tag:theconversation.com,2011:/au/topics/securite-informatique-30521/articlessécurité informatique – The Conversation2023-12-05T16:56:42Ztag:theconversation.com,2011:article/2139422023-12-05T16:56:42Z2023-12-05T16:56:42ZCybersécurité : le défi de la formation des dirigeants publics<figure><img src="https://images.theconversation.com/files/561382/original/file-20231123-23-xl4n4q.jpg?ixlib=rb-1.1.0&rect=0%2C0%2C2048%2C1247&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">37 000 cyberattaques dirigées contre des organisations publiques ont réussi en 2022.</span> <span class="attribution"><span class="source">Guerric / Flickr</span>, <a class="license" href="http://creativecommons.org/licenses/by-nc/4.0/">CC BY-NC</a></span></figcaption></figure><p>Les informations et les données qui tentent d’évaluer la prise en compte par les dirigeants de collectivités territoriales de la Sécurité de leurs propres Systèmes d’Information (SSI) sont assez rares en général et restent quasiment <a href="https://www.cairn.info/revue-gestion-et-management-public-2013-1-page-24.htm">inexistantes en France</a>. Une nouvelle étude, <a href="https://www.researchgate.net/publication/374051369_Les_dirigeants_de_collectivites_territoriales_francaises_confrontes_a_la_gestion_operationnelle_des_cybermenaces_une_approche_typologique">récemment publiée</a>, expose, à nouveau, un niveau de prise en compte qui reste globalement insuffisant. Elle pointe un niveau de vulnérabilité qu’il convient de prendre au sérieux.</p>
<p>Il est pourtant manifeste, en ces temps troublés, que cette sécurisation des SI des collectivités territoriales – et des bases de données sensibles de type public et para public qu’ils renferment – constitue un impératif stratégique tout à fait majeur. Cet impératif dépasse largement le simple cadre local et territorial notamment au regard de l’<a href="https://www.groupeonepoint.com/fr/nos-publications/le-secteur-public-face-aux-defis-de-la-cybersecurite/#_ftn1">augmentation</a> constante des <a href="https://theconversation.com/topics/cybersecurite-31367">cyberattaques et des cybermenaces</a> contre des collectivités, y compris de taille modeste, voire très modeste, depuis le début des crises sanitaires et sécuritaires que nous traversons depuis 2020. Selon un <a href="https://asteres.fr/etude/les-cyberattaques-reussies-en-france-un-cout-de-2-mdse-en-2022/">rapport</a> du cabinet Asterès, les organisations publiques ont subi 37 000 cyberattaques réussies en 2022. La moitié de celles employant plus de 250 salariés sont concernées mais plus d’un quart (27 %) demeurent en deçà de 250 salariés.</p>
<h2>Un sentiment de maîtrise en trompe-l’œil</h2>
<p>Pour tenter de combler ce déficit de sécurité, il nous a semblé que trois fondements théoriques issus des sciences de gestion et du management public étaient à mobiliser. Le premier repose sur travaux liés à l’adoption et à l’<a href="https://www.researchgate.net/publication/226145805_The_Technology-Organization-Environment_Framework">appropriation des outils numériques en mode TOE</a>. Ceux-ci s’intéressent à ce qui relève de la technologie, de l’organisation ou de l’environnement dans les prises de décision en matière de cybersécurité. Le second s’intéresse aux travaux sur les <a href="https://ideas.repec.org/a/bpj/johsem/v15y2018i3p14n4.html">risques numériques en organisation publique</a> et le décalage entre les dangers potentiels et la maîtrise que pensent en avoir les agents. Le troisième pilier est lié aux travaux sur la prévention des cyberattaques publiés par Rémy Février.</p>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/xrSjt4BY4O0?wmode=transparent&start=0" frameborder="0" allowfullscreen=""></iframe>
</figure>
<p>Pour aller plus loin qu’un seul cadrage théorique et aborder les aspects empiriques propres au terrain, nous avons mobilisé 67 dirigeants de collectivités qui, toutes, ont moins de 3 500 habitants et sont situées en métropole. Les questionnaires qu’ils nous ont retournés ont été traités statistiquement à la fois de façon descriptive et par classification hiérarchique.</p>
<p>Il s’agissait de s’attaquer à la question du « pourquoi » de cette vulnérabilité en décryptant les freins retardant le déploiement d’une véritable politique de sécurisation des SI des collectivités territoriales.</p>
<p>Le premier est collectif et réside dans le vocabulaire employé qui doit rester accessible à tous. Il convient ainsi de <a href="https://www.mailinblack.com/ressources/glossaire/lexique-cybersecurite/">ne pas trop « techniciser »</a> les menaces et d’appeler un chat un chat sans trop de jargon ni verbiage. Par exemple des termes basiques comme « mot de passe », « pièce jointe », « lien » ou <a href="https://www.economie.gouv.fr/particuliers/phishing-hameconnage-filoutage">« hameçonnage »</a> ne doivent pas être snobés ! Les autres freins sont plus individuels et montrent certaines lacunes – non rédhibitoires – en matière de prise de conscience de la réalité des risques numériques par les décideurs territoriaux.</p>
<p>À titre d’exemple, nous avons pu mettre en lumière trois types de profils de dirigeants que nous avons qualifiés de « 3P »</p>
<h2>16 % de prudents seulement</h2>
<p>On retrouve en premier lieu les « <strong>Pratiques</strong> », qui représentent 65,7 % de l’effectif total. Cette classe correspond aux dirigeants utilisant normalement les technologies de l’information et de la communication (TIC), relativement bien informés à propos des risques liés à l’utilisation d’un SI. Cependant, ces derniers ne sont que faiblement conscients de la nécessité de protéger leurs données numériques et encore moins de la réglementation afférente. La majorité de ce premier type de profil représente des individus issus de communes de moins de 3 500 habitants (56 %) et provient de directions générales (40 %).</p>
<p><iframe id="8DOOv" class="tc-infographic-datawrapper" src="https://datawrapper.dwcdn.net/8DOOv/2/" height="400px" width="100%" style="border: none" frameborder="0"></iframe></p>
<p>Les « <strong>Perplexes</strong> » regroupent, eux, 17,9 % de l’effectif total. Il s’agit de dirigeants cumulant un certain nombre de lacunes en matière de prise en compte de la sécurité de leur SI respectif. Ils restent très peu utilisateurs des TIC, pas du tout informés sur les menaces liées au SI et peu sensibles aux questions de sécurité. Les individus de ce groupe sont pour 66 % des élus, issus en majorité de communes de moins de 1 000 habitants (91 %) et disposant en moyenne de trois fonctionnaires territoriaux.</p>
