien connues et se déroulent depuis plusieurs années. On peut cependant noter plusieurs phénomènes inquiétants qui amènent à un accroissement du nombre d’attaques et donc à un accroissement de l’impact de ces attaques.</p>
<ul>
<li><p>Plates-formes : les outils d’attaque se professionnalisent et deviennent disponibles sous forme de service, permettant à de très nombreux groupes ou individus <a href="https://krebsonsecurity.com/2021/11/arrest-in-ransom-your-employer-email-scheme/">d’acheter des « services » de cybermalveillance</a>.</p></li>
<li><p>Multiplicité des canaux d’attaque : les canaux d’attaque se sont multipliés. Initialement par mail, ils se sont également étendus aux SMS et aux grandes plates-formes de réseaux sociaux. Les attaquants envoient également de grands nombres de messages, réalisant ainsi une forme de pilonnage qui accroît la confusion potentielle des utilisateurs. Ils utilisent également des émetteurs de messages bien connus des victimes et qui les touchent de près, par exemple l’assurance maladie ou les banques.</p></li>
<li><p>L’émergence des attaques « zéro-click » : nous sommes habitués à des attaques qui pour réussir demandent une action de la part de la victime (cliquer sur un lien, ouvrir un fichier). Les attaques zéro-click permettent d’exploiter une vulnérabilité en déclenchant des mécanismes automatisés sur l’équipement récepteur. Un exemple de ce type d’attaque a visé <a href="https://la-rem.eu/2021/11/apple-victime-dune-attaque-zero-clic/">iMessage</a>, le service de SMS avancé des iPhones. Lorsque l’attaquant émet un message, le téléphone qui le reçoit effectue automatiquement un ensemble de traitements pour afficher les messages, publier une notification, traiter les messages. Une vulnérabilité présente dans cette chaîne de traitement infecte donc le téléphone sans que l’utilisateur ne fasse quoi que ce soit.</p></li>
<li><p>Multiplicité des motivations : les motivations des attaquants sont également multiples, allant du vol à la destruction de données, à l’exposition publique de mauvaises pratiques, à la géopolitique.</p></li>
</ul>
<p>Notons que toutes les organisations sont potentiellement vulnérables. À ce stade, il est difficile pour de très nombreuses organisations, administrations publiques ou petites entreprises, d’engager des ressources pour renforcer leur niveau de cybersécurité. L’augmentation du nombre d’attaques est donc à même de faire rapidement plus de victimes.</p>
<h2>Comment se prémunir face à ces attaques</h2>
<p>La première manière de se prémunir d’une attaque est de prendre conscience du risque et des conséquences qu’il peut avoir. D’après mon expérience, cette prise de conscience est d’autant plus difficile que l’utilisateur est habitué à un fonctionnement normal des outils numériques et qu’il ne le voit pas comme un vecteur de menace, mais comme un outil facilitateur.</p>
<p>Il est également plus difficile de se méfier d’institutions de confiance, comme les impôts, l’assurance maladie ou les banques. Ces organisations peuvent légitimement vous envoyer des messages, et la consultation des informations ainsi transmises peut se révéler importante. L’utilisateur a donc naturellement tendance à agir sur réception d’un tel message, en le lisant, puis en ouvrant les pièces jointes ou en cliquant sur les liens pour aller visiter le site correspondant.</p>
<p>Les attaquants sont également capables soit d’usurper une adresse de messagerie, soit de voler l’accès à un compte légitime. Il peut ensuite vous envoyer un message en se faisant passer pour une personne de confiance. Il convient donc de regarder attentivement ce qui est envoyé, de considérer que tout message est potentiellement malveillant, et de bien regarder les liens envoyés avant de les utiliser.</p>
<p>Encore mieux, si possible, il est souhaitable de saisir directement dans la barre de navigation du navigateur le site vers lequel on souhaite naviguer. « impots.gouv.fr » ou « ameli.fr » font suffisamment peu de caractères pour être saisis directement.</p>
<p>La deuxième manière de se prémunir est de limiter les vulnérabilités présentes sur un poste de travail ou un téléphone. Cela veut dire qu’il faut installer régulièrement les mises à jour disponibles, tant des systèmes d’exploitation que des applications. Ces mises à jour peuvent être installées automatiquement, ce qui facilite leur prise en compte. Cependant, plusieurs obstacles pratiques peuvent limiter l’efficacité du processus de mise à jour, notamment le fait qu’elles demandent en général une bonne connectivité réseau, un accès à une source d’énergie, et une relance de l’appareil mis à jour pour être complètement opérationnelles.</p>
<p>Plus gênant, les magasins d’application mélangent mises à jour de sécurité et altération des fonctionnalités, et peuvent <a href="https://www.phonandroid.com/android-un-dangereux-malware-se-cache-dans-ces-applications-desinstallez-les-vite.html">inclure des codes malveillants</a>. Un exemple de mise à jour altérant les fonctionnalités est la suppression du composant flash par Adobe en décembre 2020. Ce composant était utilisé pour la gestion du trafic dans une station de train chinoise. La suppression du composant a été déclenchée par l’installation d’ordinateurs plus récents, ce qui a rendu impossible la <a href="https://www.lemonde.fr/big-browser/article/2021/01/28/pas-de-flash-pas-de-trains-le-reseau-ferroviaire-d-une-metropole-chinoise-immobilise-pendant-plus-de-vingt-heures_6067936_4832693.html">circulation des trains</a>.</p>
<p>Ces modifications « cachées » devraient pouvoir être refusées par les utilisateurs, ce qui n’est pas toujours possible. A cet égard, la responsabilité des développeurs est engagée, car ils mixent de manière invisible mises à jour de sécurité, mises à jour de fonctionnalités, et effets de bords non désirés. Par ailleurs, il peut être difficile de faire fonctionner des applications récentes sur des plates-formes matérielles anciennes, laissant ainsi la place à des vulnérabilités.</p>
<p>Il convient par ailleurs de maîtriser la source des logiciels utilisés, en se limitant aux magasins d’applications officiels. Ceux-ci peuvent effectuer des traitements sur les applications pour vérifier leur innocuité et peuvent rapidement retirer des applications compromises.</p>
<hr>
<p>
<em>
<strong>
À lire aussi :
<a href="https://theconversation.com/etats-banques-hopitaux-tous-victimes-des-attaques-informatiques-168707">États, banques, hôpitaux : tous victimes des attaques informatiques</a>
</strong>
</em>
</p>
<hr>
<p>Encore mieux, faire passer les logiciels et documents téléchargés dans une sonde de décontamination permet de limiter le risque d’infection. L’ANSSI décrit la spécification d’un <a href="https://www.ssi.gouv.fr/tag/station-blanche/">tel équipement</a>, et une implémentation à base de logiciels libres <a href="https://keysas.fr/raspberry.html">est disponible</a>. Cette pratique n’est malheureusement pas accessible sauf à des utilisateurs avertis, et se limite aux plates-formes informatiques. Tester les mises à jour d’applications sur smartphone me semble actuellement hors de portée d’un utilisateur même averti.</p>
<p>La troisième manière de se prémunir est d’être capable de reprendre ses activités rapidement en cas de compromission.Cela veut bien entendu dire faire des sauvegardes, et s’assurer que ces sauvegardes sont effectives, c’est-à-dire que l’on sait restaurer ou récupérer les données. Si l’on utilise des disques durs externes, il est nécessaire de vérifier que ces disques ne sont connectés que pendant le temps de la sauvegarde, pour éviter que ceux-ci soient impactés par une attaque. Si l’on utilise une sauvegarde en nuage, il est également nécessaire de limiter la connexion à ce service, et également de sauvegarder séparément les identifiants de connexion à l’extérieur de sa machine, par exemple en les imprimant.</p>
<p>Pour restaurer intégralement un ordinateur, il est souvent nécessaire de faire une sauvegarde intégrale du disque dur. Il est donc également nécessaire lors de la restauration de vérifier que les codes malveillants ayant permis l’attaque ne sont pas présents dans la sauvegarde. Il est souvent préférable de réinstaller complètement le système d’exploitation, puis de réintroduire les données. Dans ce cas, il est possible de ne sauvegarder que des données essentielles.</p>
<p>Une autre problématique est l’authentification à double facteur (2FA). Dans de nombreux cas, cela repose sur l’usage d’un téléphone mobile et la possibilité de recevoir des SMS. Il faut donc apporter un soin particulier à la récupération rapide d’un téléphone, en faisant des sauvegardes régulières de celui-ci et en s’assurant de pouvoir obtenir rapidement une nouvelle carte SIM en cas de besoin, auprès de son opérateur.</p>
<h2>Comment réagir si l’on est une victime ?</h2>
<p>Pour bien réagir, il est nécessaire de rester en alerte vis-à-vis de phénomènes imprévus se produisant lors de l’usage des systèmes numériques. Ces phénomènes peuvent indiquer une compromission. L’ordinateur ou le smartphone peut par exemple fonctionner plus lentement que d’habitude, voir se bloquer quelques secondes. On peut également voir des applications démarrer sans action de l’utilisateur, ou des fenêtres qui passent de manière fugitive à l’écran.</p>
<p>Plus celle-ci est détectée tôt, plus il est possible de limiter la contagion et d’éviter une compromission globale de tout le système d’information. Cela peut impliquer un changement de culture, notamment de reconnaître que l’on a commis une erreur. Alerter peut permettre de réagir efficacement, car la propagation peut être une question de minutes.</p>
<p>Si une machine est compromise, il faut l’isoler le plus rapidement possible, si possible physiquement. Cela implique de bloquer les connectivités, physiques et radio (WIFI, 4G…). Une connexion Internet est nécessaire pour diagnostiquer le problème, identifier le programme malveillant en cause, et rechercher des outils de remédiation, mais ces connexions et recherches doivent être menées depuis un poste indépendant et sain. Les outils doivent être chargés sur des supports neutres et sains (DVD-RO/RW dans le meilleur des cas, clé USB sinon) et ne jamais être remis sur cette machine saine. Le DVD notamment RO (<em>Read Only</em>) ne peut s’écrire qu’une seule fois et il sera donc particulièrement résistant à une tentative d’altération.</p>
<p>Une autre possibilité, plus technique, est d’extraire le disque dur de la machine victime et d’y accéder en lecture seule, et surtout en empêchant l’exécution de tout programme depuis ce support compromis.</p>
<p>Une sauvegarde sur des supports de type DVD, malheureusement de moins en moins courant, permet d’éviter toute altération des données.</p>
<p>Si l’on est face à une machine compromise, il va être nécessaire de la réinstaller complètement. Une restauration partielle ne permet que rarement d’obtenir une machine utilisable. Il faut donc garder les supports de réinstallation nécessaires. Dans la plupart des cas, ces supports sont dématérialisés, contenus dans une partition spécifique du disque dur, et ils s’activent en modifiant la séquence de démarrage du système. La réinstallation nécessite également d’avoir sauvegardé un certain nombre de données très importantes, comme les clés de licence, ou les identifiants utilisés pour se connecter à différents services en ligne. La manière la plus simple de restaurer ces identifiants est soit d’utiliser un coffre-fort de mots de passe en ligne, soit de les imprimer régulièrement.</p>
<p>Un point important est le paiement de la rançon demandée par l’attaquant. Outre que cela est probablement illégal et constitue un encouragement à continuer à attaquer, payer ne permet souvent pas de récupérer ses données. Et rien n’empêche l’attaquant de laisser un cheval de Troie dans votre système pour recommencer quelques semaines plus tard, ou d’espionner toutes vos communications.</p>
<h2>Et dans le monde professionnel ?</h2>
<p>Le monde professionnel peut faciliter tout cela, tant en termes de protection que de détection et de reprise d’activité.</p>
<p>Tout d’abord, des actions de formation à la sécurité de l’information et aux risques sont menés dans les entreprises, de la même manière que l’on forme aux procédures d’évacuation en cas d’incendie. Ces actions de formation peuvent inclure les bonnes pratiques de <a href="https://www.ssi.gouv.fr/guide/guide-dhygiene-informatique/">l’hygiène informatique</a>, et des recommandations particulières liées aux métiers exercés, ou au domaine d’exercice de l’entreprise.</p>
<p>Une organisation dispose également d’outils de sécurité et de gestion de parc plus sophistiqués, qui permettent de filtrer les échanges, de déployer des mécanismes de protection, et de gérer les mises à jour en bloc. Assurer une gestion au quotidien de son parc informatique augmente naturellement la robustesse et la qualité de service du système d’information.</p>
<p>Un autre sujet est le niveau de confiance que l’on peut avoir dans un système qui a été compromis. Il peut toujours rester des résidus d’attaque permettant à l’attaquant de reprendre pied dans le système information. La récupération sur incident peut donc se révéler particulièrement coûteuse, puisque reconstruire une machine individuellement est faisable, mais appliquer cela à l’ensemble d’un parc informatique est extrêmement complexe.</p>
<p>Il ne s’agit plus de savoir si nous serons attaqués, mais quand. Il est donc indispensable d’être prêt à subir une compromission, et à s’en remettre lorsque cela arrive. Il faut mettre en place des mécanismes de sauvegarde robustes pour les données qui le nécessitent (pas question de sauvegarder les vidéos de chaton sur YouTube avec nos relevés bancaires…) et être capable de reconstruire sa machine le cas échéant (ordinateur, mais aussi téléphone portable, tablette, voire enceinte ou frigo connecté). Il faut finalement être conscient des risques possibles et utiliser avec raison et bon sens tous les outils numériques, pour en tirer le meilleur.</p><img src="https://counter.theconversation.com/content/192346/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Hervé Debar a reçu des financements de l'Europe sur les programmes Horizon Europe, Digital Europe et Erasmus. Il a reçu des financements français de l'ANR et du PIA4. Il est membre du conseil scientifique de l'ANSSI.</span></em></p>Entreprises, administrations ou particuliers, nous pouvons toutes et tous être victimes de cyberattaques.Hervé Debar, Directeur de la Recherche et des Formations Doctorales, Directeur adjoint, Télécom SudParis – Institut Mines-TélécomLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1873882022-07-24T15:49:15Z2022-07-24T15:49:15ZInvasion russe de l’Ukraine : l’heure de gloire de l’OSINT<figure><img src="https://images.theconversation.com/files/475429/original/file-20220721-10402-apb1dk.jpg?ixlib=rb-1.1.0&rect=0%2C7%2C5000%2C3667&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">L’OSINT est un outil stratégique important dans les conflits dits «&nbsp;hybrides&nbsp;».
</span> <span class="attribution"><a class="source" href="https://www.shutterstock.com/fr/image-photo/digital-crime-by-anonymous-hacker-1102776092">Shutterstock</a></span></figcaption></figure><p>Avec l’invasion russe en Ukraine, l’OSINT connaît <a href="https://www.20minutes.fr/high-tech/3313419-20220626-guerre-ukraine-assiste-avenement-osint-enquete-ligne-accessible-tous">son heure de gloire</a>. En effet, si l’<em>open source intelligence</em> – à savoir l’exploitation de sources d’information accessibles à tous (journaux, sites web, conférences…) à des fins de renseignement – est largement utilisée pour contrecarrer la diffusion de fake news et la désinformation, elle est aussi d’un grand secours tactique, voire stratégique, pour glaner des informations à caractère militaire.</p>
<p>Dans ce contexte, il paraît important de rappeler ce qu’est l’OSINT, ainsi que la façon dont elle est employée et les enjeux organisationnels et de gouvernance qui y sont liés.</p>
<h2>D’où vient l’OSINT ?</h2>
<p>Depuis l’invasion de l’Ukraine par la Russie, les partisans de Kiev ont largement recours à l’OSINT pour vérifier des informations diffusées sur Internet, particulièrement sur les réseaux sociaux, et, le cas échéant, démasquer les fausses nouvelles.</p>
<p>L’origine de l’OSINT remonte à la Seconde Guerre mondiale. C’est à cette époque que le président des États-Unis Franklin D. Roosevelt crée le Foreign Broadcast Monitoring Service (FBMS), qui a pour mission d’écouter, de transcrire et d’analyser les programmes de propagande conçus et diffusés par l’Axe. Développé à la suite de l’attaque de Pearl Harbor, ce programme deviendra le <a href="https://apps.dtic.mil/sti/citations/ADA510770">Foreign Broadcast Intelligence Service</a>, appelé à être placé sous l’autorité de la CIA. En 1939, parallèlement à la structure américaine, les Britanniques chargent la <a href="https://kclpure.kcl.ac.uk/portal/files/83578898/2013_Johnson_Laurie_Marie_0743872_ethesis.pdf">British Broadcasting Corporation</a> (BBC) de déployer un service destiné à scruter la presse écrite et les émissions radio pour produire des « Digest of Foreign Broadcasts », qui deviendront les « Summary of World Broadcasts » (SWB) puis le BBC Monitoring.</p>
<p>La guerre froide accentue ces pratiques d’observation des informations ouvertes, faisant rapidement de ces dernières un élément majeur du renseignement, voire <a href="https://warwick.ac.uk/fac/soc/pais/people/aldrich/vigilant/mercado.sailing.pdf">sa principale source d’information</a>, y compris sur les capacités et les intentions politiques adverses. Leur exploitation permet également d’identifier et d’anticiper les menaces et de lancer les premières alertes.</p>
<p>Pour autant, le terme d’OSINT n’apparaît réellement que dans les années 1980 à l’occasion de la <a href="https://irp.fas.org/congress/1992_cr/s920205-reform.htm">réforme des services de renseignement américains</a>, devenue nécessaire pour s’adapter aux nouveaux besoins d’information, notamment en matière tactique sur le champ de bataille. La loi sur la réorganisation du renseignement aboutit en 1992. Elle sera suivie en 1994 par la création, au sein de la CIA, du Community Open Source Program et du <a href="https://irp.fas.org/offdocs/dcid212.htm">Community Open Source Program Office</a> (COSPO).</p>
<p>[<em>Près de 70 000 lecteurs font confiance à la newsletter de The Conversation pour mieux comprendre les grands enjeux du monde</em>. <a href="https://theconversation.com/fr/newsletters/la-newsletter-quotidienne-5?utm_source=inline-70ksignup">Abonnez-vous aujourd'hui</a>]</p>
<p>Les attentats du 11 Septembre sont un « game changer » pour l’OSINT. En effet, c’est à la suite de la réforme de 2004 portant sur le renseignement et la prévention du terrorisme, l’<a href="https://www.justice.gov/sites/default/files/usao/legacy/2006/02/14/usab5304.pdf">Intelligence Reform and Terrorism Prevention Act</a> qu’est créé, en 2005, le <a href="https://www.ege.fr/infoguerre/2005/11/focus-sur-l-open-source-center">Centre Open Source</a> (OSC) chargé de filtrer, transcrire, traduire, interpréter et archiver les actualités et les informations de tous types de médias.</p>
<p>Si l’OSINT est née de la nécessité de capter des informations à des fins militaires, le secteur privé n’a pas tardé à s’emparer de ces techniques, notamment dans la sphère de l’<a href="https://www.cairn.info/revue-i2d-information-donnees-et-documents-2021-1-page-67.htm">intelligence économique</a>. Cette discipline a connu de nombreuses mutations au fil de son évolution : dans les premiers temps, il s’agissait d’accéder à des contenus recelant des informations parfois délicates à obtenir, mais l’explosion des nouvelles technologies a orienté davantage l’OSINT vers l’identification des informations pertinentes parmi la multitude de celles disponibles. C’est ainsi que se sont développés les outils et méthodes à même de trier ces informations et, particulièrement, de discerner celles susceptibles d’être trompeuses ou falsifiées.</p>
<h2>En Ukraine, une utilisation déjà relativement ancienne</h2>
<p>Si l’OSINT a gagné ses lettres de noblesse en Ukraine en permettant de valider ou d’invalider certains contenus, notamment diffusés sur les réseaux sociaux depuis février 2022, il faut remonter plus loin dans le temps pour mesurer sa réelle montée en puissance.</p>
<p>En effet, dès la <a href="https://www.ina.fr/ina-eclaire-actu/l-euromaidan-ou-la-revolution-ukrainienne-pour-la-democratie">révolution du Maïdan</a> en 2014, les séparatistes pro-russes duu Donbass et leurs soutiens diffusent un grand nombre de contenus dont la rhétorique, soutenue par Moscou, cherche à discréditer le nouveau gouvernement de Kiev. L’ampleur fut telle que les Occidentaux ont rapidement parlé de <a href="https://www.nato.int/docu/review/articles/2021/11/30/hybrid-warfare-new-threats-complexity-and-trust-as-the-antidote/index.html">guerre hybride</a> (même si le terme continue de faire <a href="https://www.nato.int/docu/review/articles/2015/05/07/hybrid-war-does-it-even-exist/index.html">l’objet de débats</a>) pour décrire la mobilisation de l’information. On parle également d’« information warfare » – c’est-à-dire l’art de la guerre de l’information – qui sert en temps de conflits autant qu’en temps de paix.</p>
<hr>
<p>
<em>
<strong>
À lire aussi :