<p>Les « <strong>Prudents</strong> », enfin, 16,4 % de l’effectif total, sont les dirigeants les plus conscients de l’apport des SI et de leur nécessaire sécurisation. Ces individus ont un usage intensif des TIC (45 %), ils sont très bien informés sur les menaces liées au SI (72 %), bien organisés (81 %) et ont une relative conscience du caractère sensible des données traitées par le SI (72 %). Ce dernier type de profil vit en majorité dans des communes de plus de 1 000 habitants (63 %) et travaille dans des structures employant en moyenne 107 agents. Les cadres informatiques représentent une part importante de cette classe (40 %).</p>
<h2>Quelques perspectives</h2>
<p>Ces dernières années le niveau de <a href="https://www.pole-emploi.org/accueil/communiques/pole-emploi-et-diversidays-publient-le-barometre-2022-de-lobservatoire-des-diversites-et-du-numerique.html">formation et d’information des employés</a> est certes monté mais pas forcément aussi vite que celui du risque d’être attaqué et fragilisé.</p>
<p>Il faut donc rester vigilant – la limite de ce type d’enquête est que les données collectées sont vite obsolètes – et prudent pour continuer à monter en puissance. Il ne faut en effet rien négliger pour mieux former et informer nos dirigeants – quelque soit leur parcours professionnel préalable (ingénieur, manageurs, employés, juristes, etc.) – à la fois sur l’information (nous sommes en effet vulnérables mais il est possible de déployer des <a href="https://cyber.gouv.fr/developper-des-solutions-de-confiance">solutions de confiance !</a>) et sur la formation (nous pourrions ne plus, ne pas ou – restons humbles – moins l’être !) de façon à contribuer à l’opérationnalisation d’une démarche volontariste de sécurisation de nos SI.</p>
<p>Gardons enfin à l’esprit que des quatre composantes de nos systèmes d’information – réseaux, matériel, logiciel et personnel – il est bien évident que c’est la dernière qui doit faire l’objet de toute notre attention – <a href="https://www.cnil.fr/fr/se-proteger-sur-internet-avec-les-cyber-reflexes">via le déploiement de cyberréflexes</a> – car d’une part c’est la “porte d’entrée” la plus fréquemment utilisée et d’autre part “<a href="https://www.lesechos.fr/thema/articles/les-chiffres-de-la-cybercriminalite-explosent-1986310">l’intelligence artificielle générative va aider les cybercriminels à créer de nouveaux modèles »</a>.</p><img src="https://counter.theconversation.com/content/213942/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Marc Bidan est membre du comité de rédaction de la revue française de gestion (RFG) et ancien membre du conseil national des universités (section sc. de gestion et du management)</span></em></p><p class="fine-print"><em><span>Ancien officier supérieur de la Gendarmerie Nationale et ancien élu local</span></em></p><p class="fine-print"><em><span>Olivier Lasmoles ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>Même si la prise en compte augmente, une étude montre qu’une large majorité des dirigeants de collectivités territoriales est encore trop faiblement consciente de la réalité des risques cyber.Marc Bidan, Professeur des Universités en Management des systèmes d’information - Nantes Université, Auteurs historiques The Conversation FranceOlivier Lasmoles, Associate Professor in Law - Skema, SKEMA Business SchoolRémy Février, Maître de Conférences HDR en Sciences de Gestion - Equipe Sécurité-Défense-Renseignement, Conservatoire national des arts et métiers (CNAM)Licensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/2074382023-06-21T18:39:40Z2023-06-21T18:39:40ZComment nous sommes contributeurs des modèles d’IA à notre insu<figure><img src="https://images.theconversation.com/files/533157/original/file-20230621-21-wzm6b4.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">shutterstock</span> </figcaption></figure><p>Vous êtes-vous déjà demandé à quoi servaient les systèmes de détection de « robots » sur les sites web, où l’on vous demande d’identifier sur une image un passage piéton, un feu de circulation ou un animal particulier ? D’ailleurs comment le système vérifie-t-il les réponses données ? Et surtout comment ces données sont-elles utilisées ?</p>
<p><a href="https://www.lemonde.fr/pixels/article/2016/02/10/petite-histoire-des-captchas-ces-tests-d-identification-en-pleine-mutation_4862727_4408996.html">Cette technique</a> a été créée dès le milieu des années 1990, le système est concrétisé et le terme inventé et déposé par des chercheurs de l’université de Canegie-Mellon aux États-Unis en 2000 dans une toute première version, avec pour objectif d’identifier des utilisateurs humains.</p>
<p>Puis les systèmes du type CAPTCHA (<em>Completely Automated Public Turing test to tell Computers and Humans Apart</em>/Test public de Turing entièrement automatisé pour distinguer les ordinateurs des humains) ont été démocratisés par Google en 2009. Le dispositif CAPTCHA ou reCAPTCHA (le nom du système CAPTCHA de Google) fait partie de la famille des tests de Turing. Il est une mesure de sécurité par détection d’utilisateur humain. L’objectif principal est de limiter l’accès et l’interaction de « robots » numériques, des programmes informatiques automatisés (aussi appelés « bots »), avec tout formulaire en ligne. La mesure de sécurité empêche, par exemple, les tentatives répétées de connexion à une page web, le décryptage de votre mot de passe lorsque que vous vous authentifiez en ligne, le remplissage automatisé d’un formulaire, etc.</p>
<figure class="align-center ">
<img alt="Exemples de reCAPTCHA" src="https://images.theconversation.com/files/533162/original/file-20230621-20-hw1fuf.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/533162/original/file-20230621-20-hw1fuf.png?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=296&fit=crop&dpr=1 600w, https://images.theconversation.com/files/533162/original/file-20230621-20-hw1fuf.png?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=296&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/533162/original/file-20230621-20-hw1fuf.png?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=296&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/533162/original/file-20230621-20-hw1fuf.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=372&fit=crop&dpr=1 754w, https://images.theconversation.com/files/533162/original/file-20230621-20-hw1fuf.png?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=372&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/533162/original/file-20230621-20-hw1fuf.png?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=372&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">Exemples de reCAPTCHA.</span>
<span class="attribution"><span class="source">Google</span></span>
</figcaption>
</figure>
<p>Tout d’abord sous la forme d’un texte manuscrit à retranscrire, ou encore un numéro de rue à identifier depuis une photo, les systèmes d’aujourd’hui utilisent davantage la reconnaissance visuelle d’un objet parmi un ensemble d’images ou dans une même image. Le système reCAPTCHA est proposé par Google à titre gratuit pour les gestionnaires de site web, ainsi que leurs utilisateurs.</p>