<a href="https://theconversation.com/le-geoint-nouveau-processus-de-connaissance-des-lieux-et-des-hommes-175357">Le geoint, nouveau processus de connaissance des lieux et des hommes</a>
</strong>
</em>
</p>
<hr>
<p>Rapidement, des <a href="https://www.stopfake.org/fr/a-propos-de-nous/">structures</a> issues de la société civile sont mises en place afin de discréditer les fausses nouvelles dont le nombre explose sur la toile. Au-delà de ces initiatives, beaucoup d’internautes commencent à vérifier les contenus qui leur parviennent et à se familiariser avec des <a href="http://geo4i.com/">outils de base</a> pour, par exemple, identifier ou géo-localiser une image, afin de voir si elle est réellement représentative du sujet qu’elle est censée illustrer.</p>
<p>Certaines communautés se spécialisent ainsi sur des domaines plus ou moins précis. À titre d’exemple, <a href="https://informnapalm.rocks/">InformNapalm</a> se consacre aux contenus touchant aux sujets militaires et, en ne se limitant pas seulement à l’Ukraine, a constitué une base de données qui recense notamment les pilotes russes actifs sur le théâtre syrien. C’est une force de l’OSINT : elle transcende les frontières physiques et permet ainsi le développement de communautés transnationales.</p>
<p>Ce savoir-faire, acquis par nécessité depuis 2014, s’est renforcé au fil du temps, notamment à la faveur des vagues de désinformation liées à la pandémie de Covid-19. Ces réseaux ont permis aux Ukrainiens et à leurs soutiens d’être immédiatement très opérationnels au début de la guerre. En outre, le besoin croissant des journalistes de vérifier leurs sources a aussi participé à développer le recours à l’OSINT qui, disposant d’une multitude d’outils souvent disponibles en Open Source, facilite la pratique de <em>fact checking</em>.</p>
<p>Ainsi, de nombreuses publications explicitent désormais comment, en utilisant des moyens d’OSINT, elles ont validé ou invalidé tel ou tel contenu.</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"1545018493267058689"}"></div></p>
<h2>Enjeu de gouvernance et consolidation des réseaux</h2>
<p>On le voit, l’une des forces de l’OSINT consiste à s’appuyer sur une société civile parfaitement légitime à s’autosaisir en fonction de ses centres d’intérêt. Cette dynamique a permis la création de réseaux efficaces et transnationaux.</p>
<p>Cependant, si les États peuvent eux aussi déployer des compétences d’OSINT, un enjeu majeur demeure : coordonner les besoins et les capacités. En effet, les États pourraient avoir avantage à se saisir des réseaux efficaces de l’OSINT, particulièrement dans un contexte de conflit. Cependant, outre le risque relatif à l’infiltration de ces réseaux, la capacité de recenser les besoins de l’État et de mettre ces derniers en relation avec la communauté susceptible d’y répondre représente une difficulté majeure.</p>
<p>D’un point de vue organisationnel, à moyen et long terme, cela pose également la question de la structuration de la ressource OSINT pour les gouvernements. Dans le cas de l’Ukraine, le gouvernement est encore jeune, l’indépendance remontant à août 1991. En outre, contraint depuis 2014 de faire face à un conflit puis, depuis février 2022 à à une invasion massive, la problématique peut être difficile à résoudre. De fait, il s’agit de trouver un équilibre entre l’urgence de la gestion quotidienne du conflit et la mise en place d’une organisation dont la finalité serait de manager l’OSINT au regard de la centralisation des besoins, de leur transmission ou du renforcement d’un vivier de compétences.</p>
<hr>
<p>
<em>
<strong>
À lire aussi :
<a href="https://theconversation.com/lalarmante-sous-representation-des-femmes-dans-les-metiers-de-la-cybersecurite-147677">L’alarmante sous-représentation des femmes dans les métiers de la cybersécurité</a>
</strong>
</em>
</p>
<hr>
<p>Pour essayer de répondre à cette problématique, un projet d’audit des besoins, préalable à l’élaboration d’un cadre organisationnel et juridique, a été mis en place. Piloté par l’<a href="https://www.infosecurity.institute/t-en-gb/">Institute for Information Security</a> – une ONG créée en 2015 et centrée sur les enjeux relatifs à la sécurité de l’information tant pour l’État que pour la société et les individus –, le projet « Strengthening the Institutional Capacity of Public Actors to Counteract Disinformation » (Renforcement de la capacité institutionnelle des acteurs publics à lutter contre la désinformation) a débuté en avril 2022 alors que le conflit faisait déjà rage. Il doit aboutir en mars 2023. Son objectif est d’améliorer la capacité institutionnelle des autorités publiques et des institutions de la société civile ukrainienne pour identifier et combattre la désinformation.</p>
<p>Parallèlement, un projet de Centre d’excellence de l’OSINT est mis en route, notamment porté par <a href="https://2017.cybersecforum.eu/prelegenci/dmytro-zolotukhin/">Dmitro Zolotoukhine</a>, vice-ministre ukrainien de la politique d’information de 2017 à 2019, et mené en partenariat avec l’Université Mohyla de Kiev et avec le secteur privé, notamment ukrainien. Son objet est de construire un pont entre les différentes strates de la société pour constituer un lieu de recherche et de développement. Cette démarche s’inscrit clairement dans le droit fil de celle qui a présidé à la création des Centres d’excellence pilotés par l’OTAN – qui, à Tallinn, portent sur la <a href="https://ccdcoe.org/">cyberdéfense</a>, à Riga sur la <a href="https://stratcomcoe.org/">communication stratégique</a> et à Vilnius sur la <a href="https://www.nato.int/cps/fr/natohq/news_102853.htm">sécurité énergétique</a> – ou encore dans celle du Centre d’excellence européen pour la lutte contre les <a href="https://www.hybridcoe.fi/">menaces hybrides</a> d’Helsinki.</p>
<hr>
<p>
<em>
<strong>
À lire aussi :
<a href="https://theconversation.com/ukraine-la-guerre-se-joue-egalement-dans-le-cyberespace-178846">Ukraine : la guerre se joue également dans le cyberespace</a>
</strong>
</em>
</p>
<hr>
<h2>L’OSINT, au-delà de l’Ukraine</h2>
<p>Reste à savoir si les Occidentaux qui soutiennent l’Ukraine soutiendront également ce projet alors même que ce pays est aujourd’hui un point phare de l’OSINT et que l’UE, qui <a href="https://www.coe.int/fr/web/campaign-free-to-speak-safe-to-learn/dealing-with-propaganda-misinformation-and-fake-news">prend très au sérieux</a> les risques liés à la désinformation, tout particulièrement depuis la <a href="https://ec.europa.eu/info/live-work-travel-eu/coronavirus-response/fighting-disinformation_fr">pandémie</a>, vient de renforcer son arsenal contre ces menées hostiles, notamment au travers de son <a href="https://www.forbes.fr/politique/lue-intensifie-la-lutte-contre-la-desinformation/">code de bonnes pratiques</a> paru en 2022.</p>
<p>Finalement, même si beaucoup de nos concitoyens associent l’OSINT à l’Ukraine et à l’invasion russe, la cantonner à la guerre en cours serait excessivement restrictif. Là encore, le conflit ukrainien est en passe de servir de révélateur d’enjeux qui dépassent largement les frontières physiques du pays.</p><img src="https://counter.theconversation.com/content/187388/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Christine Dugoin-Clément ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>La guerre en Ukraine rappelle l’utilité stratégique de l’OSINT – Open Source Intelligence –, qui vise à exploiter les innombrables informations disponibles et à démêler le vrai du faux.Christine Dugoin-Clément, Analyste en géopolitique, membre associé au Laboratoire de Recherche IAE Paris - Sorbonne Business School, Université Paris 1 Panthéon-Sorbonne, chaire « normes et risques », IAE Paris – Sorbonne Business SchoolLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1819112022-05-11T18:36:52Z2022-05-11T18:36:52ZLes cyberpirates nord-coréens à l’assaut des réseaux de cryptomonnaies<figure><img src="https://images.theconversation.com/files/462495/original/file-20220511-17-7hjb9k.jpg?ixlib=rb-1.1.0&rect=0%2C0%2C4000%2C2994&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">shutterstock</span> </figcaption></figure><p><a href="https://s3.us-east-1.amazonaws.com/files.cnas.org/documents/BlockchainAnalysisEES.pdf">Certains groupes cybercriminels</a> comme les groupes APT38 et le groupe Lazarus, affiliés à la Corée du Nord, se sont spécialisés dans les cyberattaques financières, car celles-ci sont en général extrêmement lucratives. Les plates-formes de change de cryptomonnaies (comme le bitcoin) font partie des cibles « naturelles » à haut potentiel pour les attaquants : elles concentrent d’importants flux financiers qui transitent via les technologies blockchain au gré de nombreux échanges tout en étant parfois très peu sécurisées. Ces technologies de stockage et de transmission d’informations se présentent sous la forme d’une base de données distribuée (non centralisée) dont la sécurité repose sur la cryptographie.</p>
<p>Les plates-formes de conversion de cryptomonnaies en dollars ou en euros demeurent le maillon faible dans la chaîne de sécurité du cycle financier des cryptos. Les attaquants le savent très bien et exploitent systématiquement les failles de sécurité qu’ils peuvent découvrir eux-mêmes en étudiant une plate-forme ou acheter à d’autres groupes cybercriminels sur les places de marché du dark web. Nous sommes entrés dans l’ère d’industrialisation des cyberattaques et d’optimisation des gains pour des groupes cybercriminels, mafias et cartels toujours plus professionnels et performants. La nature même des cryptomonnaies de par leur caractère décentralisé et anonymisé, des technologies blockchain et des réseaux qui les transportent ne pouvait qu’attirer les acteurs malveillants.</p>
<h2>Près de 600 millions d’euros dérobés</h2>
<p>La dernière cyberattaque imputable aux groupes APT38 et Lazarus a fait l’objet d’une <a href="https://www.fbi.gov/news/pressrel/press-releases/fbi-statement-on-attribution-of-malicious-cyber-activity-posed-by-the-democratic-peoples-republic-of-korea">déclaration du FBI</a> le 14 avril 2022. Les enquêteurs américains ont confirmé que les deux groupes agissant pour le compte de la République populaire de Corée du Nord, sont les responsables du vol (signalé le 29 mars) de 620 millions de dollars (573 millions d’euros) en cryptomonnaie Ethereum.</p>
<p>Le « cybercasse » résulte du piratage du jeu vidéo en ligne Axie Infinity basé sur la blockchain. Ce jeu très populaire a été créé en 2018 au Vietnam par Sky Mavis et a immédiatement rencontré le succès aux Philippines avec plusieurs millions d’utilisateurs. Il permet aux joueurs de gagner de l’argent sous la forme de NFT, des jetons numériques convertibles en cryptomonnaies. Les créateurs du jeu ont mis en place une blockchain rudimentaire, collatérale à la blockchain officielle Ethereum simplifiant et accélérant les transactions internes au jeu, mais au détriment de la sécurité de l’ensemble. Les attaquants d’APT38 et de Lazarus ont alors très logiquement détecté puis exploité les faiblesses de l’infrastructure du jeu pour ensuite détourner plus de 600 millions de dollars en cryptomonnaies. Le butin détourné alimente certainement les <a href="https://www.fbi.gov/news/press-releases/press-releases/fbi-statement-on-attribution-of-malicious-cyber-activity-posed-by-the-democratic-peoples-republic-of-korea">comptes du gouvernement nord-coréen</a>, et sert en particulier à financer son programme d’armement nucléaire.</p>
<p>Les groupes APT38 et Lazarus s’appuient sur des outils sophistiqués pour mener leurs attaques. Les deux groupes mis en cause par le FBI ont une longue expérience de hacking de haut niveau sur des cibles à très haute valeur ajoutée. Ils ont démontré leurs capacités offensives contre des systèmes disposant de bons niveaux de sécurité. Les attaques attribuées à l’APT38 et à Lazarus sont souvent sophistiquées. Elles s’appuient sur des malwares (logiciels malveillants) furtifs et parfois développés ou « customisés » en fonction des cibles financières envisagées. Comme le montre leur dernière attaque contre Axie Infinity et le réseau Ronin (protocole qui relie Ethereum à Axie Infinity), le retour sur investissement est important. Les gains gigantesques obtenus permettent d’acheter des vulnérabilités « zero day » (vulnérabilités inédites) de haut niveau, donc très coûteuses. Une vulnérabilité zero-day est une faille logicielle qui n’a pas fait l’objet d’un correctif.</p>
<p>Ils permettent aussi de recruter des talents parmi les meilleurs étudiants en informatique nord-coréens ou affiliés. Les hackers à haut potentiel seraient identifiés, recrutés et formés au hacking étatique dès le plus jeune âge. Ce dispositif doit être vu comme une composante à part entière de l’appareil militaro-industriel nord-coréen <a href="https://s3.us-east-1.amazonaws.com/files.cnas.org/documents/BlockchainAnalysisEES.pdf">comme le montre l’étude</a> du CNAS un centre d’analyse américain qui publie des rapports sur les groupes cyber.</p>
<h2>Un véritable effort de guerre</h2>
<p>La spécialisation vers des cibles financières contribue à l’effort de guerre nord-coréen. Les malwares opérés par APT38 et Lazarus se situent souvent à l’état de l’art des cyberattaques et nécessitent de fortes capacités de développement.</p>
<p>Comme pour toute cyberattaque sophistiquée, la phase préliminaire de sélection des cibles potentielles, de détection des vulnérabilités des systèmes d’information et de planification de l’attaque peut prendre beaucoup de temps.</p>
<p>Cette phase d’ingénierie sociale consiste en l’étude détaillée de l’organisation à cibler et de son système d’information. Les attaquants effectuent un repérage des maillons faibles de l’infrastructure au niveau des systèmes comme des utilisateurs humains. Ils recherchent ensuite les failles de sécurité qui pourront être exploitées à partir des logiciels malveillants dont ils disposent. Quand il n’existe pas de logiciel « sur étagère » efficace, des équipes de développement peuvent être constituées par les groupes cybercriminels pour produire des malwares sur mesure adaptés à la cible. Le haut niveau de furtivité des logiciels malveillants opérés caractérise les différents groupes APT. Parfois, les attaques s’effectuent en plusieurs étapes avec une phase consacrée au repérage des systèmes de défense de la cible. Une première attaque est lancée pour évaluer le niveau de détection et de remédiation opéré par le système ciblé. Dans d’autres cas, une charge malveillante est introduite dans le système sans être activée. Elle demeure dormante jusqu’au moment opportun de l’attaque qui peut intervenir plusieurs semaines après cette phase initiale. Dans tous les cas, les stratégies et tactiques offensives sont adaptatives à la cible et à la complexité de ses boucliers numériques.</p>
<p>La morphologie des groupes APT38 et Lazarus reste mal connue. La nature des cibles et la typologie des attaques permettent de les caractériser dans l’écosystème mondial des groupes APT. Leurs effectifs ne sont pas précisément connus. On sait que les hackers nord-coréens les plus talentueux sont recrutés en continu pour renforcer les équipes opérationnelles. Actif depuis 2014, le groupe APT38 a ciblé des banques, des institutions financières, des casinos, des bourses de cryptomonnaie, des points de terminaison du système Swift et des distributeurs automatiques de billets dans <a href="https://content.fireeye.com/apt/rpt-apt38">au moins 38 pays</a> à travers le monde.</p>
<h2>Des cibles multiples</h2>
<p>Les cyberopérations les plus importantes attribuées à APT38 concernent le braquage de la Banque du Bangladesh en 2016, au cours de laquelle le groupe a volé 81 millions de dollars. Il a mené des attaques contre Bancomext en 2018 et, la même année, contre Banco de Chile. On estime que les groupes cybercriminels liés à la Corée du Nord ont dérobé pour plus de <a href="https://content.fireeye.com/apt/rpt-apt38">400 millions de dollars</a> en cryptomonnaies par des cyberattaques en 2021.</p>
<p>Le groupe Lazarus (appelé aussi Guardians of Peace ou Whois Team) est un groupe cybercriminel dirigé par l’État nord-coréen. Entre 2010 et 2021, il a mené des nombreuses cyberattaques et est désormais considéré comme groupe APT (menace persistante avancée) en raison de la nature intentionnelle de la menace et du large éventail de méthodes utilisées lors de la conduite d’une opération. L’imprégnation idéologique d’APT38 et de Lazarus est celle du <a href="https://www.kaspersky.fr/about/press-releases/2021_apt-le-groupe-lazarus">pouvoir nord-coréen</a>, dans un mode de fonctionnement très proche de celui d’une unité militaire composante d’une cyberarmée moderne.</p>
<p>Il n’est pas possible d’évaluer avec précision la ventilation du butin récolté par les groupes APT nord-coréens. Cette donnée est par définition un secret militaire. On peut juste imaginer que sur un gain de 620 millions de dollars obtenus lors de la dernière attaque, une petite partie du magot est consacrée aux frais de fonctionnement et au budget du groupe APT38 : salaires des membres, recrutement de nouveaux membres, formation continue avant intégration opérationnelle, coût de développement des logiciels malveillants, achat de vulnérabilités informatiques et de ZeroDay sur les places de marché internationales, par exemple <a href="https://zerodium.com/">Zerodium</a>.</p>
<p>Même si les frais de fonctionnement des groupes APT38 et LAZARUS sont probablement assez élevés, ils restent négligeables par rapport aux sommes dérobées qui alimentent ensuite les comptes du pouvoir nord-coréen. Le programme nucléaire nord-coréen mobilise un budget conséquent dans un pays par ailleurs extrêmement pauvre. On comprend que la manne financière issue des cyberattaques sur les infrastructures de cryptomonnaies constitue une très belle opportunité pour financer ce qui coûte cher…</p>
<p>D’une manière générale, le volume mondial et l’intensité des cyberattaques augmente systémiquement partout avec la croissance des surfaces d’attaques : objets connectés, cloud computing, architectures blockchain et cryptomonnaies, edge computing, commerce en ligne, banques en ligne, télétravail… La Corée du Nord n’est donc pas une exception dans cette tendance mondiale. Par ailleurs, les infrastructures cyberoffensives nord-coréennes ayant prouvé leur efficacité, il y a fort à parier que des groupes comme APT38 et LAZARUS vont poursuivre leurs activités illicites et s’adapter aux nouveaux défis de cybersécurité : hacking de satellites, utilisation de l’intelligence artificielle dans la conception des futurs logiciels malveillants, ransomware, logiciels espions, attaques DDoS intégrant l’IA, attaques à la source contre les fermes de minages de cryptomonnaies… Plus la technologie se développe, plus les systèmes se déploient et plus les opportunités d’attaques et de gains apparaissent pour les attaquants. La Corée du Nord favorise l’émergence de talents chez les hackers, elle va poursuivre et intensifier cette montée en puissance. Par ailleurs, les crises géopolitiques internationales (guerre en Ukraine, tensions sino-américaines) contribuent à l’augmentation des cyberattaques et à l’apparition de nouveaux malwares destructeurs. La Russie, l’Iran, la Chine, la Turquie, la Syrie, l’Arabie saoudite, mais aussi un grand nombre d’autres pays disposent de groupes cyberoffensifs ou cybercriminels travaillant de près ou de loin avec les services de renseignements locaux qui peuvent les utiliser sur des missions ou prestations externalisées. Le modèle des groupes de cybermercenaires répond à un besoin opérationnel et permet à des pays comme la Russie de déléguer certaines attaques aux groupes APT russes. Le cas de la Corée du Nord est particulier puisque le pays est soumis à des sanctions internationales contraignantes en lien avec son programme d’armement nucléaire.</p>
<p>Les groupes APT sont affiliés le plus souvent à La Chine, La Russie, La Corée du Nord, le Vietnam, l’Iran, La Syrie. Il existe des groupes cybercriminels du coté américains, mais ce ne sont pas des APT : des groupes associés aux Cartels mexicains, colombiens par exemple.</p>
<p>Le paiement en cryptomonnaies se généralise sur de nombreuses plates-formes numériques. Les réseaux sociaux à contenus payant les intègrent en les associant aux jetons NFT. Les maisons de vente aux enchères autorisent le paiement en Bitcoins. De plus en plus de jeux en ligne s’appuient sur des infrastructures blockchain avec des gains en cryptomonnaies et en NFT. Les bourses et plates-formes de change de cryptomonnaies se sont multipliées avec des flux de plus en plus importants. De nouvelles cryptomonnaies adossées à des matières premières ou minières apparaissent et transforment les marchés associés. Le déploiement de blockchains privées et publiques ouvre de nouvelles perspectives de croissance dans une économie décentralisée, mais offre aussi de nouvelles opportunités d’attaques et de gigantesques « Crypto-Magots » pour des groupes comme APT38 et LAZARUS.</p><img src="https://counter.theconversation.com/content/181911/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Thierry Berthier ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>Les plates-formes de conversion de cryptomonnaies en dollars ou en euros demeurent le maillon faible dans la chaîne de sécurité du cycle financier des cryptos.Thierry Berthier, Maitre de conférences en mathématiques, cybersécurité et cyberdéfense, chaire de cyberdéfense Saint-Cyr, Université de LimogesLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1799832022-03-31T14:21:17Z2022-03-31T14:21:17ZL'Ukraine et la Russie se font aussi la guerre à coup de cryptomonnaies<figure><img src="https://images.theconversation.com/files/454442/original/file-20220325-23-1kk34g5.jpg?ixlib=rb-1.1.0&rect=26%2C0%2C5891%2C3963&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Des membres du Congrès ovationnent le président ukrainien Volodymyr Zelensky lors d'un discours virtuel au Capitole à Washington, le 16 mars 2022. L'Ukraine dit avoir été la pionnière d'une nouvelle source de soutien financier : les cryptomonnaies.</span> <span class="attribution"><span class="source">(Sarahbeth Maney/The New York Times via AP)</span></span></figcaption></figure><p>Au Canada, à peine quelques jours avant l’invasion russe en Ukraine, des milliers de personnes se joignaient au mouvement de protestation de camionneurs, baptisé le <a href="https://fr.wikipedia.org/wiki/Convoi_de_la_libert%C3%A9">« Convoi de la liberté »</a>, pour s’opposer aux mesures sanitaires des gouvernements.</p>