<h2>Un intérêt pour Google</h2>
<p>Son caractère gratuit est utile, certes. Néanmoins il sert également aux intérêts de Google. Bien que son usage <a href="https://web.stanford.edu/%7Ejurafsky/burszstein_2010_captcha.pdf">comme mesure de sécurité</a> soit indéniable, son utilisation répandue permet également de contribuer à la reconnaissance de contenus. C’est ce que l’on désigne comme l’étape de labellisation, indispensable pour alimenter des modèles d’apprentissage en IA, et notamment le Machine Learning.</p>
<p>Pour exemple, le système reCAPTCHA a permis dès 2011 de digitaliser l’ensemble des archives de Google Books, ainsi que 13 millions d’articles issus du catalogue du New York Times remontant à 1851. Mais dès 2017, les modèles d’apprentissage se sont montrés capables de <a href="https://www.science.org/doi/10.1126/science.aag2612">résoudre les tests CAPTCHA initiaux basés sur des images de texte</a>. La seconde version s’est davantage orientée vers l’utilisation d’images ou de morceaux d’images, comme l’illustre la seconde image dans cet article.</p>
<h2>Qu’est-ce que le Machine Learning et comment cela fonctionne-t-il ?</h2>
<p>Les modèles de Machine Learning constituent une des briques les plus utilisées aujourd’hui en intelligence artificielle. Également communément appelé apprentissage machine, cette approche permet d’entraîner un modèle, dans notre cas de reconnaissance d’image ou de texte à partir d’un jeu de données initial alimentant le modèle. À partir de ces données d’entrée, le modèle définit ainsi mathématiquement un ensemble de critères pour permettre d’estimer une probabilité de similarité. Plus le modèle dispose d’un grand volume et d’une grande variété de données en entrée, plus le modèle enrichira la définition de ces critères d’évaluation. Mais un modèle de ce type est entraîné pour reconnaître un élément spécifique (un objet, un visage, un comportement, un mouvement de fonds financier, etc.) qui est défini dès sa conception.</p>
<p>En apprentissage supervisé, c’est le concepteur du modèle qui définit les critères à évaluer en fournissant un ensemble de données d’entraînement préidentifiées. Cette identification préalable correspond à la labellisation des données d’entrée. Lors de son entraînement, le modèle associera ainsi les données fournies à leur labellisation spécifique pour construire une matrice de critères.</p>
<p>La labellisation des données d’entrée constitue donc un élément essentiel pour d’entraînement, notamment des modèles de reconnaissance visuelle.</p>
<h2>Un enjeu de taille pour l’entraînement des modèles d’IA</h2>
<p>Le volume et la variété des données collectées aujourd’hui sont plus que gigantesques, et cette labellisation ne peut se faire exclusivement de manière automatisée par une machine. Ainsi l’intervention d’un acteur humain est nécessaire pour traiter et labelliser l’ensemble de ces données.</p>
<p>C’est ce qu’il se passe lorsque vous utilisez un système du type reCAPTCHA. Celui-ci collecte ainsi les contributions de chacun pour labelliser et classifier les images proposées. La machine aura effectué un prétraitement, mais l’intervention humaine permet de confirmer cette classification initiale. Démultipliez cela par le nombre d’utilisateurs en variant les propositions d’images, et vous obtenez ainsi un système de confirmation optimisé à moindre coût. La démultiplication est nécessaire afin de garantir au maximum la véracité des données collectées. En effet, la qualité des données d’entrée pour ces modèles est essentielle, et est l’un des principaux enjeux aujourd’hui de la conception et de l’utilisation pertinente des modèles d’intelligence artificielle.</p>
<p>Ces labellisations contribuent ainsi l’amélioration des données d’entraînement destinées à Google Maps, au moteur de recherche d’images de Google ou encore aux modèles qui seront peut-être à terme utilisés par les véhicules autonomes (et notamment le projet <a href="https://waymo.com/">Waymo</a> de Google).</p>
<h2>Les travailleurs du clic</h2>
<p>Une partie de ces tâches est réalisée par les utilisateurs du web au quotidien, sans même le savoir comme nous l’avons vu précédemment. Néanmoins certaines actions sont réalisées à la chaîne par des personnes très faiblement rémunérées et à la tâche pour le faire, comme l’a révélé récemment une <a href="https://time.com/6247678/openai-chatgpt-kenya-workers/">enquête publiée</a> par Time Magazine sur les travailleurs nigérians, contributeurs de ChatGPT.</p>
<p>Ces travailleurs du clic font partie intégrante du bon fonctionnement de ces modèles d’IA. Antonio Casilli, chercheur et professeur de sociologie à Telecom Paris, a depuis longtemps travaillé sur le sujet, mettant en avant notamment cette approche et les <a href="http://www.casilli.fr/2014/12/05/no-captcha-is-google-jargon-for-mechanical-turk-for-free/">pratiques des plates-formes numériques</a> comme Google (Alphabet), Facebook (Meta), ou encore Amazon.</p>
<p>Difficile cependant de définir la part de l’un et de l’autre sur l’ensemble du système et des acteurs aujourd’hui impliqués.</p>
<p>Il s’avère que cette forme de microtravail rémunéré, où les contributions des utilisateurs (non rémunérées), sont indispensables pour alimenter les modèles que l’on connaît, et couvre d’ailleurs différents aspects de contribution. Comme l’explique <a href="https://hal.science/hal-02554196/document">l’article</a> publié en 2020 par Poala Tubaro, Antonio Casilli et Marion Coville, ces contributions à la marginalisation et à la précarisation d’une partie non négligeable de travailleurs du numérique.</p>
<h2>Des alternatives à ces systèmes</h2>
<p><a href="https://mon-dpo-externe.com/quelles-sont-les-solutions-alternatives-a-google-recaptcha/">Il existe des alternatives</a> au système reCAPTCHA, qui reste néanmoins très largement utilisé. Pour exemple, nous pouvons citer les solutions du type Puzzle CAPTCHA, ou hCAPTCHA. Néanmoins, ces alternatives demandent souvent soit une implémentation à réaliser par le gestionnaire du site web, soit une contribution financière, à comparer avec la gratuité du reCAPTCHA proposée par Google.</p>
<p>De son côté Google travaille également sur une nouvelle version de la solution reCAPTCHA (<a href="https://developers.google.com/search/blog/2018/10/introducing-recaptcha-v3-new-way-to?hl=fr">v3</a>). Cette version permettrait de s’affranchir de l’interruption de navigation imposée par la v2 avec son popup, en calculant un score permettant de déterminer si le comportement observé sur un site web est davantage lié à un humain ou un bot.</p><img src="https://counter.theconversation.com/content/207438/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Benoit Loeillet ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>Le système CAPTCHA permet, pour un site Internet, de valider que l’utilisateur est un humain et pas un robot. Derrière cette fonction se cache un travail bien utile pour les géants de la tech.Benoit Loeillet, Associate professor, EM Lyon Business SchoolLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/2020252023-04-03T14:55:53Z2023-04-03T14:55:53ZL’intelligence artificielle inquiète. Il est temps d’éduquer la population à la programmation<figure><img src="https://images.theconversation.com/files/518794/original/file-20230331-947-wicpvl.png?ixlib=rb-1.1.0&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Image générée par DALL-E 2 avec la commande suivante: «une peinture à l'huile impressionniste d'un célèbre robot doré lisant un livre».</span> <span class="attribution"><span class="source">(Hugo G. Lapierre)</span>, <span class="license">Fourni par l'auteur</span></span></figcaption></figure><p>Les récents progrès en intelligence artificielle ont été ahurissants. En seulement quelques semaines, nous avons assisté à des avancées majeures qui ont le potentiel d’<a href="https://www.lapresse.ca/affaires/techno/2023-03-29/intelligence-artificielle/yoshua-bengio-et-un-millier-de-personnalites-demandent-une-pause-de-six-mois.php">impacter le marché du travail et de notre société dans son ensemble</a>. </p>
<p>ChatGPT, qui a élargi l’accès à cette technologie, en est rendue à sa quatrième version, encore plus performante. La semaine dernière, un <a href="https://www.lapresse.ca/affaires/techno/2023-03-29/intelligence-artificielle/musk-bengio-et-un-millier-d-experts-demandent-une-pause-de-six-mois.php">millier d’experts et entrepreneurs des TI, parmi lesquels Yoshua Bengio et Elon Musk, ont exigé une pause de six mois</a> dans la recherche. </p>
<p>Dans ce contexte inusité, former les futurs citoyens et enseignants aux compétences numériques fondamentales apparaît nécessaire pour affronter les défis du XXI<sup>e</sup> siècle et contribuer activement à la construction d’un monde plus sûr et plus éthique.</p>
<p>Respectivement chercheur en didactique de la programmation et co-directeur de la Chaire Unesco de développement curriculaire, à l’UQAM, nous avons dans un <a href="https://theconversation.com/voici-pourquoi-les-eleves-du-primaire-et-du-secondaire-devraient-apprendre-a-programmer-181009">article précédent</a> discuté des trois arguments les plus souvent mentionnés par la littérature scientifique afin de justifier l’intégration de la programmation à l’école, tant au primaire qu’au secondaire. Il faut maintenant élargir cette éducation à l’ensemble de la société. </p>
<hr>
<p>
<em>
<strong>
À lire aussi :
<a href="https://theconversation.com/voici-pourquoi-les-eleves-du-primaire-et-du-secondaire-devraient-apprendre-a-programmer-181009">Voici pourquoi les élèves du primaire et du secondaire devraient apprendre à programmer</a>
</strong>
</em>
</p>
<hr>
<h2>Savoir programmer pour mieux utiliser les modèles de langage</h2>
<p>Dans le monde de l’IA, les modèles de langage tels que ChatGPT jouent un rôle crucial dans diverses applications, comme la génération de textes divers, la génération de code informatique, et l’analyse des données. Cependant, pour exploiter pleinement le potentiel de ces modèles, il est essentiel de maîtriser certaines compétences en programmation. </p>
<p>L’ingénierie des instructions est une nouvelle discipline qui consiste à concevoir et à structurer des instructions (souvent appelées « prompts », même en français) pour guider les modèles de langage afin de produire des résultats précis. Ces instructions peuvent être organisées selon différents gabarits en fonction des objectifs visés. Ces gabarits sont appelés « modèles d’instructions », et peuvent être comparés aux fonctions en programmation. </p>
<p>Les fonctions sont des blocs de code réutilisables qui effectuent une tâche spécifique. De la même manière, les modèles d’instructions sont des solutions réutilisables pour résoudre des problèmes courants lors de l’interaction avec les modèles de langage. La différence principale entre les deux ? Les fonctions sont écrites en langage informatique (comme Python ou C++), tandis que les modèles d’instruction sont rédigés en langage naturel (notamment en français ou en anglais). En d’autres termes, il s’agit d’une manière de donner des instructions à un logiciel avec des mots, plutôt qu’avec des lignes de code.</p>
<p>La <a href="https://arxiv.org/pdf/2302.11382.pdf">connaissance des modèles d’instructions</a> permet donc aux utilisateurs de structurer les instructions qui sont données au modèle de langage de façon à obtenir les résultats les plus précis et pertinents possibles. Un exemple est le « modèle d’interaction inversée », soit une approche où le modèle de langage prend l’initiative dans la conversation, en posant des questions pour obtenir les informations nécessaires à l’accomplissement d’une tâche précise. Cette approche permet de rendre les interactions plus ciblées et efficaces, car le modèle ne posera que les questions pertinentes pour atteindre l’objectif défini. </p>
<h2>Un exemple, le modèle d’interaction inversée</h2>
<p>Imaginons que vous souhaitez planifier un voyage et que vous voulez que ChatGPT vous aide à organiser votre itinéraire en vous posant des questions pertinentes. Un exemple de modèle d’interaction inversée pourrait être :</p>
<blockquote>
<p>À partir de maintenant, je souhaite que tu me poses des questions pour m’aider à planifier mon voyage en Italie. Continue à me poser des questions jusqu’à ce que tu aies suffisamment d’informations pour me proposer un itinéraire détaillé de 10 jours.</p>
</blockquote>
<figure class="align-center ">
<img alt="" src="https://images.theconversation.com/files/517823/original/file-20230328-28-fxpiq7.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/517823/original/file-20230328-28-fxpiq7.png?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=157&fit=crop&dpr=1 600w, https://images.theconversation.com/files/517823/original/file-20230328-28-fxpiq7.png?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=157&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/517823/original/file-20230328-28-fxpiq7.png?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=157&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/517823/original/file-20230328-28-fxpiq7.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=197&fit=crop&dpr=1 754w, https://images.theconversation.com/files/517823/original/file-20230328-28-fxpiq7.png?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=197&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/517823/original/file-20230328-28-fxpiq7.png?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=197&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">En fonction de vos réponses, ChatGPT pourra élaborer un itinéraire personnalisé qui répond à vos attentes et besoins.</span>