<p>Dans le but de soutenir le mouvement de protestation, les organisateurs avaient lancé une collecte de fonds sur la plate-forme GoFundMe. Or, en <a href="https://www.bbc.com/news/world-us-canada-60267840">alléguant l’incitation à la violence liée au mouvement</a>, et <a href="https://fortune.com/2022/02/21/canada-ottawa-freedom-convoy-protest-ends-truckers-arrest-covid-vaccine-mandate/">conformément aux sanctions imposées par les autorités canadiennes</a>, la plate-forme de sociofinancement a décidé de saisir les quelques 10 millions de dollars de dons amassés.</p>
<p>Les organisateurs se sont rapidement <a href="https://cryptoast.fr/convoi-liberte-canadien-recolte-800000-dollars-bitcoin-btc/">tournés vers l’univers des cryptomonnaies</a> pour contourner la saisie et poursuivre le financement de leur mouvement – ce qui aura permis <a href="https://www.cbc.ca/news/canada/ottawa/freedom-convoy-cryptocurrency-asset-seizure-1.6389601">d’amasser près d’un million de dollars</a> en quelques jours.</p>
<p>Cette histoire canadienne illustre parfaitement la façon dont les cryptomonnaies peuvent jouer un double rôle de soutien social, mais aussi d’aide au contournement de sanctions.</p>
<hr>
<p>
<em>
<strong>
À lire aussi :
<a href="https://theconversation.com/interet-croissant-pour-les-cryptomonnaies-le-debut-dune-plus-grande-cohesion-internationale-179155">Intérêt croissant pour les cryptomonnaies : le début d’une plus grande cohésion internationale ?</a>
</strong>
</em>
</p>
<hr>
<p>Parallèlement, du côté de l’Ukraine, on observe un <a href="https://fortune.com/2022/02/28/ukraine-crypto-donations-tweet-bitcoin-ethereum-usdt-russia-invasion/">enthousiasme du gouvernement de Kyiv envers les cryptomonnaies</a>. Elles ont permis un apport financier (hyper) rapide et non négligeable à la défense du pays.</p>
<p>En nous intéressant à la transformation numérique de la profession comptable, nous avons été amenés à nous plonger dans l’univers des cryptomonnaies afin de discerner leur fonctionnement et leur encadrement. Alors que le conflit armé entre l’Ukraine et la Russie fait rage, l’intérêt des pays de réglementer les cryptomonnaies n’a en effet jamais été aussi retentissant.</p>
<h2>Une guerre numérique</h2>
<p>Le conflit opposant l’Ukraine à la Russie n’est pas uniquement une guerre de bombes et de balles, mais aussi une <a href="https://www.wired.com/story/ukraine-digital-ministry-war/">guerre numérique</a> dont les cryptomonnaies <a href="https://www.euronews.com/next/2022/03/18/inside-ukraine-s-digital-war-deputy-minister-bornyakov-on-resisting-with-tech-crypto-and-h">ne sont qu’un des nombreux volets</a>.</p>
<p>Le ministère ukrainien de la Transformation numérique fait couler beaucoup d’encre quant à sa manière ingénieuse de <a href="https://nationalinterest.org/blog/techland-when-great-power-competition-meets-digital-world/ukraine%E2%80%99s-%E2%80%98digital-army%E2%80%99-battling">supporter la résistance de son pays contre l’invasion russe</a>. Cela passe par l’utilisation sophistiquée des médias sociaux pour faire valoir les intérêts ukrainiens partout sur la planète aux « hackathons », où sont récompensés à coup de 100 000 $ US les pirates informatiques parvenant à attaquer les systèmes russes.</p>
<h2>Des fonds rapidement disponibles</h2>
<p>Alors qu’un représentant du gouvernement ukrainien <a href="https://twitter.com/ukraine/status/1497594592438497282">tweetait que le pays accepterait désormais les aides internationales via les cryptomonnaies</a>, <a href="https://nationalinterest.org/blog/techland-when-great-power-competition-meets-digital-world/ukraine%E2%80%99s-%E2%80%98digital-army%E2%80%99-battling">plus de 100 M $ US auraient été amassés</a> de cette manière. Au départ, deux fonds ont été mis en place, l’un à des fins humanitaires et l’autre à des fins militaires. Cependant, devant l’escalade des violences, les fonds ont été fusionnés et entièrement consacrés au soutien de l’armée ukrainienne, en permettant notamment la <a href="https://www.euronews.com/next/2022/03/18/inside-ukraine-s-digital-war-deputy-minister-bornyakov-on-resisting-with-tech-crypto-and-h">fourniture de gilets pare-balles, de lunettes de vision nocturne, de casques, de médicaments et de vivres pour les combattants en première ligne</a>.</p>
<p>Le gouvernement cite d’ailleurs que bien que la somme reçue en cryptomonnaies soit modeste comparativement au total des fonds accordés d’organismes internationaux, elle a pu être reçue beaucoup plus rapidement grâce à l’absence d’intermédiaires.</p>
<p>Les transferts bancaires peuvent en effet prendre plusieurs jours pour aboutir dans les comptes du gouvernement ukrainien. Les cryptomonnaies ont été déposées en <a href="https://www.euronews.com/next/2022/03/18/inside-ukraine-s-digital-war-deputy-minister-bornyakov-on-resisting-with-tech-crypto-and-h">quelques minutes seulement</a>.</p>
<p>Cela démontre l’utilité indéniable que peuvent avoir les cryptomonnaies – dans l’état actuel de leur fonctionnement et encadrement – pour <a href="https://www.forbes.com/sites/lawrencewintermeyer/2022/03/21/ukraine-demonstrates-that-cryptocurrency-is-a-potent-tool-for-marshaling-grassroots-support/?sh=6c79649662d4">supporter, notamment, les systèmes financiers et économiques de pays en détresse</a>.</p>
<h2>Les cryptomonnaies pour esquiver les sanctions internationales</h2>
<p>Si la guerre numérique profite humainement et militairement à certains, notamment en outrepassant la lenteur des systèmes financiers classiques, elle permettrait à d’autres de contourner des sanctions internationales qui leur sont imposées. À cet effet, notons que selon certaines sources, l’univers des cryptomonnaies joue aussi un rôle de <a href="https://theconversation.com/are-russias-elite-really-using-cryptocurrency-to-evade-sanctions-179559">refuge pour un bon nombre de citoyens russes ordinaires cherchant à conserver leurs économies</a>, alors que leur système bancaire fait l’objet de nombreuses restrictions et vulnérabilités et que la valeur du rouble de leur nation s’effondre.</p>
<p>Les sanctions économiques imposées contre la Russie ne sont pas nouvelles. Depuis l’annexion de la Crimée, en 2014, <a href="https://www.consilium.europa.eu/en/infographics/eu-sanctions-against-russia-over-ukraine/">plusieurs ont été mises en place contre la Russie</a>. L’actuelle invasion russe en Ukraine a entraîné <a href="https://www.theguardian.com/world/2022/mar/02/sanctions-boycotts-west-response-russian-invasion-ukraine">l’ajout de nouvelles sanctions pénalisant des organisations et des individus – notamment l’Oligarchie – russes sur le plan financier et économique</a>. Conséquemment, le rouble russe chute au point que plusieurs <a href="https://www.rts.ch/info/economie/12900709-chute-du-rouble-filiales-de-banques-russes-en-faillite-les-consequences-des-sanctions-occidentales.html">filiales russes de banques européennes seraient au bord de la faillite</a>.</p>
<p>Cependant, là aussi, les cryptomonnaies pourraient être de bons secours en permettant notamment aux organisations, aux gouvernements et aux oligarques russes de <a href="https://theconversation.com/are-russias-elite-really-using-cryptocurrency-to-evade-sanctions-179559">poursuivre leurs activités financières sanctionnées en procédant illégitimement via l’univers peu réglementé des cryptomonnaies</a>. Depuis le début de la guerre, les <a href="https://www.coindesk.com/markets/2022/02/28/ruble-denominated-bitcoin-volumes-surges-to-9-month-highs/">conversions de roubles russes en cryptomonnaies ont littéralement explosé</a>.</p>
<h2>Les cryptomonnaies laissent des traces</h2>
<p>Mais est-ce vraiment un moyen efficace et définitif pour esquiver les sanctions ? Sans doute pas, surtout s’il est question de sommes très importantes comme celles détenues par les oligarques et les grandes organisations russes. Il est en effet très peu plausible que <a href="https://globalnews.ca/news/8657096/ukraine-russia-cryptocurrency-sanctions-ruble/">ces sommes puissent entièrement être absorbées</a> par les cryptomonnaies en circulation.</p>
<p>Par ailleurs, l’utilité des cryptomonnaies dans ce type de transactions reste temporaire. Les sommes utilisées pour se procurer des cryptomonnaies <a href="https://www.uvic.ca/news/topics/2022+expert-qa-cryptocurrency+expert-advisory">deviennent en effet traçables – et ainsi sujettes aux sanctions – dès qu’elles atterrissent dans des comptes</a> bancaires « traditionnels ». <a href="https://www.wsj.com/articles/untraceable-bitcoin-is-a-myth-11623860828">L’intraçabilité des cryptomonnaies</a> serait en effet de <a href="https://www.justice.gov/opa/pr/two-arrested-alleged-conspiracy-launder-45-billion-stolen-cryptocurrency">moins en moins vraie grâce à l’expertise que les forces de l’ordre parviennent à acquérir</a>.</p>
<h2>La guerre va accélérer la réglementation des cryptomonnaies</h2>
<p>Dans cette perspective, la présente guerre numérique entre l’Ukraine et la Russie est susceptible de jouer un rôle de catalyseur et d’accélérateur pour la prise en main réglementaire de l’univers anarchique des cryptomonnaies. Il reviendra ensuite à chaque pays de trouver les mécanismes permettant un encadrement adéquat de ces monnaies virtuelles – en <a href="https://theconversation.com/interet-croissant-pour-les-cryptomonnaies-le-debut-dune-plus-grande-cohesion-internationale-179155">espérant que le tout convergera vers une certaine cohésion internationale</a>.</p>
<p>En ce sens, il semble primordial pour les législateurs des différents pays d’envisager un encadrement équilibré. Il s’agit de minimiser les possibilités d’user de l’univers des cryptomonnaies comme moyen illégal de contournement sans enlever l’efficacité que les cryptomonnaies peuvent représenter – notamment à l’égard de la rapidité de traitement des opérations. Cet équilibre ne sera pas simple à atteindre.</p><img src="https://counter.theconversation.com/content/179983/count.gif" alt="La Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Simon Dermarkar est membre de l'Ordre des CPA du Québec. Il a reçu des financements de l'Association canadienne des professeurs de comptabilité (l'ACPC) et de CPA Canada dans le cadre d'un projet qu'il mène sur la transformation numérique de la profession comptable.</span></em></p><p class="fine-print"><em><span>Mouna Hazgui ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>Les cryptomonnaies permettent à l’Ukraine un soutien financier rapide, et à la Russie, de contourner les sanctions internationales et de protéger certains de ses intérêts économiques.Simon Dermarkar, Associate professor, HEC MontréalMouna Hazgui, Associate professor, HEC MontréalLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1788462022-03-12T19:15:20Z2022-03-12T19:15:20ZUkraine : la guerre se joue également dans le cyberespace<p>L’espace cyber est traditionnellement conçu comme pouvant se diviser en trois couches principales : la couche physique (câbles, serveurs, ordinateurs, etc.) ; la couche logique (données numériques et moyens de transmission afférents comprenant les applications, les protocoles, les interfaces et les applications) ; et la couche sémantique constituée des utilisateurs, de leurs échanges y compris en temps réel, ce qui englobe les contenus circulant sur les réseaux sociaux. Ces trois couches peuvent toutes être l’objet d’attaques.</p>
<p>L’Ukraine a subi depuis 2014 de nombreuses cyberattaques visant ces différentes couches. Ces attaques avaient participé à une prise de conscience internationale quant à l’utilisation massive du cyber qui pouvait être faite dans les conflits modernes. En effet, si on se souvient des attaques de <a href="https://www.wired.com/2016/03/inside-cunning-unprecedented-hack-ukraines-power-grid/">2015 et 2016</a> qui ont visé des centrales électriques, le conflit avait également permis de mettre au jour des tentatives d’attaque lors de diverses consultations électorales, ainsi que de pratiques d’influence, notamment avec la découverte de <a href="https://www.lepoint.fr/monde/russie-l-usine-de-trolls-tourne-a-plein-regime-18-02-2020-2363138_24.php">l’usine à trolls russes d’Olguino</a>.</p>
<p>Par ailleurs, les opérations cyber peuvent s’appuyer sur la guerre électronique pour devenir particulièrement dévastatrices. En effet, si le volet électronique s’attaquera aux ondes du signal électromagnétique permettant la transmission de la donnée (ce qui intègre le WIFI et la 5G), le volet cyber et informatique visera la donnée elle-même - de différentes manières selon la couche visée.</p>
<p>Concernant la guerre en cours, les soupçons pesant sur l’utilisation faite par le Kremlin de hackers prétendument indépendants, notamment les groupes <a href="https://portswigger.net/daily-swig/who-is-behind-apt29-what-we-know-about-this-nation-state-cybercrime-group">APT 28 et 29</a>. Les réformes de l’armée russes menées en 2004 et 2008 laissaient craindre une utilisation massive de cyberattaques de toute nature, visant autant les systèmes que les couches sémantiques, afin d’obtenir l'immobilisation de l’Ukraine, mais aussi la cybercoercition des États la soutenant. Le lancement d’une ou de plusieurs attaques cyber montrant que l’attaquant est en mesure d’infliger de très lourdes pertes serait en mesure de dissuader l’État ou l’entité attaquée d’agir comme elle le prévoyait initialement : c'est ce que l'on appelle une action de cybercoercition.</p>
<p>Alors que l’Ukraine fait face simultanément à ces attaques et à une agression militaire de grande ampleur, le président Zelensky a lancé un appel au volontariat pour lever une cyberarmée qui réunirait, selon les estimations, près de <a href="https://www.securityweek.com/army-cyber-hackers-rise-back-ukraine">260 000 personnes</a>. Les <a href="https://www.theguardian.com/world/2022/feb/27/anonymous-the-hacker-collective-that-has-declared-cyberwar-on-russia">Anonymous</a> ont annoncé qu'ils entraient dans le conflit aux côtés de l’Ukraine pour contrecarrer les attaques menées dans le domaine cyber. La guerre qui enflamme le cyber outrepasse désormais largement l’Ukraine et la Fédération de Russie.</p>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/J1K-9U6ciSw?wmode=transparent&start=0" frameborder="0" allowfullscreen=""></iframe>
</figure>
<h2>Les trois couches du cyber attaquées ?</h2>
<p>Si les bombardements peuvent impacter les couches physiques du cyber, une crainte se fait jour dans les états-majors occidentaux : la possibilité que la Russie, dans un mouvement maximaliste, n’envisage de <a href="https://theconversation.com/si-la-russie-coupe-les-cables-sous-marins-le-risque-de-perdre-linternet-pour-leurope-169858%5D">couper les câbles sous-marins</a> par lesquels transitent près de 99 % de l’Internet et qui permettent de réaliser environ <a href="https://www.cairn.info/revue-etudes-2017-3-page-19.htm">10 000 milliards de dollars US</a> de transactions quotidiennes.</p>
<hr>
<p>
<em>
<strong>
À lire aussi :
<a href="https://theconversation.com/si-la-russie-coupe-les-cables-sous-marins-leurope-peut-perdre-son-acces-a-internet-169858">Si la Russie coupe les câbles sous-marins, l’Europe peut perdre son accès à Internet</a>
</strong>
</em>
</p>
<hr>
<p>Ce type d’opération pourrait être perçu comme un acte de guerre et emporterait de lourdes conséquences pour tous. Néanmoins, le nombre de navires battant pavillon russe (qu'ils soient militaires ou supposément civils) suivant précisément les câbles rend cette hypothèse <a href="https://www.marianne.net/monde/europe/la-russie-peut-elle-priver-leurope-dinternet-en-sabotant-des-cables-sous-marins">tangible</a>. Si couper des câbles engendrerait un black-out, une autre option serait, à l’aide de sous-marins (comme en possèdent la Chine, la Russie et les États-Unis) de s’y greffer pour intercepter, ou modifier, les données qui y transitent. Cette option serait extrêmement délicate à mener à bien, notamment d’un point de vue technique.</p>
<p>La possibilité d’altération des couches physiques du cyber est une des raisons qui ont poussé Elon Musk à <a href="https://www.latribune.fr/technos-medias/internet/ukraine-elon-musk-active-ses-satellites-starlink-pour-apporter-internet-aux-zones-frappees-par-les-assauts-de-l-armee-russe-905117.html">ouvrir à l’Ukraine l’accès à Starlink</a>, lui donnant accès à son réseau satellitaire, lequel est certes attaquable, mais de manière plus complexe.</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"1494639101076815875"}"></div></p>
<p>En outre, de nombreuses attaques ont été observées visant les couches logique et sémantique. Ces attaques outrepassent largement les frontières de la géographie physique du conflit.</p>
<p>Concernant la couche logique, on a noté une explosion des attaques cyber subies par l’Ukraine dès le début du conflit, voire quelques heures avant qu’il ne démarre. Ainsi, la société de cybersécurité <a href="https://www.bleepingcomputer.com/news/security/ukrainian-sites-saw-a-10x-increase-in-attacks-when-invasion-started/">Wordfence</a>, qui gère la sécurité de 8 320 sites WordPress comprenant ceux d’universités, du gouvernement et des organes judiciaires en Ukraine, a déclaré quelque 144 000 attaques pour la seule journée du 25 février.</p>
<p>Après HermeticWiper, HermeticWizard et WhisperGate, Kaspersky décrit début mars 2022 le composant de chiffrement de données HermeticRansom comme un <a href="https://www.securityweek.com/cyberattacks-ukraine-new-worm-spreading-data-wiper-ransomware-smokescreen">« écran de fumée »</a>. Pour la société de cybersécurité, il s’agit d’une attaque ciblée empêchant d’utiliser les données et agissant comme un « écran de fumée » permettant de nouvelles attaques. En outre, la simplicité du code, les erreurs de grammaire et d’orthographe présentes dans la demande de rançon sembleraient indiquer une opération de dernière minute, qui a pu être déployée pour renforcer l’effet d’autres cyberattaques conduites simultanément. Enfin, il apparaît que des rançongiciels supposés… ne permettaient pas de verser de rançons et étaient en réalité des malewares effaceurs de données visant à altérer profondément les structures attaquées.</p>
<p>En matière sémantique et informationnelle, on a pu observer une large vague de désinformation. Celle-ci a fait l’objet d’une réaction de plusieurs plates-formes, qui ont mis à jour des opérations de désinformation de grande ampleur. Nathaniel Gleicher, responsable de la sécurité chez Meta, <a href="https://blog.malwarebytes.com/hacking-2/2022/03/meta-blocks-russia-ukraine-disinformation-campaigns-on-facebook-instagram/">déclarait</a> ainsi avoir :</p>
<blockquote>
<p>« bloqué le partage de leurs domaines sur notre plate-forme et partagé ces informations avec d’autres plates-formes technologiques, des chercheurs et des gouvernements. Ce réseau a utilisé de faux comptes et exploité des personnes et des marques fictives sur Internet – y compris sur Facebook, Instagram, Twitter, YouTube, Telegram, Odnoklassniki et VK – pour paraître plus authentique dans une tentative apparente de résister à l’examen minutieux des plates-formes et des chercheurs. »</p>
</blockquote>
<p>En parallèle, des opérations de phishing ont été utilisées pour cibler des personnes, notamment des membres de structures gouvernementales, souhaitant venir en aide aux réfugiés ukrainiens. Dans ce cas, une adresse mail militaire ukrainienne compromise a été utilisée pour <a href="https://www.proofpoint.com/us/blog/threat-insight/asylum-ambuscade-state-actor-uses-compromised-private-ukrainian-military-emails">hameçonner</a> des personnes, y compris des employés de l’UE impliqués dans la gestion de la logistique mise en œuvre pour porter assistance aux réfugiés fuyant l’Ukraine. À ce jour, les recherches sur cette attaque semblent montrer des correspondances avec le modus opérandi du groupe TA445 (alias UNC1151 ou Ghostwriter) soupçonné d’être lié au gouvernement de la Biélorussie.</p>
<p>Le 28 février, ce sera au tour du Threat Analysis Group de Google (TAG) de mettre au jour une opération d’influence liée à la Biélorussie, à la Moldavie et à l’Ukraine. Ce sont quatre chaînes YouTube, deux comptes AdSense – utilisés pour générer des revenus en affichant des publicités – et un blog qui ont été bloqués, car en lien avec ce réseau de désinformation. De même, six domaines ont été ajoutés à une liste visant à les empêcher d’apparaître sur Google News et Discover.</p>
<h2>Les réponses ukrainiennes et pro-ukrainiennes</h2>
<p>Dans ce contexte, le <a href="https://www.zdnet.com/article/ukraine-government-calls-on-oracle-sap-for-support/">gouvernement ukrainien</a> a demandé à Oracle et SAP, le 2 mars dernier, par la plume de son vice-premier ministre et ministre de la Transformation numérique, Mykhailo Fedorov, de mettre fin à leurs relations commerciales avec les entités liées à la Russie.</p>
<p>Le même jour, symbole de la mobilisation des hackers pour l’Ukraine, le groupe cybercriminel <a href="https://www.usine-digitale.fr/article/apres-s-etre-positionne-en-soutien-de-la-russie-le-gang-de-rancongiciel-conti-victime-d-une-severe-fuite.N1788667">Conti</a>, qui avait annoncé se mettre en mouvement contre les entités bellicistes hostiles à la Russie, connaissait un <a href="https://www.itsecurityguru.org/2022/03/02/conti-ransomware-group-suffers-another-leak/">nouveau leak</a>.</p>
<p>Un premier leak, qui avait eu lieu le 27 février et portait la mention « Gloire à l’Ukraine », avait fait fuiter des données de Conti à VX-Underground, un groupe de recherche spécialisé dans les logiciels malveillants. L’ensemble de données divulgué contient quelque 400 fichiers contenant des dizaines de milliers de journaux de discussion internes du groupe Conti en russe, y compris sur la messagerie Jabber depuis janvier 2021.</p>
<p>Le 2 mars dernier, un second leak touchait Conti, venant cette fois d’un chercheur ukrainien. Ce sont 393 fichiers JSON contenant plus de 60 000 messages internes et des messages extraits du serveur de chat XMPP privé du gang de rançongiciels Conti et Ryuk qui ont alors été divulgués. Ces données couvrent la période du 21 janvier 2021 au 27 février 2022, et comprennent les adresses bitcoin utilisées, le détail de l’organisation commerciale du groupe, ainsi que la manière dont ils échappent aux forces de l’ordre et mènent leurs attaques.</p>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/lP9nw47TKis?wmode=transparent&start=0" frameborder="0" allowfullscreen=""></iframe>
</figure>
<p>Au-delà, plusieurs plates-formes et applications ont décidé de ne pas coopérer avec la Russie, quitte à être exclues du marché, comme Netflix, qui refuse de se soumettre <a href="https://www.numerama.com/pop-culture/868985-netflix-refuse-desormais-de-se-soumettre-a-une-loi-russe-quitte-a-etre-banni.html">à la loi russe</a> exigeant que des plateformes de vidéos dépassant le seuil des 100 000 abonnés en Russie de diffusent une vingtaine de chaînes russes. D’autres ont modifié leur interface pour permettre de fluidifier le versement de fonds à l’Ukraine. C'est le cas d'Airbnb, qui propose la mise à disposition de 100 000 logements temporaires pour les <a href="https://news.airbnb.com/fr/soutien-aux-refugies-au-depart-dukraine/">réfugiés ukrainiens</a>.</p>
<h2>L'implication des cryptomonnaies</h2>
<p>Enfin, le monde des cryptomonnaies a également été engagé au travers de nombreuses escroqueries aux dons cryptographiques utilisant de vastes campagnes de <a href="https://www.welivesecurity.com/2022/02/27/beware-charity-scams-exploiting-war-ukraine/">phising</a> à travers des e-mails semblant provenir des domaines npr.org voire du Bureau des Nations unies pour la coordination de l’aide humanitaire (OCHA). Ces escroqueries ont d’autant mieux marché que le gouvernement ukrainien à réalisé le tout premier effort de financement participatif crypto à grande échelle, levant au moment où ses lignes sont écrites quelque 37 millions de dollars en <a href="https://www.bleepingcomputer.com/news/security/help-ukraine-crypto-scams-emerge-as-ukraine-raises-over-37-million/">Bitcoins (BTC), Ether (ETH), Tether (USDT) et d’autres altcoins</a>.</p>
<p>C’est dans ces circonstances que le 27 février, Mikhailo Fedorov <a href="https://twitter.com/FedorovMykhailo/status/1497922588491792386">demandait</a> aux sociétés de cryptomonnaies de bloquer les adresses des utilisateurs russes, particulièrement de ceux liés à des personnalités politiques. Mais les entreprises ont argué qu’un blocage aveugle pourrait handicaper la population russe et ont préféré se contenter de bloquer les adresses liées à des personnes faisant l’objet de sanctions de la part des pays occidentaux.</p>
<p>Le conflit se durcissant malgré les sanctions prises et la désapprobation internationale à l’encontre de l’action russe, il est fort possible que le cyber, terrain d’attaque dépassant déjà les frontières du conflit cinétique, poursuive son expansion, notamment au travers d’actions purement militaires mêlant guerre électronique et cyberattaques.</p><img src="https://counter.theconversation.com/content/178846/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Christine Dugoin-Clément ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>Serveurs, ordinateurs, données : telles sont les cibles de la cyberguerre.Christine Dugoin-Clément, Analyste en géopolitique, membre associé au Laboratoire de Recherche IAE Paris - Sorbonne Business School, Université Paris 1 Panthéon-Sorbonne, chaire « normes et risques », IAE Paris – Sorbonne Business SchoolLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1770362022-02-17T20:50:18Z2022-02-17T20:50:18ZRussie-Ukraine : la cyberguerre est-elle déclarée ?<p>Alors que des troupes russes se <a href="https://france24.com/fr/europe/20220206-ukraine-la-russie-pr%C3%A9pare-une-invasion-de-grande-ampleur-selon-le-renseignement-am%C3%A9ricain">massent aux frontières ukrainiennes</a> et que la Fédération de Russie maintient ses <a href="https://www.npr.org/2021/12/23/1067188698/putin-urges-west-to-act-quickly-to-offer-security-guarantees">demandes de garanties</a> de non-extension de l’OTAN, de transparence sur le déploiement des systèmes d’armes et de retour aux clauses de l’<a href="https://nato.int/cps/fr/natohq/official_texts_25468.htm">Acte Fondateur de 1997</a>, l’Ukraine vient d’être visée par une <a href="https://www.lemonde.fr/international/article/2022/01/17/une-cyberattaque-en-ukraine-alimente-les-tensions-avec-moscou_6109784_3210.html">puissante cyberattaque</a>. Bien qu’il soit difficile d’identifier le ou les auteurs de cette agression, un certain nombre d’observateurs n’hésitent à l’attribuer à Moscou et à son alliée la Biélorussie.</p>
<hr>
<p>
<em>
<strong>
À lire aussi :
<a href="https://theconversation.com/russie-ukraine-la-guerre-est-elle-inevitable-175774">Russie-Ukraine : la guerre est-elle inévitable ?</a>
</strong>
</em>
</p>
<hr>
<p>L’Ukraine apparaît depuis le début de la crise qui l’oppose à la Russie comme un véritable <a href="https://wired.com/story/russian-hackers-attack-ukraine/">laboratoire à ciel ouvert</a> pour les opérations cyber. Les attaques qu’elle a subies au cours de ces dernières années ont contribué à la prise de conscience globale concernant les « risques cyber » et l’impérieuse nécessité d’en tenir compte dans l’analyse des conflits, notamment en amont du déclenchement cinétique. Ainsi, le cyber est désormais perçu comme pouvant être un nouveau théâtre de conflictualité, qualifié par les militaires de <a href="https://cairn.info/revue-les-champs-de-mars-ldm-2013-1-page-71.htm">cinquième dimension</a> – après la terre, la mer, l’air, et l’espace.</p>
<h2>Un « laboratoire à ciel ouvert »</h2>
<p>De nombreuses attaques cyber et informationnelles, aux cibles et formes variées, ont été observées depuis le début du conflit dans l'est de l’Ukraine. Certaines y ont émergé avant de se propager à d’autres pays.</p>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/MNsDzEEEwdE?wmode=transparent&start=0" frameborder="0" allowfullscreen=""></iframe>
</figure>
<p>Une des premières survenues après le déclenchement du conflit a <a href="https://www.kyivpost.com/article/content/may-25-presidential-election/authorities-hackers-foiled-in-bid-to-rig-ukraine-presidential-election-results-349288.html">ciblé la Commission électorale centrale (CEC)</a> lors de l’élection présidentielle de 2014, premier scrutin postérieur à la <a href="https://www.france24.com/fr/billet-retour/20181123-ukraine-bilan-revolte-maidan-kiev-corruption-russie-ianoukovitch">révolution du Maïdan</a>.</p>
<p>On se souvient également de l’attaque sur la centrale électrique d’Ivano-Frankivsk en 2015, qui avait <a href="https://wired.com/2016/03/inside-cunning-unprecedented-hack-ukraines-power-grid/">privé une partie de la région d’électricité</a> en plein mois de décembre. Les auteurs avaient réussi à accéder aux <a href="https://www.factoryfuture.fr/tout-savoir-systemes-scada/">réseaux SCADA (Système de Contrôle et d’Acquisition de Données)</a>, ce qui a rappelé aux observateurs <a href="https://www.lemondeinformatique.fr/actualites/lire-un-malware-semblable-a-stuxnet-pret-a-cibler-les-systemes-scada-65036.html">l’attaque du virus Stuxnet</a> qui avait ciblé la <a href="https://www.numerama.com/cyberguerre/763181-stuxnet-lespion-qui-voulait-saboter-le-nucleaire-iranien.html">centrale nucléaire iranienne de Natanz en 2009</a>. Cette agression sur les systèmes électriques fait écho à <a href="https://www.controleng.com/articles/throwback-attack-lessons-from-the-aurora-vulnerability/">l’expérience Aurora</a>, réalisée en 2007 par une équipe de l’Idaho National Lab : il avait alors été démontré que le piratage d’infrastructures électriques pouvait détruire définitivement un générateur diesel de 2,25 mégawatts.</p>
<p>Un an plus tard, en 2016, une nouvelle attaque <a href="https://www.lemondeinformatique.fr/actualites/lire-une-cyberattaque-suspectee-de-causer-un-black-out-en-ukraine-66852.html">visant des systèmes électriques</a> a impacté Kiev pendant plusieurs heures.</p>
<p>En 2017, <a href="https://www.cyber-cover.fr/cyber-documentation/cyber-criminalite/cybercriminalite-notpetya-le-malware-a-10-milliards-de-dollars">NotPetya</a> d’abord et <a href="https://www.lexpress.fr/actualite/monde/vague-internationale-de-cyberattaques_1907798.html">WannaCry</a> ensuite ont défrayé la chronique. En détruisant les données, ces malwares (logiciels malveillants) déguisés en ransomwares (rançongiciels) ont semé le chaos <a href="https://www.cnet.com/tech/services-and-software/uk-said-russia-is-behind-destructive-2017-cyberattack-in-ukraine/">bien au-delà des frontière ukrainienne</a> et ont affecté des entreprises dans <a href="https://www.bbc.com/future/article/20170704-the-day-a-mysterious-cyber-attack-crippled-ukraine">plus d’une centaine pays</a>.</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"1493670967264133128"}"></div></p>
<p>Si ces cyberattaques ont marqué les esprits par leur ampleur, leur originalité ou à cause du contexte dans lequel elles ont émergé, bien d’autres ont suivi. S’y sont ajoutées de nombreuses <a href="https://www.cairn.info/revue-herodote-2017-1-page-123.htm">attaques informationnelles</a>, notamment conduites via les réseaux sociaux afin d’influencer les populations, que ce soit par la diffusion de fake news et de contenus propagandistes ou en utilisant des <a href="https://www.lesechos.fr/tech-medias/hightech/visite-guidee-dune-ferme-a-trolls-russe-142088">réseaux de « trolls »</a>.</p>
<h2>Un regain de tension accompagné de nouvelles cyberattaques</h2>
<p>La <a href="https://www.lemonde.fr/international/article/2022/01/17/une-cyberattaque-en-ukraine-alimente-les-tensions-avec-moscou_6109784_3210.html">cyberattaque de la mi-janvier 2022</a> n’a pas totalement été une surprise pour l’Ukraine : le SBU, le service de renseignement ukrainien, <a href="https://www.ukrinform.net/rubric-society/3396245-sbu-blocks-over-120-cyber-attacks-on-ukrainian-govt-agencies-in-jan.html">dit avoir détecté</a> au cours de ces derniers mois de très nombreux incidents et tentatives d’attaques – y compris des tentatives de connexion à des serveurs de commande et de contrôle pour obtenir des accès non autorisés, des attaques visant des applications web et l’utilisation de malwares.</p>
<p>L’attaque de janvier, qui n’a pas pu être interceptée, a notamment visé des entités gouvernementales impliquées dans la gestion logistique des forces armées, ce qui aurait pu nuire à l’efficience opérationnelle de Kiev en cas de conflit ouvert. Bien que l’attribution de telles opérations soit toujours une affaire délicate et sensible, les <a href="https://www.reuters.com/world/europe/exclusive-ukraine-suspects-group-linked-belarus-intelligence-over-cyberattack-2022-01-15/">regards se tournent</a> vers un groupe de hackers connu sous le qualificatif de UNC 1151, que le haut responsable du Conseil national de sécurité et de défense ukrainien associe <a href="https://www.rfi.fr/fr/europe/20220116-cyberattaque-en-ukraine-kiev-met-en-cause-la-bi%C3%A9lorussie">aux services de renseignement militaire biélorusses</a>, tout en notant des similitudes du malware utilisé avec ceux employés par des hackers présumés russes.</p>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/68v9UKGPHaI?wmode=transparent&start=0" frameborder="0" allowfullscreen=""></iframe>
</figure>
<p>Le 18 janvier, l’Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) <a href="https://www.cisa.gov/sites/default/files/publications/CISA_Insights-Implement_Cybersecurity_Measures_Now_to_Protect_Against_Critical_Threats_508C.pdf">a fortement conseillé</a> aux opérateurs étatsuniens d’infrastructures critiques et vitales de prendre toutes les « mesures urgentes » possibles contre les cybermenaces. Dans cette mise en garde, l’Agence a fait référence aux récentes attaques contre l’Ukraine, susceptibles de préfigurer d’éventuelles menaces à l’encontre des États-Unis, et rappelé les précédents NotPetya et WannaCry, tous deux attribués à la Russie.</p>
<p>Dans le même temps, l’OTAN a prévenu qu’elle <a href="https://www.france24.com/fr/europe/20220114-l-otan-soutient-l-ukraine-contre-les-cyberattaques-apr%C3%A8s-un-piratage-informatique-massif">soutiendrait l’Ukraine face aux cyberattaques</a>. On l’aura compris : le domaine cyber est devenu un champ de conflictualité à part entière. Si besoin était de renforcer cette prise de conscience, une <a href="https://siecledigital.fr/2022/02/16/le-ministere-de-la-defense-ukrainienne-victime-dune-cyberattaque/">attaque par DDoS</a> visant le code du site lui-même vient de frapper le ministère de la Défense ukrainien et deux banques, dont le géant PrivatBank.</p>
<h2>Des attaques qui bénéficient du brouillard de la guerre</h2>
<p>Il est toujours difficile, voire impossible, de rattacher rapidement et avec certitude une attaque à une structure clairement identifiée, qu’il s’agisse d’un groupe de hackers ou d’un État. Les équipes de threat intelligence remontent les traces des attaques pour y relever des marqueurs permettant d’en repérer les initiateurs ; mais l’efficacité de leur travail dépend de nombreux facteurs mouvants, et il est difficile d’identifier avec une absolue certitude des individus qui agissent masqués, qui peuvent imiter des signatures et dont les liens potentiels avec des États sont soigneusement camouflés.</p>
<p>Ainsi, s’agissant d’opérations supposées avoir été commanditées ou opérées par des États, attribuer une cyberattaque représente un geste politique fort. La plus grande prudence reste le plus souvent de mise. C’est pourquoi, en juin 2021, la <a href="https://www.lemonde.fr/pixels/article/2021/01/06/les-etats-unis-estiment-la-russie-probablement-a-l-origine-de-la-cyberattaque-dont-ils-ont-ete-victimes_6065309_4408996.html">réaction de Joe Biden</a> à <a href="https://www.lemonde.fr/blog/binaire/2021/06/18/on-vous-explique-les-attaques-supply-chain/">l’attaque par _supply chain</a>_ connue sous le nom de <a href="https://www.francetvinfo.fr/internet/securite-sur-internet/cyberattaques/solarwinds-ce-que-l-on-sait-sur-la-cyberattaque-massive-qui-touche-notamment-microsoft-et-des-agences-federales-americaines_4223253.html">Solar Gate</a>, qui a affecté de nombreuses institutions américaines, a surpris.</p>
<p>Estimant que l’opération avait été effectuée par la Russie et qu’elle constituait une menace sérieuse pour les États-Unis, Joe Biden a <a href="https://www.whitehouse.gov/briefing-room/presidential-actions/2021/04/15/executive-order-on-blocking-property-with-respect-to-specified-harmful-foreign-activities-of-the-government-of-the-russian-federation/">ordonné des sanctions</a>, créant notamment une liste noire d’entreprises russes du secteur des technologies de l’information (ERA Technopolis, Pasit, SVA, Neobit, AST et Positive Technologies) interdisant aux entreprises et institutions financières américaines de travailler avec ces dernières.</p>
<p>Si les cyberattaques ont modifié le déroulement des conflits en épaississant encore davantage le « brouillard de la guerre », elles ont aussi permis l’apparition de nouveaux acteurs. Dans le cas ukrainien, alors que du matériel militaire russe transite par la Biélorussie pour être acheminé vers les frontières ukrainiennes, un groupe de hackers biélorusses et pro-ukrainiens a opéré un ransomware d’un genre particulier. Alors que ce type d’outil a généralement pour but de chiffrer les données de la cible pour obtenir de l’argent (souvent demandée en cryptomonnaies) en échange de la clé de déchiffrement, les hackers ont, en l’espèce, <a href="https://www.rfi.fr/fr/europe/20220127-cyberattaque-en-bi %c3 %a9lorussie-des-hackers-lancent-un-ran %c3 %a7ongiciel- %c3 %a0-caract %c3 %a8re-politique">conféré une portée politique</a> à leur logiciel : au lieu de demander une rançon à l’Agence biélorusse des chemins de fer, ils ont exigé la libération de prisonniers politiques détenus par Minsk et la fin du transport par voie ferroviaire du matériel militaire russe vers l’Ukraine.</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"1485615555017117700"}"></div></p>
<h2>L’avantage de la cybercoercition</h2>
<p>Si les États, notamment occidentaux, ont depuis longtemps pris conscience de l’importance de la cyberdéfense, ils peinent encore à développer une approche offensive, notamment en incluant la « cybercoercition ».</p>
<p>Pour mémoire, la <a href="https://www.lemonde.fr/idees/article/2020/01/28/cybercoercition-un-nouveau-defi-strategique_6027444_3232.html">cybercoercition</a> consiste à attaquer des infrastructures critiques d’un État afin de l’empêcher de fonctionner normalement pouvant influencer ses prises de décision. Dans ce cas, la cybercoercition recouvrera les actions engagées par un État pour influencer et affaiblir le gouvernement d’un adversaire. L’objet sera, tout en bénéficiant de la difficulté d’attribution, de <a href="https://www.france24.com/fr/ %C3 %A9co-tech/20200220-la-cybercoercition-un-concept-offensif-de-cyberd %C3 %A9fense">démontrer de manière implicite</a> sa capacité à provoquer des perturbations importantes, tant dans les services de l’État visé que dans ces activités industrielles cruciales voire vitales.</p>
<p>Par exemple, les attaques qui, début février 2022, ont visé des <a href="https://www.leparisien.fr/high-tech/cyberattaque-les-terminaux-petroliers-de-plusieurs-ports-vises-en-allemagne-pays-bas-et-belgique-03-02-2022-PU3Q76DZMNA3VLSZ64P2IFMBJ4.php">ports européens</a> et retardé la distribution de produits énergétiques vers plusieurs pays d’Europe, pourraient apparaître comme relevant de cette cybercoercition. La dépendance de l’Europe envers le gaz russe constituant un point clé des négociations dans la crise ukrainienne, ce retard est loin d’être anodin. S’il est avéré que ces attaques sont imputables à la Russie, il pourrait alors s’agir d’une démonstration de cybercoercition de la part de Moscou, qui marquerait une prise en compte avancée de cet axe par le Kremlin dans sa stratégie cyber…</p><img src="https://counter.theconversation.com/content/177036/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Christine Dugoin-Clément ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>L’Ukraine a dernièrement subi plusieurs cyberattaques de grande ampleur. L’un des avantages que présente le recours à ce type d’agression, c’est qu’il est très difficile de remonter à sa source…Christine Dugoin-Clément, Analyste en géopolitique, membre associé au Laboratoire de Recherche IAE Paris - Sorbonne Business School, Université Paris 1 Panthéon-Sorbonne, chaire « normes et risques », IAE Paris – Sorbonne Business SchoolLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1710322021-11-24T11:24:00Z2021-11-24T11:24:00ZQue font les hackers de vos données volées ?<figure><img src="https://images.theconversation.com/files/432985/original/file-20211121-13-1uxvzx8.jpg?ixlib=rb-1.1.0&rect=74%2C67%2C4345%2C2829&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Rien que sur l'année 2020, 3950 fuites de données ont été détectées.</span> <span class="attribution"><a class="source" href="https://www.shutterstock.com/fr/image-photo/hands-typing-on-laptop-computer-table-1414373417">Shutterstock</a></span></figcaption></figure><p>Le piratage des données est devenu une problématique majeure, dont les exemples sont quotidiens. Rien que sur l’année 2020, 3 950 fuites de données ont été détectées, selon une <a href="https://enterprise.verizon.com/resources/executivebriefs/2020-dbir-executive-brief.pdf">vaste enquête</a> menée récemment par la société Verizon.</p>