<span class="attribution"><span class="source">(Hugo G. Lapierre), Fourni par l’auteur</span></span>
</figcaption>
</figure>
<p>Dans cet exemple, ChatGPT vous posera des questions pour recueillir des informations sur vos préférences de voyage, telles que les villes que vous souhaitez visiter, votre budget, vos centres d’intérêt et vos contraintes de temps, tout en considérant les attractions principales qui se trouvent en Italie. En fonction de vos réponses, il pourra alors élaborer un itinéraire personnalisé qui répond à vos attentes et besoins.</p>
<h2>ChatGPT et les requêtes malicieuses</h2>
<p>Bien qu’impressionnants et actuellement très populaires, les modèles de langage demeurent tout de même vulnérables aux attaques informatiques (« hacking »). À titre d’exemple, des pirates informatiques ont utilisé une technique appelée « injection d’instructions » (<a href="https://arxiv.org/pdf/2302.12173.pdf"><em>prompt injection</em></a>) pour manipuler les résultats de GPT-3. Cette manipulation permet à un utilisateur de contourner les contrôles de sécurité et les restrictions imposées par les concepteurs du modèle pour accéder à des fonctionnalités non autorisées ou pour manipuler le modèle de manière malveillante. </p>
<p>L’injection d’instructions consiste ainsi à entrer des instructions dans le modèle, ce qui l’amène à générer des résultats biaisés ou trompeurs. <a href="https://www.theguardian.com/technology/2023/mar/08/chatgpt-alter-ego-dan-users-jailbreak-ai-program-to-get-around-ethical-safeguards">Le modèle d’instructions malveillant le plus populaire est D.A.N</a>, qui signifie « Do Anything Now ». Il permet à l’utilisateur d’obtenir des informations non vérifiées, sans censure, et même des opinions de la part de ChatGPT libres de toute limitation imposée par OpenAI.</p>
<p>Ces attaques sur les modèles de langage sont inquiétantes, car ils compromettent la sécurité, la confidentialité et l’intégrité des modèles, tout en posant des risques pour la stabilité et les performances des systèmes associés. De plus, ils peuvent décourager l’innovation en faisant craindre aux développeurs que leurs modèles soient compromis par des acteurs malveillants.</p>
<h2>La programmation pour tous, une solution pour favoriser la cybersécurité</h2>
<p>Pour prévenir de telles attaques, il est important de mettre en place des mesures de sécurité solides et de surveiller et de les mettre à jour au fur et à mesure que de nouvelles menaces apparaissent. Il est également crucial de disposer d’un bassin de personnes talentueuses et familiarisées avec la programmation, qui pourront développer et mettre en œuvre ces mesures. </p>
<p>Il importe donc d’initier les individus à la programmation, afin qu’ils deviennent davantage conscients des défis de sécurité liés à l’utilisation des modèles de langage et des technologies d’IA. En comprenant les mécanismes de fonctionnement de ces technologies et leurs vulnérabilités potentielles, ils seront alors possiblement plus enclins à adopter des pratiques de sécurité et à utiliser les modèles de langage de manière responsable. </p>
<p>L’éducation à la programmation peut également contribuer à créer une communauté d’utilisateurs et de développeurs responsables (« white hat users »), qui travaillent ensemble pour <a href="https://www.vice.com/en/article/5d9z55/jailbreak-gpt-openai-closed-source">renforcer la sécurité des modèles de langage et rendre plus transparentes les limites éthiques imposées par les développeurs</a>.</p>
<p>Initier la population à la programmation encourage ainsi l’innovation et le développement de solutions de sécurité plus robustes. </p>
<h2>Au-delà du simple codage</h2>
<p>L’idée d’initier la population aux concepts de base de l’informatique ne date pas d’hier et dépasse l’apprentissage du codage. Peter Denning, un pionnier dans le domaine, a publié en 1989 un article intitulé <a href="https://dl.acm.org/doi/pdf/10.1145/63238.63239">« Computing as a Discipline »</a>, qui mettait déjà de l’avant l’importance des compétences associées à l’apprentissage de la programmation pour tous les citoyens. Selon lui, cet apprentissage doit viser le traitement logique et systématique de l’information et des données pour résoudre des problèmes, plutôt que de mettre l’accent sur le codage. </p>
<p>Le codage consiste à savoir écrire des lignes de code pour donner des instructions à un ordinateur, alors que la programmation englobe une approche plus large qui inclut la conception, l’analyse, la résolution de problèmes et la compréhension des concepts informatiques fondamentaux. Denning insistait dès 1989 sur le fait que la maîtrise de ces principes fondamentaux, et non simplement du codage, permet de mieux comprendre et de s’adapter aux évolutions technologiques rapides qui façonnent notre monde. Ce discours est toujours d'actualité, comme le montrent les récentes avancées dans les 4 dernières semaines :</p>
<ul>
<li><p><a href="https://blog.google/technology/ai/try-bard/">Bard</a>, le nouveau modèle développé par Google ;</p></li>
<li><p>L’annonce par Microsoft que [Copilot], un outil d’IA basé sur GPT-4,serait intégré à leur suite Office (Excel, Word et PowerPoint) ;</p></li>
<li><p>L’<a href="https://openai.com/blog/chatgpt-plugins">ajout de plug-ins à GPT-4</a> qui permettra le développement de fonctions supplémentaires directement accessible via la plate-forme de ChatGPT ; et </p></li>
<li><p>La nouvelle version de <a href="https://docs.midjourney.com/docs/model-versions">MidJourney V5</a> qui permet de générer du contenu visuel photoréaliste à l’aide d’instructions textuelles. C’est d’ailleurs cette nouvelle version de MidJourney qui a mené à la <a href="https://www.theverge.com/2023/3/27/23657927/ai-pope-image-fake-midjourney-computer-generated-aesthetic">photo virale du pape la semaine dernière</a>, qui est présentée ci-dessous. </p></li>
</ul>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"1639655045875507201"}"></div></p>
<p>L’intégration de la programmation et de l’IA dans le système éducatif pourrait également contribuer à réduire les inégalités sociales et à éviter la création de différentes « catégories » de citoyens : ceux qui ignorent et n’utilisent pas les outils d’IA, ceux qui les connaissent et les utilisent, ceux qui sont en mesure de payer pour utiliser les meilleurs outils d’IA et enfin, ceux qui maîtrisent parfaitement ces outils et en tirent le maximum de bénéfices. </p>
<h2>Une pause, mais pas pour tous : l’occasion de repenser le cursus</h2>
<p>La pause dans la recherche demandée par les experts la semaine dernière pourrait être mise à profit par le système éducatif pour repenser la manière dont il aborde les technologies et la programmation dans les programmes d’études.</p>