<p>Le plus souvent, elles touchent de grandes plates-formes numériques (Facebook, LinkedIn, etc.) ou des acteurs socio-économiques importants – c’est le cas dans 72 % des cas recensés – et elles engendrent une fuite de données personnelles dans 58 % de l’ensemble des cas. Les données personnelles sont en effet une cible de choix et cette fuite affecte aussi bien l’opérateur de services que les utilisateurs eux-mêmes.</p>
<p>Une fuite de données peut donc concerner des données personnelles, qui sont en réalité des données de clients ou d’utilisateurs d’un service, mais également des données liées à l’organisation elle-même. Citons par exemple les informations de transactions d’une entreprise, les résultats de tests ou d’expérimentation de nouveaux produits ou services, etc.</p>
<p>La plate-forme <a href="https://gamergen.com/actualites/twitch-enorme-hack-fait-fuiter-revenus-streameurs-et-projet-vapor-concurrencer-steam-vos-donnees-personnelles-danger-324012-1">Twitch</a> a récemment été victime d’une telle attaque, au cours de laquelle le code source du réseau (qui explicite son mode de fonctionnement, ses règles internes, l’algorithme de valorisation des contenus publiés…), ainsi que des éléments liés à un projet interne concurrentiel, ont été piratés.</p>
<h2>Qu’est-ce qu’une « fuite de données » ?</h2>
<p>Les fuites de données d’entreprises ou d’organisations ont toujours existé. Le développement et l’usage démocratisé d’outils numériques les ont évidemment renforcées et facilitées. Globalement, la fuite de données correspond à tout incident au cours duquel des informations sensibles ou confidentielles liées ou appartenant à une organisation ont été consultées ou extraites sans autorisation.</p>
<p>Les méthodes utilisées pour y arriver sont variées et elles évoluent au fur et à mesure des avancées technologiques. <a href="https://www.economie.gouv.fr/entreprises/methodes-piratage">Le site du ministère de l’Économie, des Finances et de la Relance</a> présente de manière très claire les méthodes les plus courantes.</p>
<p>Certaines sont aujourd’hui relativement bien connues du grand public, comme le « phishing », le rançongiciel, ou encore les logiciels malveillants. Elles ont été mises en lumière depuis plusieurs années par des événements marquants, comme en février 2021, <a href="https://www.lemonde.fr/pixels/article/2021/02/15/apres-celui-de-dax-l-hopital-de-villefranche-paralyse-par-un-rancongiciel_6070049_4408996.html">l’attaque informatique</a> qui a paralysé les hôpitaux des villes de Dax et Villefranche.</p>
<p>Néanmoins, d’autres méthodes moins connues exposent tout autant les utilisateurs non sensibilisés ou imprudents.</p>
<h2>De nouvelles méthodes</h2>
<p>On peut notamment citer le faux réseau wifi, ou encore le piratage au travers d’une connexion à un réseau ouvert et libre d’accès, comme le <a href="https://www.kaspersky.fr/resource-center/preemptive-safety/public-wifi-risks">présente</a> Kaspersky, l’une des sociétés de renom de protection informatique.</p>
<p>Ces méthodes de piratage utilisent les failles que peut présenter tout système informatique, failles parmi lesquelles l’utilisateur du système est lui-même inclus, que cela soit par négligence ou méconnaissance.</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"1222383522742140928"}"></div></p>
<p>Pour autant, la fuite de données n’est pas systématiquement due à un acteur extérieur. Elle peut également être provoquée de manière volontaire par un employé pour son profit personnel ou par envie de nuire à l’image d’une entreprise.</p>
<p>À ce jour, la plus grosse fuite de données connue est <a href="https://www-statista-com.ezp.em-lyon.com/statistics/290525/cyber-crime-biggest-online-data-breaches-worldwide/">l’exemple de Yahoo dont en 2013</a>, il est estimé que 3 milliards de données ont été volées, contenant noms, adresses e-mail, dates de naissance, mots de passe, etc.</p>
<h2>Les tiers, chevaux de Troie des hackeurs</h2>
<p>Selon une <a href="https://www.egress.com/media/n0wi0s0q/egress-2021-data-loss-prevention-report.pdf">enquête</a> menée par l’entreprise anglaise Egress Software, représentativement parmi l’échantillon analysé, 30 % des incidents sont liés à un piratage externe, 24 % à une erreur interne, le même taux à une perte intentionnelle de données et 18 % liés à une faille de sécurité d’un fournisseur tiers.</p>
<p>En effet, la faille peut également provenir des solutions tierces que les entreprises et nous-mêmes individus utilisons tous les jours. <a href="https://www.lebigdata.fr/solarwinds-cyberattaque-historique-usa">L’une des plus récentes illustrations</a> concerne la cyberattaque subie par la société américaine SolarWinds, qui fournit notamment un logiciel de gestion informatique auprès d’acteurs économiques et gouvernementaux. Cette attaque a permis aux hackeurs un accès dérobé aux données de dizaines de milliers de leurs clients.</p>
<p>D’où l’importance des enjeux liés à la cybersécurité aujourd’hui. Il apparaît d’ailleurs que le travail à distance a renforcé les risques d’exposition aux failles notamment à travers l’explosion de l’utilisation de solutions numériques, comme les messages instantanés, l’envoi de courriels, ou la copie physique de données.</p>
<h2>Acteurs internes ou hackeurs externes</h2>
<p>Les fuites de données sont donc d’origines variées. Cela ne signifie pas que les enjeux liés à ces fuites sont toujours à fort impact. Difficile d’ailleurs d’évaluer quelle est la répartition du nombre de fuites de données selon leurs niveaux d’impact, puisqu’une partie d’entre elles ne sont jamais détectées, et une autre partie jamais révélée.</p>
<p>Comme nous l’avons vu précédemment, les fuites de données peuvent être dues à des acteurs multiples internes comme externes à une organisation spécifique. Les acteurs internes concernent ceux qui ont ou peuvent avoir accès (parfois par contournement) aux données cibles.</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"1453505099364503552"}"></div></p>
<p>Les acteurs externes constituent ce que l’on désigne plus communément aujourd’hui comme les « hackeurs ». Ce sont des profils à fortes compétences informatiques et en cybersécurité pour détourner les systèmes de sécurité informatique.</p>
<p>Ceux-ci travaillent aussi bien pour leur propre compte, que pour des structures diverses, incluant des entreprises, des organisations gouvernementales, etc., en fait, toute structure qui souhaiterait bénéficier de l’accès à des données ne lui appartenant pas.</p>
<h2>Déstabilisation, concurrence, monnaie d’échange</h2>
<p>La finalité de ces piratages ou fuites de données est également assez variée. Cela peut être pour déstabiliser (nuire à l’image, ou déstabiliser la position stratégique), pour espionner, ou encore <a href="https://www.ssi.gouv.fr/entreprise/principales-menaces/">saboter un projet, une organisation ou une personne spécifique</a>.</p>
<p>En effet, la fuite établie et rendue publique de données peut ainsi <a href="https://www.presse-citron.net/les-fuites-de-donnees-font-elles-peur-aux-consommateurs/">faire peur aux utilisateurs</a> de services et solutions en ligne (qu’ils soient des individus ou des organisations), ternir l’image d’un concurrent (potentiel ou existant), mais également rendre frileux de potentiels investisseurs financiers.</p>
<p>Les données sont donc ainsi soit réutilisées directement comme élément constituant un avantage concurrentiel, comme monnaie d’échange (sous la forme de chantage par exemple, c’est le cas du rançongiciel), ou revendues.</p>
<p>Dans ce dernier cas, un espace numérique sur le web désigné comme le <em>dark web</em>, permet d’échanger, vendre et acheter de multiples articles illégaux. Après utilisation initiale, certaines données se retrouvent même à circuler davantage et librement au travers des communautés de hackeurs, comme le décrit <a href="https://siecledigital.fr/2019/02/03/hackers-22-milliards-dadresses-piratees-en-quasi-libre-service/">ici l’article de Siècle digital datant de 2019</a>.</p>
<h2>Comment s’en protéger</h2>
<p>Les hackeurs individuels peuvent se regrouper en communautés et s’appliquer une éthique spécifique. Chacune des communautés défendant ainsi <a href="https://doi-org.ezp.em-lyon.com/10.1016/S1353-4858(11)70075-7">leur vision du monde</a>. Très récemment (octobre 2021), 12 « hackeurs » ont été arrêtés par Europol pour leurs méfaits en ligne.</p>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/0kK902-ZvNM?wmode=transparent&start=60" frameborder="0" allowfullscreen=""></iframe>
<figcaption><span class="caption">The Dangers of a Data Breach (Kaspersky Lab, 12 décembre 2017).</span></figcaption>
</figure>
<p>Certains chercheurs posent également des questions d’éthique liées aux méthodes de protection elles-mêmes, et proposent un cadre à suivre, comme récemment présenté <a href="https://doi-org.ezp.em-lyon.com/10.1016/j.cose.2021.102382">ici</a> par Formosa <em>et al</em>. en octobre dernier. Il s’agit notamment ici de discuter si la protection doit elle-même s’appuyer sur les mêmes outils et méthodes utilisées lors de piratages.</p>
<p>Le <a href="https://www.ssi.gouv.fr/en-cas-dincident/">site de l’Agence nationale de la sécurité des systèmes d’information</a> rappelle les bons gestes que ce soit en tant qu’individu ou organisation.</p>
<p>Des sites existent en outre pour tester si nos données personnelles individuelles <a href="https://start.lesechos.fr/innovations-start-up/tech-futur/ces-sites-qui-permettent-de-savoir-si-vous-votre-adresse-mail-et-votre-numero-de-telephone-avez-ete-pirate-1306177">ont été piratées</a> (et si ces données se retrouvent donc disponibles à travers le web).</p><img src="https://counter.theconversation.com/content/171032/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Benoit Loeillet est membre de l'association européenne MyData. </span></em></p>Les attaques de serveurs et avec elles le piratage de données explosent. Comment sont-elles menées, par qui, à quelles fins et comment s’en protéger ?Benoit Loeillet, Associate professor, EM Lyon Business SchoolLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1604272021-10-27T20:42:15Z2021-10-27T20:42:15ZLe machine learning, nouvelle porte d’entrée pour les attaquants d’objets connectés<p>Au cours des dernières années, les appareils connectés IoT (Internet des objets) ont continué de croître de manière exponentielle dans des domaines variés. D’après le rapport annuel de <a href="https://www.cisco.com/c/en/us/solutions/collateral/executive-perspectives/annual-internet-report/q-and-a-c67-482177.pdf">Cisco</a>, le nombre de connexions de ces dispositifs devrait représenter 50 % des 14,7 milliards de connexions prévues en 2023.</p>
<p>Présents dans de nombreux domaines tels que la médecine avec les pompes insulines connectées, l’industrie ou encore le transport avec les voitures connectées, ces dispositifs sont peu à peu devenus une véritable <a href="https://theconversation.com/appareils-connectes-et-cybersecurite-imaginer-des-attaques-pour-apprendre-a-se-defendre-160426">aire de jeu pour les cyberattaquants</a>.</p>
<p>À mesure que ces appareils évoluent, ils embarquent par ailleurs avec eux de nouvelles technologies, et intègrent notamment des algorithmes de <em>machine learning</em>. Une avancée qui résout certains problèmes mais ouvre aussi de nouvelles perspectives pour les attaquants.</p>
<h2>L’IoT dopé par le <em>machine learning</em></h2>
<p>Avec l’avancée de la technologie, les appareils IoT sont désormais bien plus que de simples capteurs aptes à récupérer des données. Une nouvelle aire combinant l’IoT et le <em>machine learning</em> commence à donner le jour à des dispositifs de plus en plus intelligents, capables de répondre à des besoins spécifiques pour chaque utilisateur.</p>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/opCgCvwulPo?wmode=transparent&start=0" frameborder="0" allowfullscreen=""></iframe>
<figcaption><span class="caption">Le business des objets connectés | Internet de tout et n’importe quoi (½) (Arte, 19 mai 2020).</span></figcaption>
</figure>
<p>C’est par exemple le cas de l’Amazon echo, qui intègre avec elle des composants supportant le <em>machine learning</em> et répond à des requêtes telles qu’allumer une lumière ou jouer une musique. Les voitures autonomes en sont une autre illustration : partant des données récoltées en temps réel, elles arrivent à analyser le trafic et à adapter leur comportement.</p>
<p>Le <em>machine learning</em> répond aussi à de nombreux problèmes liés aux appareils en eux-mêmes, en optimisant par exemple leur consommation énergétique ou en adaptant leur connectivité.</p>
<p>Des algorithmes de machines learning peuvent ainsi être utilisés dans les téléphones intelligents afin d’économiser <a href="https://hal.archives-ouvertes.fr/hal-01879172/document">leur énergie</a>. En récupérant des données comme la fréquence et la durée d’utilisation d’une application, il est alors possible de déduire des informations et d’adapter certains éléments en fonction, tels que la luminosité, et ainsi réduire la consommation énergétique de l’appareil.</p>
<h2><em>Machine learning</em> et cybersécurité</h2>
<p>Le développement de solutions de <em>machine learning</em> dédiées à la détection d’attaques peut par ailleurs améliorer la sécurité de l’IoT.</p>
<p>Les algorithmes d’apprentissage automatique constituent en effet de <a href="https://www.cisco.com/c/en/us/products/security/machine-learning-security.html">véritables assistants</a> dans différents domaines de la sécurité.</p>
<p>Ils servent par exemple à repérer des menaces sur un réseau en surveillant en continu le comportement de ce dernier, permettant de traiter une quantité de données en temps quasi réel. Ils représentent également un soutien essentiel pour les utilisateurs en déduisant et informant les utilisateurs des « mauvais comportements » d’un site web ou d’un mail.</p>
<p>Enfin, ils sont aussi capables de nous permettre de protéger nos données stockées en ligne, par l’analyse des activités de connexion suspectes aux applications Cloud, en se fondant sur les anomalies de localisation ou d’adresse IP.</p>
<p>Dans le cas de l’IoT, l’effet est néanmoins contrebalancé par la complexité et la variété croissantes des appareils connectés présents sur le marché, qui laissent encore place, au sein des algorithmes de <em>machine learning</em>, à de nombreux vecteurs d’attaques <a href="https://www.europol.europa.eu/newsroom/news/do-criminals-dream-of-electric-sheep-how-technology-shapes-future-of-crime-and-law-enforcement">qu’Europol</a> appréhende comme une menace réelle et importante.</p>
<h2>Concevoir un algorithme de <em>machine learning</em></h2>
<p>Avant de comprendre comment les attaquants s’y prennent pour déjouer un algorithme de <em>machine learning</em>, il est essentiel d’appréhender le fonctionnement de ce dernier.</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"1120823490167361537"}"></div></p>
<p>Dans la plupart des cas, la création se fait en plusieurs phases. La première consiste à entraîner un modèle de <em>machine learning</em> à partir de données prétraitées en amont. Vient ensuite la phase d’utilisation, qui ne commence réellement que lorsque le modèle est fiable. Celui-ci est alors utilisé avec de nouvelles données, dont la provenance dépend du problème à résoudre. Dans le cas d’Amazon Echo, par exemple, il s’agit des instructions fournies par l’utilisateur.</p>
<p>Cet éclaircissement fait, penchons-nous sur les <a href="https://www.wavestone.com/app/uploads/2019/09/IA-cyber-2019.pdf">trois principales types d’attaques</a> visant le <em>machine learning</em> et applicables sur nos objets de l’IoT.</p>
<h2>Attaque, mode d’emploi</h2>
<p>La première est nommée « l’empoisonnement » : elle a pour but de modifier le comportement de base de l’algorithme. L’attaquant cherche alors à altérer les données utilisées lors de la phase d’apprentissage.</p>
<p>Une autre attaque particulièrement répandue est « l’évasion » : il s’agit ici de jouer sur les données d’entrée du <em>machine learning</em> afin d’obtenir une décision différente de celle normalement attendue par l’application. Le but est d’introduire une donnée légèrement modifiée afin d’obtenir une décision différente tout en restant indétectable. L’attaquant tâche de créer l’équivalent d’une illusion d’optique pour l’algorithme.</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"1363909415607369729"}"></div></p>
<p>Les voitures autonomes constituent une cible de choix pour ce type d’attaques. Censées reconnaître, entre autres, les panneaux de signalisation routière, elles peuvent être trompées si une modification en apparence anodine pour l’homme est introduite. <a href="https://arxiv.org/pdf/1707.08945.pdf">Une étude</a> a ainsi montré que le simple ajout d’un autocollant sur un panneau « STOP » pouvait mettre l’algorithme en échec, approuvant alors à 97 % qu’il s’agissait d’un panneau de limitation de vitesse.</p>
<p>Enfin, il existe l’attaque par « inférence », le but ici étant de déduire le type d’algorithme utilisé, ainsi que les données. Un attaquant teste alors successivement différentes requêtes sur l’application et étudie l’évolution de son comportement afin de le déduire – il s’agit dans ce cas d’un vol de données.</p>
<p>Cette dernière attaque apparaît particulièrement efficace pour déterminer le comportement d’un système de détection fondé sur du <em>machine learning</em> dans les réseaux IoT.</p>
<h2>L’attaque, toujours la meilleure des défenses</h2>
<p>Face à leur augmentation constante et inexorable, la clé reste de découvrir et d’étudier en amont les différentes attaques possibles. Les entreprises, la recherche et l’innovation sont ainsi forcées d’anticiper les actions et d’utiliser les mêmes outils et les mêmes techniques que les attaquants afin d’évaluer la sécurité de leurs systèmes IoT ou d’y trouver de nouvelles vulnérabilités.</p>
<p>Se mettre à la place du hacker permet aussi de mieux comprendre le fonctionnement des appareils IoT, en les détournant de leur fonctionnalité première. L’un des objectifs est d’identifier les zones à risques les plus visibles afin de pouvoir créer des solutions le plus rapidement possible.</p>
<p>D’ailleurs, créer des attaques en laboratoire ne sert pas uniquement à prouver qu’elles sont réalisables. Cela donne aussi l’occasion de tester les solutions de sécurité existantes, de les améliorer et d’en concevoir de nouvelles.</p>
<p>Si la sécurisation des réseaux IoT est possible, ceux-ci présentent néanmoins encore d’importantes faiblesses, alors que le secteur est amené à occuper une place de plus en plus importante dans nos vies. À mesure que ces objets se développent, de nouvelles failles apparaissent et avec elles les menaces d’attaques, alertant toujours plus sur la nécessité de développer les recherches dans le domaine.</p><img src="https://counter.theconversation.com/content/160427/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Les auteurs ne travaillent pas, ne conseillent pas, ne possèdent pas de parts, ne reçoivent pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'ont déclaré aucune autre affiliation que leur organisme de recherche.</span></em></p>Les risques d’attaques se multiplient via l’Internet des objets. Pour les contrer au mieux, l’idéal est de comprendre les stratégies des hackers.Émilie Bout, Doctorante, InriaValeria Loscri, Associate research scientist, InriaLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1687072021-09-29T18:19:44Z2021-09-29T18:19:44ZÉtats, banques, hôpitaux : tous victimes des attaques informatiques<p>Les attaques informatiques ne sont pas un phénomène récent. Le premier vers diffusé sur Internet, dit <a href="https://www.fbi.gov/history/famous-cases/morris-worm">« Morris worm »</a> du nom de son créateur, a infecté 10 % des 60 000 ordinateurs que comptait Internet à cette période.</p>
<p>Le livre <a href="https://en.wikipedia.org/wiki/The_Cuckoo%27s_Egg_(book)"><em>The Cukoo’s Egg</em></a>, publié en 1989, raconte déjà une histoire vraie d’espionnage informatique. Depuis cette période, on a donc assisté à un ensemble de phénomènes malveillants, avec des causes multiples évoluant au cours du temps. La motivation initiale de nombreux « hackers » était la curiosité face à une technologie nouvelle, largement hors de portée du commun des mortels à l’époque. A succédé à cette curiosité l’appât du gain, qui s’est d’abord traduit par des campagnes de messagerie incitant à l’achat de produits sur Internet puis à des attaques par déni de service.</p>
<p>Depuis quelques années, trois types de motivations prévalent :</p>
<ul>
<li><p>Un gain financier direct, notamment par le déploiement des <a href="https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/rancongiciels-ransomwares">rançongiciels</a>, qui fait de nombreuses victimes ;</p></li>
<li><p>L’espionnage et le gain d’information, étatique le plus souvent mais également privé ;</p></li>
<li><p>La captation et manipulation de données, le plus souvent personnelles, à des fins de propagande ou de contrôle.</p></li>
</ul>
<p>Ces motivations se couplent à deux types de processus d’attaques, des attaques ciblées où l’attaquant a choisi sa cible et se donne les moyens de la pénétrer, des attaques à grande échelle où l’attaquant cherche à faire le plus de victimes possible dans le maximum de temps, son gain étant proportionnel au nombre de victimes touchées.</p>
<h2>La mode des rançongiciels</h2>