<p>En effet, les technologies occupent actuellement une place transversale dans les cursus, ce qui pourrait ne pas être suffisant pour préparer les élèves aux défis du futur. Il ne s’agit pas nécessairement d’intégrer rapidement la programmation et l’IA dans tous les cursus, mais plutôt de prendre le temps d’évaluer leur pertinence et de déterminer la meilleure manière de les intégrer aux programmes d’études. Les enseignants, en particulier, pourraient bénéficier de cette pause pour se familiariser avec ces concepts et réfléchir aux meilleures façons de les enseigner à leurs élèves.</p>
<p>Leur formation continue est une priorité. Les instances éducatives doivent les soutenir en offrant des ressources et des formations adaptées.</p><img src="https://counter.theconversation.com/content/202025/count.gif" alt="La Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Hugo G. Lapierre a reçu des financements du CRSH (Programme de bourses d’études supérieures du Canada Joseph-Armand-Bombardier - Bourse au doctorat)</span></em></p><p class="fine-print"><em><span>Patrick Charland a reçu des financements du Conseil de recherche en sciences humaines du Canada (CRSH), du Fonds de recherche du Québec - Société culture (FRQSC) et du Bureau International d'Éducation de l'UNESCO (IBE-UNESCO).</span></em></p>L’initiation à la programmation représente une solution pour aider à protéger les systèmes contre les attaques et contribuer à répondre à la demande croissante de compétences en programmation.Hugo G. Lapierre, Chargé de cours en technologie éducative; Doctorant en éducation (didactique de la programmation), Université du Québec à Montréal (UQAM)Patrick Charland, Professeur titulaire / Full professor, Département de didactique, Université du Québec à Montréal (UQAM)Licensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1766582023-02-28T14:15:59Z2023-02-28T14:15:59ZLes technologies des registres distribués et de la chaîne de blocs en éducation<figure><img src="https://images.theconversation.com/files/496210/original/file-20221118-21-ziab04.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">shutterstock</span> </figcaption></figure><p>La <a href="https://publications.gc.ca/collections/collection_2019/cnrc-nrc/NR16-258-2019-fra.pdf">technologie des registres distribués (TRD)</a> constitue une innovation stimulante.</p>
<p>Elle s’utilise dans de nombreux domaines, allant des <a href="https://www.researchgate.net/publication/343754019_blockchain_Ethics_A_Systematic_Literature_Review_of_blockchain_Research">contrats intelligents au vote électronique</a>. Son usage le plus connu demeure la <a href="https://www.cpacanada.ca/fr/ressources-en-comptabilite-et-en-affaires/domaines-connexes/technologies-et-gestion-de-linformation/publications/introduction-a-la-technologie-de-la-chaine-de-blocs">monnaie virtuelle « Bitcoin »</a> et les autres cryptomonnaies utilisées pour réaliser des transactions financières ouvertes et sécurisées entre des personnes ou des entités. La technologie sous-jacente au Bitcoin est la chaîne de blocs, <a href="https://www.cpacanada.ca/fr/ressources-en-comptabilite-et-en-affaires/domaines-connexes/technologies-et-gestion-de-linformation/publications/points-vue-chefs-file-chaine-blocs">une forme de TRD</a>.</p>
<p>Les cryptomonnaies connaissent cependant des ratés importants ces jours-ci, avec la chute vertigineuse de leurs valeurs <a href="https://ici.radio-canada.ca/nouvelle/1931996/ftx-cryptomonnaie-faillite-protection-creancier-etats-unis">et la faillite spectaculaire de la plate-forme de transactions de cryptomonnaies FTX</a>.</p>
<p>Mais ce qu’on connaît moins, c’est que la technologie des registres distribués commence à prendre du terrain dans d’autres domaines de nos vies.</p>
<p>Selon l’Institut canadien des comptables agréés, <a href="https://www.cpacanada.ca/fr/ressources-en-comptabilite-et-en-affaires/domaines-connexes/technologies-et-gestion-de-linformation/publications/introduction-a-la-technologie-de-la-chaine-de-blocs">CPA Canada</a>, ces technologies sont puissantes au regard de leur potentiel de création de nouveaux modèles économiques et sociaux. Elles sont stimulantes en raison de leur complexité et des défis que leur pleine compréhension et <a href="https://www.ibm.com/downloads/cas/93DDVAKE">leur utilisation adéquate présentent</a>.</p>
<p>Experts en administration, en éducation et en innovation, nous proposons d’apporter un éclairage sur l’usage de ces technologies dans le domaine de l’éducation.</p>
<h2>Qu’est-ce la technologie des registres distribués ?</h2>
<p>La TRD est une technologie qui crée un grand livre numérique partagé qui permet à plusieurs acteurs de s’engager dans des <a href="https://itif.org/publications/2019/04/30/policymakers-guide-blockchain/">transactions sécurisées et fiables, sans intermédiaire</a>. Les données stockées ont la spécificité d’être cryptées, donc protégées, et permanentes. Chaque action de modification (ou de suppression) qui y est faite est enregistrée et conservée, assurant une traçabilité complète.</p>
<p>La TRD est une <a href="https://www.wseas.org/multimedia/journals/information/2019/a365109-091.pdf">base de données répartie sur de nombreux ordinateurs sans contrôle central</a>. C’est une structure de données constituée de blocs se composant de deux parties : <a href="https://www.sciencedirect.com/science/article/pii/S2405959519301894">l’en-tête et le corps, qui sont connectés sous forme de liste, et qui réalisent des transactions successives et stockent des données en utilisant le cryptage</a>.</p>
<p>L’heure et la date des <a href="https://www.wseas.org/multimedia/journals/information/2019/a365109-091.pdf">transactions sont également enregistrées</a>.</p>
<h2>De plus en plus populaires dans les services publics</h2>
<p>De plus en plus de gouvernements utilisent la technologie afin d’améliorer l’efficacité de leur service public. Selon une <a href="https://www.ibm.com/downloads/cas/WJNPLNGZ">enquête menée par la multinationale américaine IBM en 2017</a> auprès de leaders gouvernementaux de 16 pays d’Europe de l’Ouest et d’Asie du Sud-Est, 90 % d’entre eux déclaraient alors qu’ils prévoyaient investir dès l’année suivante dans la TRD afin d’accroître la transparence, la cybersécurité et l’efficacité de leurs transactions, ainsi que pour assurer la conformité à leurs règlements.</p>