<p>Les <a href="https://www.economie.gouv.fr/entreprises/rancongiciels-ransomware-protection">rançongiciels</a> sont des programmes malveillants qui s’installent de manière détournée sur un ordinateur et en chiffrent le contenu. Ils affichent ensuite un message demandant une rançon pour obtenir les clés de déchiffrement.</p>
<p><em>Le logiciel de caisses enregistreuses Kaseya</em></p>
<p>En juillet 2021,une <a href="https://www.csoonline.com/article/3626703/the-kaseya-ransomware-attack-a-timeline.html">attaque</a> a frappé le logiciel de gestion de caisses enregistreuses Kaseya, utilisé dans plusieurs chaînes de magasins. C’est la partie cloud du service qui a été impactée, menant à l’indisponibilité des systèmes de paiement de <a href="https://www.larevuedudigital.com/les-supermarches-suedois-coop-contraints-de-fermer-a-cause-dune-attaque-informatique/">plusieurs chaînes de magasins</a>.</p>
<p><em>L’attaque Colonial Pipeline</em></p>
<p>Un exemple récent est l’attaque visant l’oléoduc de la cote est des états unis <a href="https://fr.wikipedia.org/wiki/Cyberattaque_de_Colonial_Pipeline">« Colonial Pipeline »</a>, en mai 2021. Cette attaque a rendu inopérants les logiciels utilisés pour contrôler le flux de carburant dans ce tuyau, ce qui a engendré des pénuries de carburant dans les stations-service et les aéroports.</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"1393317644925906947"}"></div></p>
<p>Cet exemple est marquant car il a touché une infrastructure visible et qu’il a eu un fort impact économique, mais d’autres infrastructures, banques, usines et hôpitaux, sont régulièrement impactés par ce phénomène. Il convient par ailleurs de noter que ces attaques sont très souvent destructrices, et que le paiement de la rançon ne garantit pas une capacité à retrouver ses données.</p>
<p>Il est malheureusement à prévoir que ces attaques continuent, au moins dans un premier temps, car il y a un gain financier certain pour les attaquants, certaines victimes payant la rançon malgré les difficultés éthiques et légales que cela pose. Les mécanismes d’assurance contre le crime informatique peuvent par ailleurs avoir un effet délétère, le <a href="https://static.rusi.org/247-op-cyber-insurance-v2.pdf">paiement de rançon encourageant les attaquants à continuer</a>. Les états mettent également en place des outils de contrôle des cryptomonnaies, souvent utilisées pour le paiement des rançons, afin de rendre ce paiement plus difficile. Notons par ailleurs que paradoxalement l’usage des cryptomonnaies permet une traçabilité qui ne serait pas accessible par des paiements traditionnels. Cela permet d’envisager une baisse de la rentabilité de ce type d’attaque ainsi qu’un accroissement du risque pour les attaquants, menant à terme à une réduction de ce type de pratique.</p>
<h2>Les attaques ciblées orchestrées par des états</h2>
<p>Les infrastructures sont fréquemment pilotées par des outils numériques, incluant les infrastructures régaliennes des états (économie, finance, justice…). Par conséquent, nous constatons le développement de nouvelles pratiques, sponsorisées par des états ou des acteurs très puissants, qui mettent en œuvre des moyens sophistiqués sur du temps long pour parvenir à leurs fins. Plusieurs exemples existent, comme l’attaque <a href="https://fr.wikipedia.org/wiki/Stuxnet">Stuxnet/Flame</a> contre les centrifugeuses iraniennes, ou l’attaque contre le logiciel SolarWinds.</p>
<p><em>L’exemple de SolarWinds</em></p>
<p>L’attaque contre la société Orion et son <a href="https://www.lawfareblog.com/solarwinds-and-holiday-bear-campaign-case-study-classroom">logiciel SolarWinds</a> est particulièrement exemplaire du niveau de complexité que certains acteurs sont capables de mettre en œuvre lors d’une attaque. Le logiciel SolarWinds est un outil de gestion de réseaux ; il occupe donc une position critique pour piloter un système d’information. Il est utilisé par de très nombreuses grandes entreprises et administrations américaines.</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"1440286691823013891"}"></div></p>
<p>L’attaque initiale a été portée en 2019 (entre janvier et septembre), pour pénétrer l’environnement de compilation de SolarWinds. Entre l’automne 2019 et février 2020, l’attaquant a interagi avec cet environnement pour implanter des fonctionnalités complémentaires. En février 2020, cette interaction a permis l’implantation d’un cheval de Troie dénommé « Sunburst », qui sera ensuite intégré aux mises à jour de SolarWind et implanté de cette manière chez les clients d’Orion, jusqu’à infecter 18 000 organisations. La phase d’exploitation a démarré fin 2020 par l’injection de codes malveillants supplémentaires téléchargés par Sunburst. L’attaquant a finalement pénétré le nuage Office365 des sociétés compromises. La première détection d’activité malveillante a été faite en décembre 2020, avec le vol d’outils logiciels de la société FireEye.</p>
<p>Cet exemple a couru tout au long de l’année 2021 et a des impacts majeurs, montrant à la fois la complexité et la longévité de certaines attaques. Cette action a été attribuée par les <a href="https://www.usine-digitale.fr/article/les-renseignements-americains-attribuent-la-cyberattaque-solarwinds-a-la-russie.N1045854">renseignements américains</a> au SVR, le service d’espionnage extérieur russe, <a href="https://www.latribune.fr/depeches/reuters/KCN2CZ11I/le-chef-des-services-russes-d-espionnage-nie-l-attaque-contre-solarwinds-dit-la-bbc.html">ces derniers l’ayant nié</a>. Il est vraisemblable que l’intérêt stratégique de certaines cibles amène à des développements ultérieurs de ce type d’attaque ciblée en profondeur. L’importance des outils numériques pour le fonctionnement de nos infrastructures critiques amène inévitablement le développement d’armes cyber par les états, et prendra probablement de l’ampleur dans les années à venir.</p>
<h2>Le contrôle social</h2>
<p>La publication des activités du logiciel Pegasus, de la société NSO, montre que certains états ont un intérêt fort à compromettre les équipements informatiques, notamment smartphones, de leurs opposants.</p>
<p><em>L’exemple de Tetris</em></p>
<p><a href="https://therecord.media/chinese-espionage-tool-exploits-vulnerabilities-is-58-widely-used-websites/">Tetris</a> est le nom d’un outil utilisé (<a href="https://www.leparisien.fr/high-tech/apres-la-russie-microsoft-victime-de-milliers-de-cyberattaques-venues-de-chine-07-03-2021-ENYX7LUZ3BFJPCUIUU2UGHWXN4.php">potentiellement par le gouvernement chinois</a>) pour infecter des sites Internet de discussion et remonter les identités d’opposants possibles. L’outil est utilisé sur 58 sites et réalise des actions relativement complexes pour voler les identités des visiteurs.</p>
<p><em>Le « zéro-click »</em></p>
<p>La publication des outils de Pegasus a mis en évidence la famille d’attaques dites « 0-click ». De nombreuses attaques contre les logiciels de messagerie ou les navigateurs supposent qu’un attaquant va cliquer sur un lien, et que ce click va déclencher l’infection de la victime. Une attaque 0-click déclenche cette infection sans aucune action de la cible. L’exemple en cours est la vulnérabilité dite <a href="https://nvd.nist.gov/vuln/detail/CVE-2021-30860">ForcedEntry ou CVE-2021-30860</a>, touchant l’application iMessage des iPhones.</p>
<p>Cette application, comme de nombreuses autres, accepte des données de format très nombreux et différent, et doit effectuer de nombreuses opérations complexes pour les présenter de manière élégante aux utilisateurs, malgré un format d’affichage réduit. Cette complexité engendre une surface d’attaque importante. Un attaquant connaissant le numéro de téléphone de la victime peut donc lui envoyer un message malveillant, qui au cours du traitement préalable par le téléphone déclenchera l’infection. Certaines vulnérabilités permettent même de supprimer les traces (au moins visibles) de la réception du message, pour éviter d’alerter la cible.</p>
<p>Malgré le durcissement des plates-formes informatiques, il est vraisemblable que certains états, et certaines sociétés privées, conserveront la capacité de pénétrer les systèmes informatiques et les objets connectés, soit directement (p. ex. smartphones), soit les services en nuage auxquels ils sont connectés (par exemple les services vocaux). On rentre ainsi dans le domaine de la politique, ou de la géopolitique…</p>
<p>La grande difficulté des attaques informatiques reste l’attribution, c’est-à-dire la capacité de retrouver l’origine de l’attaque et d’identifier l’attaquant. C’est d’autant plus difficile que l’attaquant essaie fréquemment d’effacer ses traces et que l’Internet lui offre de nombreuses opportunités pour le faire.</p>
<h2>Que faire pour prévenir une attaque ?</h2>
<p>La meilleure solution pour prévenir une attaque est de suivre les mises à jour des systèmes et des applications, et éventuellement les installer de manière automatique. La plupart des ordinateurs, téléphones et tablettes peuvent ainsi être mis à jour sur un rythme mensuel, voire plus fréquemment. Il convient également d’activer les mécanismes de protection existants, comme les pare-feux ou les anti-virus, pour éliminer une grande partie des menaces.</p>
<p>Il est capital de sauvegarder fréquemment ses données, sur des disques ou dans le cloud, et de ne rester connecté à ces sauvegardes que tant qu’elles sont en cours. Une sauvegarde n’est vraiment utile que si elle est séparée de l’ordinateur, par exemple pour éviter que le disque de sauvegarde ne soit attaqué par un rançongiciel en même temps que le disque principal. Une sauvegarde double, ou sous forme papier, d’informations clé comme les mots de passe de vos principaux outils (compte de messagerie, bancaire…) est également indispensable.</p>
<p>Il convient également d’utiliser les outils numériques avec discernement. Dit simplement, si cela paraît trop beau dans le monde réel, il y a fort à parier que ce l’est également dans le monde virtuel. Prêter attention aux messages apparaissant sur nos écrans, relever des fautes d’orthographe ou des tournures de phrase étranges, permet souvent de voir des anomalies de comportement de nos ordinateurs et tablettes et de vérifier leur état.</p>
<p>Finalement, les utilisateurs doivent savoir que certaines pratiques sont risquées. Les magasins d’application non officiels ou les téléchargements d’exécutables sur Internet pour obtenir des logiciels sans licence incluent souvent des programmes malveillants. Les VPN très à la mode pour regarder des chaînes d’autres régions sont également des vecteurs d’attaque.</p>
<h2>Que faire en cas de compromission ?</h2>
<p>Une compromission ou une attaque sont des événements très stressants, ou l’attaquant essaie fréquemment d’augmenter le stress de la victime par des pressions ou des messages alarmistes. Il faut impérativement garder son sang-froid et se procurer un deuxième matériel (ordinateur ou téléphone) pour retrouver un outil permettant de travailler sur la machine compromise.</p>
<p>Il est indispensable de retrouver un état dans lequel la machine compromise est saine. Cela veut dire une réinstallation complète du système, sans essayer de récupérer des morceaux de l’installation précédente, pour éviter tout phénomène de réinfection. Avant récupération, il faut analyser sa sauvegarde pour être sûr qu’il n’y a pas eu transfert du code malveillant sur celle-ci. De ce fait, comprendre d’où vient l’infection peut être utile.</p>
<p>Dans de nombreux incidents, la perte de quelques heures de données est malheureusement acceptable, et il faut se tourner vers une remise en route la plus rapide et la plus saine possible. Payer une rançon est fréquemment inutile, dans la mesure où de nombreux rançongiciels sont en fait incapables de déchiffrer les données. Lorsque ce déchiffrement est possible, il existe fréquemment des programmes gratuits pour le faire, fournis par des éditeurs de logiciels de sécurité. On apprend en conséquence à faire des sauvegardes plus exhaustives et plus fréquentes…</p>
<p>Finalement, il est très utile lorsque l’on ne dispose pas de compétences internes en cybersécurité de se faire accompagner dans une démarche d’analyse de risque et de mise en place de mécanismes de protection d’utiliser des <a href="https://www.ssi.gouv.fr/entreprise/qualifications/prestataires-de-services-de-confiance-qualifies/prestataires-de-service-dinformatique-en-nuage-secnumcloud/">services cloud certifiés</a>, d’effectuer des <a href="https://www.ssi.gouv.fr/entreprise/qualifications/prestataires-de-services-de-confiance-qualifies/prestataires-daudit-de-la-securite-des-systemes-dinformation-passi-qualifies/">audits réguliers par des professionnels certifiés pour des prestations d’audit</a> de <a href="https://www.ssi.gouv.fr/entreprise/qualifications/prestataires-de-services-de-confiance-qualifies/prestataires-de-detection-dincidents-de-securite-pdis/">détection</a> et de traitement des <a href="https://www.ssi.gouv.fr/entreprise/qualifications/prestataires-de-services-de-confiance-qualifies/prestataires-de-reponse-aux-incidents-de-securite-pris/">incidents de cybersécurité</a>.</p><img src="https://counter.theconversation.com/content/168707/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Hervé Debar a reçu des financements de l'ANR et de la Commission Européenne sur les programmes H2020 et CEF. Je suis membre du conseil scientifique de l'ANSSI.</span></em></p>Cet été a vu de nombreuses attaques informatiques visant des hôpitaux, mais ces actes de malveillance touchent tous les acteurs publics ou privés et tous les domaines.Hervé Debar, Directeur de la Recherche et des Formations Doctorales, Directeur adjoint, Télécom SudParis – Institut Mines-TélécomLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1636762021-08-10T18:00:55Z2021-08-10T18:00:55ZLa sécurité informatique menacée d’un chacun pour soi<p>La montée irrésistible des <a href="https://www.irt-systemx.fr/wp-content/uploads/2019/06/ISX-rancongiciels.pdf">préjudices d’attaques informatiques</a> s’effectue au fil des années par de brusques poussées entrecoupées de plateaux. Les récents confinements – avec les pratiques de télétravail mal sécurisé désormais inscrites dans les mœurs – ont fourni une nouvelle impulsion à cette tendance lourde, dont la persistance incite les acteurs de la sécurité à modifier leurs postures.</p>
<p>L’absence de frein à l’inflation des dégâts force à préparer des scénarios catastrophes, dont la probabilité d’occurrence s’accroît tout autant que les coûts potentiels.</p>
<p>De tels scénarios qui ne mobilisaient il y a cinq ans que quelques chercheurs ou grands industriels tels que de l’aéronautique, ainsi notamment que les réassureurs (les assureurs des assurances), se « démocratisent » puisqu’il n’est plus une entreprise ou un hôpital qui désormais n’a pas une réflexion sur un que-faire face à de telles hypothèses.</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"1369353609239031812"}"></div></p>
<p>L’arrivée de la 5G avec son effet multiplicateur d’objets communicants ajoutera une dimension supplémentaire aux précédents risques du tout-internet. Les remparts ou les amortisseurs traditionnels que sont les États, avec leur appareil judiciaire, et les assureurs, prennent peu à peu la mesure de leurs propres limites face à des chocs dont la magnitude possible croît plus vite que les ressources mobilisables par eux.</p>
<p>Ressources en hommes concernant l’État, or les experts en sécurité informatique ne sont pas multipliables à l’envi. Il serait à demander pendant combien d’années notre enseignement supérieur saurait répondre à un besoin d’accroître par exemple de 15 % annuellement les effectifs de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) pour répondre au du taux de croissance du piratage, et de ses homologues aux ministères des Armées et de l’Intérieur : une telle croissance arithmétique serait hélas insoutenable avant une décennie. Au contraire serait-elle un rythme de croisière envisageable pour les attaquants.</p>
<p>Une asymétrie se dévoile, où les limites seront du côté du bouclier davantage que de l’épée, pour laquelle les succès des actuelles attaques font office d’agent recruteur et de financeur. À terme, le bouclier sera perdant s’il ne change pas la donne technologique qui aujourd’hui fait de nous des cybervoyageurs en terre hostile.</p>
<h2>Comment assurer le risque d’attaques informatiques ?</h2>
<p>Ressources financières, concernant le monde de l’assurance. L’eldorado entrevu à tort par quelques optimistes il y a dix ans, revêt aujourd’hui les traits d’un risque en partie immesurable, et peut-être démesuré au sens d’extrême. L’aspect immesurable est peu compatible avec un métier centré sur les calculs d’actuaires, sur des statistiques fiables et stables aujourd’hui manquantes ; l’expertise capitalisée notamment chez quelques courtiers spécialisés est précieuse mais il est incertain qu’elle puisse répondre aux besoins croissants des près de quatre millions d’entreprises françaises. L’aspect démesuré renvoie aux scénarios catastrophes (comme une attaque provoquant l’effondrement total du système électrique d’un pays), et met en comparaison des préjudices en accélération avec des primes d’assurance dont les entreprises ne pourraient soutenir durablement une croissance tarifaire forte.</p>
<p>S’il n’est pas question encore de sentiment d’impuissance – selon l’expression consacrée-, un signe avant-coureur apparaît à travers quelques attitudes, en particulier aux États-Unis où certaines autorités de police locale, voire fédérale ont, publiquement, non pas seulement toléré mais suggéré faute de mieux à des victimes <a href="https://www.darkreading.com/edge-threat-monitor/15-of-ransomware-victims-paid-ransom-in-2019-quadrupling-2018">d’acquitter la rançon demandée</a>. Comportement qui n’est pas à interpréter comme désinvolte, mais d’aveu personnel par un représentant de la loi qu’il est démuni devant un cas de détresse et d’urgence.</p>
<p>Les États-Unis font figure de laboratoire à plus d’un titre. Le pays a vécu une ouverture précoce du marché de la cyberassurance, puisqu’il représentait à lui seul il y a cinq ans <a href="https://www.leclubdesjuristes.com/wp-content/uploads/2018/01/cdj_assurer-le-risque-cyber_janvier_2018_fr-1.pdf">90 % environ du marché mondial</a> en termes de primes. Tôt mature, ce banc de test a depuis révélé d’autres particularités inquiétantes car il ne s’y est pas constaté d’effet positif très notable contre l’origine du problème, que sont les failles informatiques. Somme toute s’est-il contenté de croire qu’une solution non pas aux attaques mais aux conséquences des attaques suffirait à son équilibre, en créant à cette occasion le nouveau métier de cyberassureur. Un cercle vertueux était effectivement envisageable, où l’assureur aurait émis des exigences pour imposer des standards élevés en matière de sécurisation, tant chez les entreprises voulant s’assurer que chez leurs prestataires de sécurité et surtout chez les éditeurs de logiciels : le mécanisme où davantage d’assurances aurait engendré davantage de sécurité donc moins de préjudices à indemniser, eut été gagnant, or le <a href="https://www.leclubdesjuristes.com/wp-content/uploads/2018/01/cdj_assurer-le-risque-cyber_janvier_2018_fr-1.pdf">bilan actuel</a> enregistre davantage d’assurances certes mais plus encore de dommages. Le compte n’y est pas, sauf à rehausser drastiquement le montant des primes.</p>
<p>Une paresse a prévalu, où chacun s’est cru couvert sans effort autre que d’acquitter une prime dont le montant était artificiellement bas du fait d’une volonté chez certains assureurs de conquérir rapidement des parts de marché.</p>
<h2>Quand les victimes préfèrent payer des rançons</h2>
<p>Une seconde solution de facilité a été le réflexe trop vite installé de céder aux demandes de rançons, puisqu’il suffisait croyait-on de verser une rançon modeste au regard des maux évités. Celle payée en 2021 par <a href="https://www.lemonde.fr/international/article/2021/05/19/etats-unis-les-oleoducs-colonial-pipeline-ont-verse-une-rancon-de-4-4-millions-de-dollars-a-des-hackeurs_6080761_3210.html">Colonial Pipeline</a> ne viendrait pas démentir ce constat, quand quelques millions versés paraissent éviter un coût en milliards de dollars pour l’économie américaine.</p>
<p>Certaines victimes ont témoigné avoir reçu des feux verts à de tels paiements émanant de leur assureur ; il est vrai que les professionnels anglo-saxons sont traditionnellement plus réceptifs au principe et à la pratique d’assurer les frais d’une rançon supposée éviter sinon des frais de réparation.</p>
<p>Le ratio approximatif de 1 à 1000 dans le cas de Colonial Pipeline relève néanmoins d’une rentabilité à courte vue. D’un côté une victime – et son assureur parfois – se libère d’un malheur en versant un tribut à son bourreau, mais qui sera demain enrichi, aguerri, plus affamé. Ce payeur nourrit les attaques futures que subira la collectivité, il a préféré son intérêt à celui de ses voisins.</p>
<p>Cependant cette même collectivité n’a pas fait montre de solidarité à l’heure où la victime s’est trouvée solitaire face à un cryptovirus qui la paralysait et pouvait la conduire au dépôt de bilan.</p>
<p>Ce jeu de mistigri procède fondamentalement d’un égoïsme réciproque. Deux rationalités s’affrontent, l’une de la victime qui a intérêt individuellement et sur l’instant à obtenir un moindre tort par le paiement de rançon, l’autre de la collectivité qui aurait intérêt pour garantir son avenir à ce que ces versements n’aient pas lieu mais qui reste dans le moindre effort.</p>
<p>Ce double égoïsme n’appelle aucun jugement moral, il résulte d’une impasse à la fois individuelle et collective qui ne propose pas d’autre issue qu’un chacun pour soi. Le un pour tous, tous pour un se délite face à l’inexorabilité ressentie du péril.</p>
<p>Le principe de l’assurance n’est pas hors-jeu, mais se révèle insuffisant. D’ailleurs n’est-il qu’une forme de pari statistique, où chacun paye son écot en proportion de ce qu’il espère recevoir a minima un jour ; il diffère de l’autre forme de solidarité qu’est un impôt sur la sécheresse ou autre catastrophe naturelle.</p>
<p>D’autres pistes restent à réfléchir, parmi lesquelles certaines trouvent inspiration dans l’architecture de la protection santé née en 1945 en France, comprenant « un système d’assurance hybride (avec) une cyberassurance collective (et d’autre part) une cyberassurance individuelle et complémentaire », comme le propose Betty Thomas dans « L’implémentation d’un système d’assurance hybride » en 2021. Un tel dispositif, dont on ne sait s’il serait incitateur à la vigilance de chacun, répliquerait sur l’aléa numérique le distinguo opéré par la Sécurité sociale, entre une « Caisse Nationale d’Assurance Informatique, par le biais d’une affiliation obligatoire » et « une cyberassurance individuelle » optionnelle souscrite auprès d’assureurs ou de mutuelles.</p>
<p>Une créativité sera nécessaire pour pallier le réflexe de sauve-qui-peut. Sans perdre de vue que celui-ci résulte de la prise de conscience hélas lucide d’une montée du risque numérique ; le cœur du problème est là, pour lequel des réponses devront être apportées : grâce à plus de moyens alloués à un système judiciaire aujourd’hui sous-calibré (autre myopie, d’un État géré selon une logique comptable qui voit les dépenses budgétaires mais pas ce qu’elles économiseraient) ;</p>
<p>et moins de latitude accordée aux pirates, chose qui ne s’obtiendra pas sans évolution d’un Internet insécurisé par nature.</p>
<hr>
<p><em>Cet article reprend et développe une intervention tenue dans le cadre d’une formation sur la transition numérique. Cette conférence a été donnée lors du cycle national de formation 2020-2021 de l’IHEST, l’Institut des hautes études pour la science et la technologie, par Philippe Laurier</em>.</p><img src="https://counter.theconversation.com/content/163676/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Philippe Laurier ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>Il est difficile d’assurer financièrement le risque informatique. Certaines victimes de cyberattaques préfèrent payer des rançons. Au risque de voir les pirates devenir de plus en plus gourmands ?Philippe Laurier, Responsable du séminaire intelligence économique, École polytechniqueLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1653432021-07-29T13:40:06Z2021-07-29T13:40:06ZDevant l’explosion des cyberattaques, le Canada doit collaborer avec les experts en cybersécurité et non leur nuire<figure><img src="https://images.theconversation.com/files/413740/original/file-20210729-21-1b2kj9h.jpeg?ixlib=rb-1.1.0&rect=49%2C0%2C5530%2C3675&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Les experts en sécurité peuvent fournir des informations précieuses sur les failles que des pirates informatiques pourraient exploiter.</span> <span class="attribution"><span class="source">(Alexandre Debiève/Unsplash)</span>, <a class="license" href="http://creativecommons.org/licenses/by-nc-nd/4.0/">CC BY-NC-ND</a></span></figcaption></figure><p>Les cyberattaques se multiplient et touchent les gens, les systèmes, les infrastructures et les gouvernements avec des effets qui peuvent être considérables et dévastateurs. Parmi les plus récentes, citons l’importante <a href="https://theconversation.com/holding-the-world-to-ransom-the-top-5-most-dangerous-criminal-organisations-online-right-now-163977">attaque du rançongiciel REvil</a> et la découverte du fait que le <a href="https://theconversation.com/how-does-the-pegasus-spyware-work-and-is-my-phone-at-risk-164781">logiciel espion Pegasus</a> suivait plus de 1 000 personnes.</p>
<p>Les cyberpirates profitent souvent des failles de sécurité. Il s’agit de <a href="https://resources.sei.cmu.edu/library/asset-view.cfm?assetid=503330">conditions ou de comportements</a> qui permettent la violation, l’utilisation abusive et la manipulation de données. Parmi les exemples, on peut penser à un code informatique mal écrit ou à quelque chose d’aussi simple que le fait de ne pas avoir de correctif de sécurité.</p>
<h2>Exploiter les failles</h2>
<p>Les répercussions peuvent être particulièrement importantes lorsque les attaquants exploitent les vulnérabilités informatiques des systèmes numériques utilisés par les gouvernements fédéraux.</p>
<p>En juillet 2015, l’Office of Personnel Management des États-Unis a annoncé que des pirates avaient exfiltré des informations personnelles très sensibles et les empreintes digitales d’environ <a href="https://www.opm.gov/news/releases/2015/07/opm-announces-steps-to-protect-federal-workers-and-others-from-cyber-threats/">21,5 millions de travailleurs fédéraux</a> et de leurs associés, en raison d’une série de mauvaises pratiques de sécurité et de failles du système.</p>
<p>Cette violation de données de grande ampleur a servi de signal d’alarme pour le gouvernement fédéral américain. L’administration de Barack Obama a alors décidé que le département de la Défense serait désormais responsable du <a href="https://www.washingtonpost.com/news/federal-eye/wp/2016/01/22/pentagon-to-take-over-control-of-background-investigation-information/">stockage des données des employés fédéraux</a>.</p>
<p>Peu de temps après, le <a href="https://dod.defense.gov/Portals/1/Documents/Fact_Sheet_Hack_the_Pentagon.pdf">programme pilote « Hack the Pentagon »</a> a été lancé, dans le cadre duquel le gouvernement américain invitait des experts externes à signaler les failles de sécurité.</p>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/jmkM3Dwiwo8?wmode=transparent&start=0" frameborder="0" allowfullscreen=""></iframe>
<figcaption><span class="caption">En 2016, Le Pentagone a annoncé un programme visant à l’aider à repérer les failles de sécurité.</span></figcaption>
</figure>
<p>Ce projet pilote a ouvert la voie à ce qui est devenu une norme en matière de pratique de sécurité du gouvernement américain. Depuis 2020, toutes les agences fédérales américaines sont tenues de permettre la <a href="https://cyber.dhs.gov/bod/20-01/">divulgation des vulnérabilités informatiques</a>.</p>
<h2>Le Canada est en retard</h2>
<p>En comparaison, <a href="https://www.cybersecurepolicy.ca/vulnerability-disclosure">notre récent rapport</a> a révélé que le gouvernement du Canada est en retard par rapport à des pays comme les États-Unis en n’ayant pas demandé à recevoir des rapports de vulnérabilité de la part d’experts externes.</p>
<p>Nous n’avons pas connu d’attaque de l’ampleur de celle de l’Office of Personnel Management aux États-Unis, mais nous n’en sommes pas à l’abri.</p>
<p>Dans le cas du vol de données d’Equifax de 2017, des attaquants <a href="https://www.priv.gc.ca/fr/mesures-et-decisions-prises-par-le-commissariat/enquetes/enquetes-visant-les-entreprises/2019/lprpde-2019-001/">ont exploité une vulnérabilité</a> dans un portail client en ligne, ce qui a affecté 19 000 Canadiens.</p>
<p>En août 2020, l’Agence du revenu du Canada <a href="https://ici.radio-canada.ca/nouvelle/1726901/agence-revenu-canada-cyberattaques-cle-gc">a désactivé plus de 5 000 comptes d’utilisateurs</a> en raison de cyberattaques rendues possibles en partie par l’absence d’authentification à deux facteurs.</p>
<p>Notre étude, publiée par le <a href="https://www.cybersecurepolicy.ca/vulnerability-disclosure">Cybersecure Policy Exchange</a> de l’Université Ryerson, est la première recherche accessible au public qui compare la façon dont le Canada traite le signalement des failles de sécurité à celle d’autres pays.</p>
<p>Nous avons découvert que si 60 % des membres du G20 disposent de processus distincts et clairs pour exposer les vulnérabilités informatiques dans les infrastructures publiques, ce n’est pas le cas du Canada.</p>
<figure class="align-center zoomable">
<a href="https://images.theconversation.com/files/413563/original/file-20210728-17-rkb6lm.png?ixlib=rb-1.1.0&q=45&auto=format&w=1000&fit=clip"><img alt="Un tableau présentant les protocoles de divulgation des vulnérabilités dans différents pays" src="https://images.theconversation.com/files/413563/original/file-20210728-17-rkb6lm.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/413563/original/file-20210728-17-rkb6lm.png?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=315&fit=crop&dpr=1 600w, https://images.theconversation.com/files/413563/original/file-20210728-17-rkb6lm.png?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=315&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/413563/original/file-20210728-17-rkb6lm.png?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=315&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/413563/original/file-20210728-17-rkb6lm.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=395&fit=crop&dpr=1 754w, https://images.theconversation.com/files/413563/original/file-20210728-17-rkb6lm.png?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=395&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/413563/original/file-20210728-17-rkb6lm.png?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=395&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px"></a>
<figcaption>
<span class="caption">En examinant si le gouvernement du Canada respecte les normes de divulgation de la vulnérabilité, nous avons découvert qu’il était en retard par rapport aux autres membres du G20.</span>
<span class="attribution"><span class="source">(Cybersecure Policy Exchange, Ryerson University)</span>, <span class="license">Author provided</span></span>
</figcaption>
</figure>
<p>Les experts en cybersécurité peuvent faire connaître des « cyberincidents » au <a href="https://cyber.gc.ca/fr/">Centre canadien de cybersécurité</a>. Mais la définition du terme est si étroite qu’elle exclut les vulnérabilités qui n’ont pas encore été exploitées de façon malintentionnée.</p>
<p>Et alors que les gouvernements du <a href="https://www.ncsc.gov.uk/information/vulnerability-reporting">Royaume-Uni</a> et des <a href="https://www.ncsc.gov.uk/information/vulnerability-reporting">États-Unis</a> ont promis de faire des efforts pour corriger les failles de sécurité qu’on leur signale, le Centre canadien de cybersécurité n’a fait aucune promesse de ce genre.</p>
<p>En ne soutenant pas et en ne protégeant pas les chercheurs en sécurité qui détectent les failles, on fait courir un grand risque au Canada et aux Canadiens.</p>
<h2>Systèmes vulnérables, personnes vulnérables</h2>
<p>Les experts en cybersécurité peuvent s’exposer à des risques juridiques importants lorsqu’ils rapportent des vulnérabilités informatiques au gouvernement canadien. Le piratage informatique est interdit par le <a href="https://notesdelacolline.ca/2016/03/10/confidentialite-et-securite-informatique-acces-legal-ou-illegal/">Code criminel</a> et, dans certaines circonstances, par des lois comme la <a href="https://iclg.com/practice-areas/cybersecurity-laws-and-regulations/canada">Loi sur le droit d’auteur</a>.</p>
<figure class="align-center ">
<img alt="tableau montrant les risques liés à la divulgation des vulnérabilités" src="https://images.theconversation.com/files/412935/original/file-20210723-27-ka9rol.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/412935/original/file-20210723-27-ka9rol.png?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=455&fit=crop&dpr=1 600w, https://images.theconversation.com/files/412935/original/file-20210723-27-ka9rol.png?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=455&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/412935/original/file-20210723-27-ka9rol.png?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=455&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/412935/original/file-20210723-27-ka9rol.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=572&fit=crop&dpr=1 754w, https://images.theconversation.com/files/412935/original/file-20210723-27-ka9rol.png?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=572&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/412935/original/file-20210723-27-ka9rol.png?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=572&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">Quelques risques juridiques au Canada liés à la découverte et à la divulgation des failles de sécurité trouvées dans des logiciels et du matériel.</span>
<span class="attribution"><span class="source">(Cybersecure Policy Exchange, Ryerson University)</span>, <span class="license">Author provided</span></span>
</figcaption>
</figure>
<p>Mais contrairement aux <a href="https://english.ncsc.nl/publications/publications/2019/juni/01/coordinated-vulnerability-disclosure-the-guideline">Pays-Bas</a> et aux États-Unis, nous n’avons pas de cadre juridique pour signaler de bonne foi les vulnérabilités informatiques.</p>
<p>L’approche actuelle du Canada a un effet dissuasif sur la divulgation des faiblesses de sécurité découvertes non seulement dans les systèmes gouvernementaux, mais aussi dans tous les logiciels et matériels.</p>
<p>Cette attitude fait en sorte que les chercheurs en cybersécurité ignorent si, et comment, ils doivent informer le gouvernement lorsqu’ils repèrent des failles de sécurité susceptibles d’être exploitées</p>
<p>Il n’est pas trop tard pour que le gouvernement fédéral mette en place un processus pour permettre aux experts de signaler les failles de sécurité, et de s’inspirer des meilleures pratiques pour ce faire.</p>
<p>Notre <a href="https://www.cybersecurepolicy.ca/vulnerability-disclosure">travail souligne l’importance</a> de définir qui peut soumettre des rapports de vulnérabilité et décrit à quoi peut ressembler le processus de signalement et de correction. Il est essentiel de reconnaître l’apport des experts qui ont révélé un problème. Le public devrait recevoir des informations sur les vulnérabilités et les solutions nécessaires pour les corriger.</p>
<figure class="align-center zoomable">
<a href="https://images.theconversation.com/files/412885/original/file-20210723-5263-17y0gc9.png?ixlib=rb-1.1.0&q=45&auto=format&w=1000&fit=clip"><img alt="Une illustration des phases de la divulgation de la vulnérabilité" src="https://images.theconversation.com/files/412885/original/file-20210723-5263-17y0gc9.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/412885/original/file-20210723-5263-17y0gc9.png?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=337&fit=crop&dpr=1 600w, https://images.theconversation.com/files/412885/original/file-20210723-5263-17y0gc9.png?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=337&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/412885/original/file-20210723-5263-17y0gc9.png?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=337&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/412885/original/file-20210723-5263-17y0gc9.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=424&fit=crop&dpr=1 754w, https://images.theconversation.com/files/412885/original/file-20210723-5263-17y0gc9.png?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=424&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/412885/original/file-20210723-5263-17y0gc9.png?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=424&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px"></a>
<figcaption>
<span class="caption">Les phases de la divulgation des failles : découverte, signalement, validation et triage, élaboration d’une solution, application de celle-ci et information du public.</span>
<span class="attribution"><span class="source">(Cybersecure Policy Exchange, Ryerson University)</span>, <span class="license">Author provided</span></span>
</figcaption>
</figure>
<h2>Améliorations à apporter</h2>
<p>Les experts en cybersécurité constituent <a href="https://www.oecd-ilibrary.org/science-and-technology/encouraging-vulnerability-treatment_0e2615ba-en">« une ressource importante mais sous-estimée »</a> lorsqu’il s’agit de réduire les risques de sécurité des systèmes gouvernementaux. Ils veulent apporter leur aide.</p>
<p>Le gouvernement canadien doit mettre en œuvre des politiques et des processus plus clairs pour encourager la coopération avec les experts en cybersécurité qui travaillent dans l’intérêt public.</p>
<p>À mesure que les cyberattaques deviennent plus fréquentes, plus étendues et plus sophistiquées, l’amélioration des pratiques de cybersécurité au Canada n’est pas seulement souhaitable, mais essentielle.</p><img src="https://counter.theconversation.com/content/165343/count.gif" alt="La Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Yuan Stevens a reçu pour cette recherche un financement du gouvernement du Canada dans le cadre du programme Mobilizing Insights in Defence and Security du ministère de la Défense nationale.</span></em></p><p class="fine-print"><em><span>Stephanie Tran a reçu pour cette recherche un financement du gouvernement du Canada dans le cadre du programme Mobilizing Insights in Defence and Security du ministère de la Défense nationale.</span></em></p>Les cyberattaques sont en augmentation. Le Canada doit travailler avec des experts en cybersécurité pour leur permettre d’identifier et de corriger les failles de sécurité.Yuan Stevens, Policy Lead on Technology, Cybersecurity and Democracy at the Ryerson Leadership Lab, Toronto Metropolitan UniversityStephanie Tran, Policy and Research Assistant, Cybersecurity and Democracy at the Ryerson Leadership Lab, Toronto Metropolitan UniversityLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1647422021-07-20T22:59:39Z2021-07-20T22:59:39ZDerrière Pegasus : le mode d’emploi d’un logiciel espion<p>Un consortium de médias, dont <em>Le Monde</em> et la cellule investigation de Radio France, coordonné par l’organisation <em>Forbidden Stories</em>, a eu accès à <a href="https://www.lemonde.fr/projet-pegasus/article/2021/07/18/projet-pegasus-revelations-sur-un-systeme-mondial-d-espionnage-de-telephones_6088652_6088648.html">plus de 50 000 numéros</a> de téléphone potentiellement ciblés et espionnés par une dizaine d’états, via le logiciel israélien Pegasus.</p>
<p>L’affaire fait grand bruit car on y retrouve, pêle-mêle, des journalistes, des chefs d’entreprise, des opposants politiques et autres figures de la vie publique.</p>
<p>Retour sur la technique derrière ce logiciel. Quand est né Pegasus ? Comment l’utilise-t-on ? Pourquoi a-t-il pris une telle ampleur ?</p>
<h2>Comment fonctionne Pegasus</h2>
<p>Le logiciel Pegasus est développé par l’entreprise israélienne NSO Group. C’est un logiciel espion (spyware) visant les smartphones dont l’objectif est de siphonner l’ensemble de ses données : coordonnées GPS, contenus des messages, écoute des appels, bref tout ce qui passe par votre téléphone est vu, lu et entendu par le logiciel et transmis à son utilisateur (l’attaquant). Ce logiciel espion évolue depuis plusieurs années et s’adapte aux évolutions de niveaux de sécurité des téléphones.</p>
<p>Dans ses précédentes versions, l’attaquant envoyait un message contenant un lien, qui, lorsque l’utilisateur cliquait dessus, déclenchait l’installation de Pegasus. Cette technique, un peu grossière, peut fonctionner avec des personnes peu habituées ou non formées à la cybersécurité. Mais qui, avec des cibles de haut niveau (publiques ou privées) est beaucoup plus hasardeuse. Ainsi NSO a développé une nouvelle version qui est capable d’installer le « mouchard » sans clic, ce que l’on appelle une attaque « zero click ».</p>
<p>Comment installer un logiciel à l’insu du propriétaire du téléphone ? La méthode la plus efficace, version film d’espionnage, est tout simplement de se saisir du téléphone, lors d’un moment d’inattention et de l’intégrer dans la machine.</p>
<p>Il existe également une méthode plus subtile, et plus technologique : utiliser une faille de sécurité de l’appareil pour prendre le contrôle du téléphone pendant un court laps de temps pour y installer le spyware à distance.</p>
<h2>L’exploitation des failles de sécurité</h2>
<p>Pour prendre le contrôle d’un smartphone à distance, il est indispensable d’exploiter une faille de sécurité. Cette dernière peut provenir du matériel (hardware), par exemple une puce électronique, ou logiciel (software) en passant par les systèmes d’exploitation iOS ou Android. Les clients de NSO, en général des états, n’ont pas à chercher les failles eux-mêmes, ils n’ont besoin que du numéro de téléphone de la cible et Pegasus s’occupe du piratage et de l’exfiltration des données. Pour chaque cible visée, le client paye une licence à NSO de quelques dizaines de milliers d’euros.</p>