<p>De nombreux pays l’ont déjà adoptée pour certains aspects liés à la légalisation, à l’identité, à la résidence électronique, à la santé, à la sécurité et à d’autres services administratifs : l’Estonie, la Suède et la Géorgie testent un <a href="https://www.boozallen.com/s/insight/blog/3-potential-benefits-of-government-blockchain.html">service basé sur la chaîne de blocs pour les citoyens et les entreprises</a> ; Dubaï a décidé <a href="https://u.ae/en/about-the-uae/strategies-initiatives-and-awards/federal-governments-strategies-and-plans/emirates-blockchain-strategy-2021">d’intégrer des registres distribués dans l’ensemble de ses processus gouvernementaux</a> et le Kazakhstan utilise une plate-forme d’appels d’offres publics basée sur la TRD <a href="https://www.researchgate.net/publication/320661119_Government_30_-_Next_Generation_Government_Technology_Infrastructure_and_Services_Roadmaps_Enabling_Technologies_Challenges">pour assurer un haut niveau de transparence</a>.</p>
<figure class="align-center zoomable">
<a href="https://images.theconversation.com/files/497084/original/file-20221123-14-bif7g4.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=1000&fit=clip"><img alt="concept abstrait de la chaîne de blocs avec un homme qui tape sur un clavier en arrière-plan" src="https://images.theconversation.com/files/497084/original/file-20221123-14-bif7g4.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/497084/original/file-20221123-14-bif7g4.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=400&fit=crop&dpr=1 600w, https://images.theconversation.com/files/497084/original/file-20221123-14-bif7g4.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=400&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/497084/original/file-20221123-14-bif7g4.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=400&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/497084/original/file-20221123-14-bif7g4.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=503&fit=crop&dpr=1 754w, https://images.theconversation.com/files/497084/original/file-20221123-14-bif7g4.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=503&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/497084/original/file-20221123-14-bif7g4.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=503&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px"></a>
<figcaption>
<span class="caption">La TRD est une technologie qui crée un grand livre numérique partagé qui permet à plusieurs acteurs de s’engager dans des transactions sécurisées et fiables, sans intermédiaire.</span>
<span class="attribution"><span class="source">(Shutterstock)</span></span>
</figcaption>
</figure>
<h2>La technologie des registres distribués en éducation</h2>
<p>Avec l’arrivée du numérique dans le monde de l’éducation, par le biais de l’apprentissage à distance, des classes intelligentes et des outils de gestion scolaire intelligents, la technologie a pris place dans les écoles et en définit en grande partie les évolutions actuelles. Les registres distribués s’inscrivent dans cette lignée.</p>
<p>Parmi les exemples concrets de l’usage en éducation des registres distribués, on retrouve :</p>
<ul>
<li><p>le stockage des informations personnelles et d’identification des élèves et étudiants durant tout leur parcours ;</p></li>
<li><p>la certification de l’authenticité des diplômes ;</p></li>
<li><p>la lutte contre le plagiat au niveau des travaux scolaires, devoirs et articles académiques ;</p></li>
<li><p>l’accessibilité à un matériel pédagogique sécurisé et immuable ;</p></li>
<li><p>la mise en place des <a href="https://www.mdpi.com/2076-3417/9/12/2400">écosystèmes permettant aux apprenants d’avoir accès au matériel d’étude et de partager leurs projets et idées</a> ; et</p></li>
<li><p>les contrats intelligents utilisés par les chercheurs universitaires pour conclure des accords numériques avec les étudiants aux cycles supérieurs <a href="https://link.springer.com/chapter/10.1007/978-3-030-57847-3_10">pour la réalisation de leurs travaux</a>.</p></li>
</ul>
<h2>Des avantages indéniables</h2>
<p>Les écoles et universités peuvent aussi utiliser la TRD pour aider les enseignants à identifier rapidement les besoins éducatifs spécifiques de leurs élèves et personnaliser leurs apprentissages. Par exemple, le <a href="https://imsglobal.org/home">IMS Global Learning Consortium</a> a mis en place des parcours personnalisés, soutenus par des données de blockchain, qui <a href="https://www.ibm.com/downloads/cas/93DDVAKE">orientent les étudiants vers des opportunités d’apprentissage adaptées à chaque élève en fonction des connaissances et des compétences acquises</a>.</p>
<p>Ces avancées technologiques permettent aussi de sécuriser le stockage des informations d’identification et les relevés de notes qui pourront ensuite être consultés <a href="http://www.ijiet.org/vol10/1344-NC004.pdf">par toute entité à qui l’étudiant souhaite accorder l’accès</a>, garantir l’anonymat, la confidentialité et l’obtention d’une preuve décentralisée <a href="https://www.researchgate.net/publication/333133309_Artificial_Intelligence_blockchain_in_Online_Education">qui ne peut être effacée ou modifiée par personne</a> et valider l’authenticité des <a href="https://www.mdpi.com/2076-3417/9/12/2473">diplômes et bulletins scolaires</a>.</p>
<h2>L’envers de la médaille</h2>
<p>L’adoption de la chaîne de blocs vient cependant avec certaines contraintes qui pourraient constituer une barrière à son adoption. Celles-ci sont liées à :</p>
<ul>
<li><p>l’induction d’un modèle de fonctionnement différent, qui oblige à réfléchir à la manière de la mettre en œuvre, du côté opérationnel ;</p></li>
<li><p>la réticence face à une <a href="https://www.wseas.org/multimedia/journals/information/2019/a365109-091.pdf">nouvelle technologie que les gens ont du mal à comprendre</a> ;</p></li>
<li><p>les attaques malveillantes et les fuites de données qui peuvent encore subvenir, même si la TRD offre une sécurité reconnue ;</p></li>
<li><p>la permanence les dossiers scolaires qui pourrait <a href="https://www.ibm.com/downloads/cas/93DDVAKE">rendre difficile pour un étudiant en difficulté d’avoir une seconde chance ou de prendre un nouveau départ</a> ;</p></li>
<li><p>le <a href="https://www.emerald.com/insight/content/doi/10.1108/ITSE-07-2020-0102/full/html">coût encore relativement élevé de l’infrastructure de gestion des données</a>.</p></li>
</ul>