<p>On va généralement cibler des failles « zero day » (jour 0), on les appelle comme cela car elles n’ont jamais été publiées ni exploitées. La plupart des logiciels vendus dans le commerce peuvent avoir des failles. D’ailleurs, leurs éditeurs organisent régulièrement des concours ouverts aux hackers pour les débusquer. Si une personne découvre une faille, elle peut la vendre sur des <a href="https://www.lemonde.fr/pixels/article/2015/09/23/le-business-des-zero-day-ces-failles-inconnues-des-fabricants-de-logiciel_4768638_4408996.html">« marchés zero day »</a>. Cela ressemble à une bourse internationale dans laquelle les produits sont des failles. En général, elles sont achetées par les éditeurs eux-mêmes qui ont intérêt à les corriger le plus rapidement possible. Une faille sur un système d’exploitation iOS peut se négocier à plusieurs millions de dollars. Ces marchés sont légaux. Le but est d’éviter qu’un hacker, ayant trouvé une faille aille la vendre à un groupe cybercriminel.</p>
<figure class="align-right zoomable">
<a href="https://images.theconversation.com/files/412135/original/file-20210720-27-1cxb345.png?ixlib=rb-1.1.0&q=45&auto=format&w=1000&fit=clip"><img alt="" src="https://images.theconversation.com/files/412135/original/file-20210720-27-1cxb345.png?ixlib=rb-1.1.0&q=45&auto=format&w=237&fit=clip" srcset="https://images.theconversation.com/files/412135/original/file-20210720-27-1cxb345.png?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=849&fit=crop&dpr=1 600w, https://images.theconversation.com/files/412135/original/file-20210720-27-1cxb345.png?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=849&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/412135/original/file-20210720-27-1cxb345.png?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=849&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/412135/original/file-20210720-27-1cxb345.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=1067&fit=crop&dpr=1 754w, https://images.theconversation.com/files/412135/original/file-20210720-27-1cxb345.png?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=1067&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/412135/original/file-20210720-27-1cxb345.png?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=1067&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px"></a>
<figcaption>
<span class="caption">Schéma de l’attaque du téléphone du journaliste Tamer Almisshal par Pegasus.</span>
<span class="attribution"><span class="source">Traduit du rapport « The Great iPwn »</span>, <a class="license" href="http://creativecommons.org/licenses/by/4.0/">CC BY</a></span>
</figcaption>
</figure>
<p>Un exemple concret a été reporté par <em>The Citizen Lab</em> (le laboratoire d’Amnesty International et de l’université de Toronto qui a travaillé sur le récent scandale) fin 2020. Le journaliste d’investigation travaillant pour Al Jazeera, Tamer Almisshal suspectait que son téléphone ait été piraté. Pour le prouver, le laboratoire a enregistré toutes ses métadonnées pour suivre à quoi il se connectait. Ils ont en effet trouvé des connexions très suspectes : son téléphone a visité plusieurs fois un site connu comme étant un mode d’installation de Pegasus. </p>
<p>Cette visite aurait été provoquée par les pirates en exploitant une faille du système de messagerie de l’iPhone (faille depuis corrigée), le journaliste n’a cliqué sur aucun lien suspect, c’est une attaque « zero click ». Il a aussi été démontré que des données ont été exfiltrées. La société NSO a nié toute participation.</p>
<h2>Un tunnel d’exfiltration de données</h2>
<p>Une fois que Pegasus est installé, il doit renvoyer les données vers le commanditaire. Comment s’y prend-il ? il va créer un tunnel. Si le « pirate » est physiquement proche de sa cible, il lui est possible de récupérer les données via des techniques « radiofréquence ». Le téléphone va émettre des informations, par exemple via wifi qui seront captées à l’aide d’une antenne.</p>
<p>Les failles de sécurité touchant les cartes SIM peuvent être exploitées par un attaquant pour prendre le contrôle du téléphone ou pour installer un logiciel espion. Par exemple, la faille SIMjacker concerne plus d’un milliard de téléphones. Elle permet à partir d’un simple SMS de prendre le contrôle total d’un smartphone et de collecter des données. Concrètement, l’attaquant envoie un SMS contenant un code spécifique qui ordonne à la carte SIM de prendre les commandes du téléphone et d’exécuter certaines commandes provoquant l’exfiltration de données.</p>
<p>Il est également possible d’utiliser les liaisons classiques 3G ou 4G. Même si le téléphone se trouve dans des zones où le débit est limité, la bande passante sera plus lente, et donc le transfert plus long, mais il sera quand même possible d’exfiltrer des données.</p>
<p>On pourrait se dire que des transferts massifs de données pourraient être détectés par l’utilisateur, en observant ses flux de données. C’est là où Pegasus est très performant, car il peut agir sans être détecté. Les données qu’il envoie à partir du téléphone sont chiffrées, on ne peut donc pas savoir ce qui a été envoyé. De plus il va mélanger ces envois au milieu de vos propres transferts de données, par exemple, vous effectuez un paiement en ligne, vous allez envoyer des données chiffrées à votre banque ou à votre vendeur, et à ce moment-là le logiciel en profite pour envoyer des informations à l’attaquant.</p>
<p>Il est donc très difficile de savoir, réellement, ce qui a été envoyé, une fois que l’on a été victime de l’attaque. D’autant plus qu’une fois que la mission a été remplie Pegasus peut s’autodétruire et ne laisser aucune trace, selon son éditeur.</p>
<p>Cette dernière information est <a href="https://www.amnesty.org/en/latest/research/2021/07/forensic-methodology-report-how-to-catch-nso-groups-pegasus/">contredite par Amnesty International</a> qui dit avoir détecté des traces du logiciel sur plusieurs téléphones analysés dans les journaux d’évènements qui enregistrent une partie de l’activité du système.</p>
<p>D’une manière générale, la rétro-analyse du fonctionnement d’un tel logiciel espion demeure toujours très complexe à réaliser. De la même façon, l’analyse fine de l’attaque demande d’importants moyens techniques, analytiques incluant de l’expertise humaine de très haut niveau et du temps.</p>
<p>Il convient de rester prudent sur les déclarations des uns et des autres attribuant l’origine d’une attaque ou affirmant qu’un téléphone a été compromis en particulier par un logiciel par nature furtif.</p><img src="https://counter.theconversation.com/content/164742/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Thierry Berthier ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>Comment est-il possible de prendre le contrôle d’un téléphone, de lui siphonner toutes ses données sans que son propriétaire se rende compte de quoi que ce soit ?Thierry Berthier, Maitre de conférences en mathématiques, cybersécurité et cyberdéfense, chaire de cyberdéfense Saint-Cyr, Université de LimogesLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1600522021-06-27T17:04:13Z2021-06-27T17:04:13ZComment marchent votre réseau wifi et vos appareils connectés – et pourquoi ils sont vulnérables aux attaques informatiques<figure><img src="https://images.theconversation.com/files/407881/original/file-20210623-19-o5up26.jpg?ixlib=rb-1.1.0&rect=17%2C2083%2C3976%2C3910&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Les réseaux sans fil fonctionnent avec beaucoup d’intermédiaires. Certains sont-ils corrompus&nbsp;?</span> <span class="attribution"><a class="source" href="https://unsplash.com/photos/7wBFsHWQDlk">Zak, Unsplash</a>, <a class="license" href="http://creativecommons.org/licenses/by/4.0/">CC BY</a></span></figcaption></figure><p>L’apparition du Covid-19 a été accompagnée d’une forte hausse du nombre de cyberattaques dans le monde envers les <a href="https://fr.wikipedia.org/wiki/Infrastructure_critique">« infrastructures critiques »</a>. Depuis le début de la pandémie, le nombre d’attaques connues a <a href="https://www.imcgrupo.com/covid-19-news-fbi-reports-300-increase-in-reported-cybercrimes/">augmenté de 300 %</a>, avec en 2020 une <a href="https://www.fintechnews.org/the-2020-cybersecurity-stats-you-need-to-know/">hausse de 238 %</a> envers le milieu banquier. De plus, 27 % des attaques durant 2020 ont pris pour cible le <a href="https://www.ouest-france.fr/economie/cyberattaques-pourquoi-les-hopitaux-sont-ils-vises-7156970">milieu hospitalier</a>, avec la France qui en <a href="https://www.lemonde.fr/pixels/article/2021/02/12/touche-par-une-cyberattaque-massive-l-hopital-de-dax-veut-poursuivre-les-soins-coute-que-coute_6069664_4408996.html">début 2021</a> s’est retrouvée en ligne de mire pour les cybercriminels.</p>
<p>Avec le déploiement d’équipements connectés, comme les pompes à insuline ou pacemakers « intelligents », les champs d’attaque et les risques associés évoluent également. Via ces appareils, un attaquant peut cibler l’état même de santé des patients et provoquer de <a href="https://www.bitdefender.fr/box/blog/sante/les-pompes-insuline-medtronic-peuvent-etre-piratees-pour-surdoser-les-patients/">sérieux dommages</a>. De plus, ces attaques peuvent causer un « effet en cascade », avec des conséquences parfois inattendues sur d’autres systèmes, par exemple en allumant une prise électrique « connectée » sur laquelle est branché un radiateur, provoquant l’ouverture d’une fenêtre motorisée pour contrer l’augmentation de la chaleur.</p>
<p>Ces équipements autonomes font partie de la famille de l’<a href="https://fr.wikipedia.org/wiki/Internet_des_objets">« Internet des Objets »</a> et sont au centre de la recherche en cybersécurité. De plus, avec leurs contraintes particulières comme des capacités de calcul et d’utilisation de batteries, la sécurité des technologies sans fils utilisées intéresse également les chercheurs, en particulier pour assurer l’intégrité du réseau vis-à-vis de potentielles intrusions.</p>
<h2>Les réseaux multi-saut</h2>
<p>Lorsqu’on dit « réseau sans fil », on pense immédiatement à la connexion wifi classique qu’on utilise au quotidien pour se connecter à l’Internet via sa box. Bien qu’efficace, ce type de connexion possède quelques restrictions.</p>
<p>Pour illustrer ces propos, prenons l’exemple d’un bar où les clients ne peuvent s’adresser qu’au barman. On peut commander à boire sans problème, mais si on souhaite parler avec notre voisin, nous devons le faire via le barman qui contrôle la conversation. Maintenant, si on s’éloigne pour s’installer à une table, le barman n’est plus à proximité et ne peut donc plus entendre nos paroles : on ne peut plus ni échanger avec notre voisin ni commander à boire.</p>
<p>Dans la vraie vie, nous n’avons pas ces contraintes et on peut donc avoir une conversation directement avec notre voisin. Cependant, le barman est toujours trop loin et la soif commence à s’installer. La solution existe sous la forme de serveurs qui circulent entre les tables, prenant les commandes, les transmettant au barman et apportent les boissons.</p>
<figure class="align-center zoomable">
<a href="https://images.theconversation.com/files/407918/original/file-20210623-21-43k2af.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=1000&fit=clip"><img alt="" src="https://images.theconversation.com/files/407918/original/file-20210623-21-43k2af.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/407918/original/file-20210623-21-43k2af.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=338&fit=crop&dpr=1 600w, https://images.theconversation.com/files/407918/original/file-20210623-21-43k2af.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=338&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/407918/original/file-20210623-21-43k2af.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=338&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/407918/original/file-20210623-21-43k2af.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=424&fit=crop&dpr=1 754w, https://images.theconversation.com/files/407918/original/file-20210623-21-43k2af.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=424&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/407918/original/file-20210623-21-43k2af.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=424&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px"></a>
<figcaption>
<span class="caption">Pour aller d’une source à une destination, il faut passer par des intermédiaires – trois dans cet exemple. Le choix des intermédiaires s’appelle le routage.</span>
<span class="attribution"><span class="source">Edward Staddon, Inria</span>, <span class="license">Fourni par l'auteur</span></span>
</figcaption>
</figure>
<p>Dans le domaine du numérique, cette approche, appelée « multi-saut », est utilisée principalement dans des réseaux de grande envergure, comme les <a href="https://fr.wikipedia.org/wiki/R%C3%A9seau_de_capteurs_sans_fil">réseaux de capteurs</a> ou les <a href="https://fr.wikipedia.org/wiki/Mobile_ad_hoc_networks">réseaux mobiles</a>. Contrairement à notre bar, nous n’avons pas d’équipements précis qui jouent le rôle du serveur : chaque participant en possède plutôt les capacités. De ce fait, n’importe quel équipement peut transmettre et choisir un chemin, appelé « route » pour relayer un message d’un côté du réseau à l’autre – comme si nous faisions passer la commande « une limonade et des cacahuètes s’il vous plaît » de table en table.</p>
<h2>Les attaques au sein des réseaux sans fil</h2>
<p>Une fois les boisons reçues, on commence à discuter avec notre voisin de notre journée au travail. Cependant, assis à la table juste à côté il y a un espion qui entend tout ce qui est dit et note les informations sur une feuille, sans qu’on le sache. En partant, il allume le système sonore du bar qui joue de la musique à un volume très élevé. Malheureusement, avec ce bruit on ne peut plus échanger avec notre voisin.</p>
<p>Cet exemple illustre les principales difficultés au niveau des réseaux sans fil, liées à la protection des communications. Comme nos propres voix, les ondes radio utilisées par ces technologies traversent l’espace public et donc peuvent être impactées et <a href="https://hal.inria.fr/hal-03215527/">brouillées</a> par d’autres ondes. De plus, elles peuvent même être <a href="https://doi.org/10.1155/2013/760834">écoutées</a> par d’autres équipements à proximité. L’utilisation de moyens de sécurisation, comme les mots de passe dans les réseaux wifi ou le chiffrage des échanges, limite cette écoute illicite.</p>
<p>En permettant aux nœuds de relayer les informations entre eux, on ouvre le réseau à d’autres menaces, notamment celles qui ciblent le <a href="https://fr.wikipedia.org/wiki/Routage">« routage »</a> (choix de chemin à prendre lors du transfert des messages). Mettons que nous souhaitions commander une autre boisson. Le comportement du serveur influence fortement l’épanchement de notre soif. Il pourrait par exemple purement et simplement ignorer notre commande, remplacer un thé par un café ou livrer notre commande à une autre table.</p>
<p>Ces menaces envers le choix du chemin à emprunter dans l’émission et la réception des messages peuvent avoir de lourdes conséquences sur ces réseaux où le routage des messages joue un rôle crucial. Cependant, la réussite de telles attaques repose sur un point précis : l’intégration de l’attaquant non seulement dans le réseau, mais au sein du processus de routage.</p>
<h2>La sécurisation du processus de routage</h2>
<p>Plusieurs solutions existent au niveau des équipements informatiques pour la <a href="https://doi.org/10.1186/s42400-019-0038-7">détection d’intrusion</a>. Basées sur des technologies comme l’apprentissage machine ou l’analyse des ondes radio, elles sont assez efficaces, mais possèdent plusieurs contraintes. Les techniques d’apprentissage par exemple sont gourmandes en termes de calcul qui, dans le cadre des équipements IoT (pour « Internet-of-Things »), épuisent les batteries des objets connectés de tout type.</p>
<p>Une potentielle solution se trouve ici aussi au niveau du comportement humain. Dans le bar, si on voit que notre serveur agit sur notre commande sans notre accord, notre confiance en lui va baisser, impactant ainsi sa réputation. On va donc chercher un autre moyen d’acheter nos boissons en passant par un autre serveur avec une meilleure réputation.</p>
<figure class="align-center zoomable">
<a href="https://images.theconversation.com/files/407919/original/file-20210623-23-1nlf3rz.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=1000&fit=clip"><img alt="" src="https://images.theconversation.com/files/407919/original/file-20210623-23-1nlf3rz.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/407919/original/file-20210623-23-1nlf3rz.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=338&fit=crop&dpr=1 600w, https://images.theconversation.com/files/407919/original/file-20210623-23-1nlf3rz.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=338&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/407919/original/file-20210623-23-1nlf3rz.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=338&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/407919/original/file-20210623-23-1nlf3rz.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=424&fit=crop&dpr=1 754w, https://images.theconversation.com/files/407919/original/file-20210623-23-1nlf3rz.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=424&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/407919/original/file-20210623-23-1nlf3rz.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=424&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px"></a>
<figcaption>
<span class="caption">Le choix du chemin par lequel transite l’information dans un réseau sans fil dépend de la “ ;réputation" ; des intermédiaires. L’un d’eux est-il soupçonné d’être corrompu et à la solde d’un attaquant ?</span>
<span class="attribution"><span class="source">Edward Staddon, Inria</span>, <span class="license">Fourni par l'auteur</span></span>
</figcaption>
</figure>
<p>Au sein de notre réseau, on peut analyser le comportement des nœuds voisins et leur associer un <a href="https://doi.org/10.1109/MUE.2007.181">« indice de réputation »</a> qui indique notre niveau de confiance vis-à-vis de ce nœud. Via l’<a href="https://fr.wikipedia.org/wiki/Routage_ad_hoc#Protocole_r%C3%A9actif">« exploration réactive »</a> du réseau, c’est-à-dire « à la demande » et uniquement quand on en a besoin, un chemin d’un point A à un point B est déterminé et donc connu par les différents nœuds. Ainsi, si le comportement attendu de routage d’un équipement intermédiaire dévie de ce chemin, on considère le nœud comme potentiellement malicieux et son indice de réputation est impacté, réduisant la probabilité de l’utiliser dans un futur échange.</p>
<p>L’indice de réputation évolue au cours du temps et permet non seulement de détecter de nouveaux équipements malicieux introduits dans le réseau par l’attaquant, mais aussi des équipements préexistants qui ont été corrompus par l’attaquant. Cet indice permet aussi réintégrer de nœuds qui ont été exclus par erreur, ou qui ont été secourus des mains des criminels.</p>
<p>Pour finir, avec l’utilisation de la technologie <a href="https://fr.wikipedia.org/wiki/blockchain">blockchain</a>, un système de registre distribué et immuable issu de la <a href="https://fr.wikipedia.org/wiki/Cryptomonnaie">cryptomonnaie</a>, on peut partager ces indices de réputation de manière sécurisée, les protégeant de potentiels sabotages.</p>
<h2>Assurer la sécurité des infrastructures critiques</h2>
<p>La sécurité de ces réseaux est primordiale, et ce d’autant plus lorsqu’ils appartiennent à des infrastructures critiques dans des secteurs d’importance. Une attaque envers ces secteurs peut non seulement causer des dégâts financiers ou énergétiques, mais aussi humains lorsque la cible est un milieu hospitalier.</p>
<p>C’est dans ce contexte que le projet européen <a href="https://www.cybersane-project.eu/">CyberSANE</a> vise à fournir des outils avancés aux opérateurs afin de leur permettre de mieux répondre aux menaces auxquelles ils sont confrontés. CyberSANE permet aux infrastructures critiques de travailler ensemble dans la lutte contre les cybercriminels, via l’<a href="https://www.cybersane-project.eu/system/sharenet/">échange d’informations</a>, afin d’alerter d’autres infrastructures critiques de potentielles menaces. De plus, via l’emploi de méthodes comme l’extraction et l’analyse de données en <a href="https://www.cybersane-project.eu/system/darknet/">provenance du « deep web »</a>, CyberSANE est capable de prévenir d’une attaque en préparation, afin de fortifier les défenses avant l’arrivée de l’armada ennemie.</p><img src="https://counter.theconversation.com/content/160052/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Edward Staddon travaille pour CyberSANE. Il a reçu des financements de CPER DATA et du projet Européen CyberSANE H2020, convention de subvention numéro 833683, répondant à l'appel SU-ICT-01-2018</span></em></p><p class="fine-print"><em><span>Nathalie Mitton et Valeria Loscri ne travaillent pas, ne conseillent pas, ne possèdent pas de parts, ne reçoivent pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'ont déclaré aucune autre affiliation que leur poste universitaire.</span></em></p>Les réseaux sans fil communiquent de proche en proche, ce qui donne de nombreuses opportunités d’écoute ou d’infiltration.Edward Staddon, Doctorant en Réseau et Cybersécurité, InriaNathalie Mitton, Directrice de recherche en réseau de capteurs sans fil, InriaValeria Loscri, Associate research scientist, InriaLicensed as Creative Commons – attribution, no derivatives.