<p>L’utilisation de la TRD dans le secteur de l’éducation en est encore à ses premiers pas avec une <a href="https://www.mdpi.com/2076-3417/9/12/2400">rareté des recherches disponibles</a>. Si de nombreux travaux et initiatives laissent entrevoir un potentiel d’utilisation prometteur de cette technologie, ce potentiel est à exploiter avec attention, car le secteur de l’éducation est un service public et pas une entreprise à but lucratif.</p><img src="https://counter.theconversation.com/content/176658/count.gif" alt="La Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Les auteurs ne travaillent pas, ne conseillent pas, ne possèdent pas de parts, ne reçoivent pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'ont déclaré aucune autre affiliation que leur organisme de recherche.</span></em></p>L’utilisation de la technologie des registres distribués (TRD) dans le secteur de l’éducation en est encore à ses premiers pas, avec une rareté des recherches disponibles.Abdoulaye Anne, Professeur en administration et politiques de l'éducation, Université LavalYassine EL BAHLOULI, Chercheur en Administration et Politiques Éducatives, Université LavalLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1989722023-02-08T16:17:00Z2023-02-08T16:17:00ZChatGPT : le plagiat n’est que l’arbre qui cache la forêt<figure><img src="https://images.theconversation.com/files/508958/original/file-20230208-21-scra43.jpg?ixlib=rb-1.1.0&rect=2%2C2%2C995%2C663&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Au lieu d'essayer d'empêcher les étudiants d'utiliser ChatGPT, nous devons réformer la façon dont nous enseignons.</span> <span class="attribution"><span class="source">(Shutterstock)</span></span></figcaption></figure><p>Le débat sur les promesses et les risques de l’intelligence artificielle a été bousculé le 30 novembre 2022, lorsque l’entreprise OpenAI a lancé <a href="https://chat.openai.com/auth/login">ChatGPT</a>. ChatGPT est une version améliorée et gratuite de GPT-3, un puissant système lancé en 2020 qui génère du texte. C’est ce qu’on appelle un <a href="https://datascientest.com/introduction-au-nlp-natural-language-processing">modèle de langage</a>. GPT-3 a d’ailleurs été utilisé pour rédiger un <a href="https://www.theguardian.com/commentisfree/2020/sep/08/robot-wrote-this-article-gpt-3">article d’opinion du Guardian</a>, soutenant que l’IA ne détruira pas les humains.</p>
<p>En décembre, plus d’un million de personnes ont utilisé ChatGPT et publiaient en ligne des <a href="https://twitter.com/MathisHammel/status/1621539164226293763?s=20&t=KWU5WtZUFqWWM9bMJR--mg">codes informatiques</a>, des <a href="https://twitter.com/PopcornTalkshow/status/1602726273712885766?s=20&t=yT_qxLZEqy5a0JLkF5GbPg">programmes de recettes hebdomadaires</a>, des présentations de travail et des <a href="https://twitter.com/gchampeau/status/1599848962113929216?s=20&t=PY-Zlmm4y_guuuqiizzxjw">dissertations</a> générés par le système. </p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"1599848962113929216"}"></div></p>
<p>ChatGPT et GPT-3 peuvent également résoudre des <a href="https://scholar.harvard.edu/files/claireboine/files/equation.png?m=1675722214">problèmes mathématiques</a>, <a href="https://scholar.harvard.edu/files/claireboine/files/grammaire.png?m=1675722217">corriger la grammaire</a> ou <a href="https://scholar.harvard.edu/files/claireboine/files/resumer.png?m=1675722218">simplifier un texte compliqué</a>. À l’heure actuelle, ChatGPT ne peut plus répondre à la demande ; le site n’a pas la capacité de supporter le nombre trop élevé d’utilisateurs.</p>
<p>Ayant été entraînés sur une grande quantité de données, notamment des sites Web, des livres et Wikipédia, ces systèmes peuvent imiter différents styles littéraires, et notamment <a href="https://scholar.harvard.edu/files/claireboine/files/magnetoscope.png?m=1675722217">expliquer dans un style biblique comment retirer un sandwich d’un magnétoscope</a>, écrire des <a href="https://scholar.harvard.edu/files/claireboine/files/baudelaire.png?m=1675722215">poèmes dans le style de Baudelaire</a> ou produire des scénarios de <a href="https://scholar.harvard.edu/files/claireboine/files/friends.png?m=1675722211">scènes de l’émission à succès Friends</a>.</p>
<p>Pour la première fois, la société saisit pleinement l’ampleur des transformations à venir. Pourtant, une grande partie du débat public sur ChatGPT se concentre sur la question du plagiat à l’école. La crainte, largement répandue, que les étudiants utilisent ChatGPT pour rédiger leurs dissertations distrait le public de questions beaucoup plus importantes. </p>
<p>Expertes en droit et politiques de l’intelligence artificielle, nous proposons d’apporter un éclairage sur les derniers systèmes d’IA et les véritables risques qu’ils présentent.</p>
<h2>Bien comprendre les modèles de langage</h2>
<p>Les modèles de langage sont des systèmes d’IA entraînés à estimer la probabilité qu’une séquence de mots apparaisse dans un texte. Ils sont utilisés de diverses manières, notamment dans les clavargades virtuels, les applications de messagerie et les logiciels de traduction. Pensez par exemple à votre application de messagerie qui vous suggère le mot suivant dans la phrase que vous avez commencée. Certains modèles de langage sont appelés grands modèles de langage, lorsqu’ils sont entraînés sur un nombre de paramètres très élevé, bien qu’il n’y ait pas de seuil précis pour ce nombre.</p>
<p>Ces modèles ont été révolutionnés par l’invention d’une nouvelle technologie, appelée <a href="https://fr.wikipedia.org/wiki/Transformeur"><em>transformeurs</em></a>, en 2017. De nombreux modèles de langage impressionnants utilisant des transformeurs ont vu le jour, tels que GPT-3, Bloom, LaMDA, Megatron-Turing NLG et PaLM. Alors que ChatGPT a été entraîné sur 175 milliards de paramètres, <a href="https://www.journaldunet.fr/web-tech/guide-de-l-intelligence-artificielle/1511873-palm-google/">PaLM de Google</a> a été entraîné sur 540 milliards et peut <a href="https://arxiv.org/pdf/2204.02311.pdf">expliquer des blagues et produire des raisonnements logiques</a> sophistiqués. Les transformeurs ont également été utilisés pour créer des systèmes qui génèrent des images à partir de textes, comme <a href="https://openai.com/dall-e-2/#demos">DALL.E 2</a>, qui peut produire une image crédible d’un <a href="https://twitter.com/OpenAI/status/1511707245536428034?s=20&t=FGXweACzLG3dhptWMP1E2g">koala qui joue (et marque !) au basketball</a>. En fait, certains artistes utilisent désormais l’IA pour <a href="https://www.moma.org/calendar/exhibitions/5535">générer leurs œuvres</a>.</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"1511707245536428034"}"></div></p>
<h2>Le débat sur le plagiat ne date pas d’hier</h2>
<p>L’IA révolutionne actuellement le monde du travail. Des personnes n’ayant aucune formation en programmation peuvent produire des codes informatiques, n’importe qui peut générer des cartes, des diapositives, des dessins, des photos, des sites web, des textes ou des documents juridiques. Les professionnels de demain s’appuieront sans doute sur ces outils. Il convient donc de se poser la question suivante : quel est le but de l’éducation si ce n’est de préparer les étudiants à la société et au travail ?</p>
<p>Un débat sur le plagiat a eu lieu dans les années 90, <a href="http://faculty.washington.edu/sandeep/d/interplag.pdf">lorsqu’internet s’est développé</a>. Les professeurs d’université déploraient alors que leurs étudiants copient des informations provenant de sites web et journaux électroniques ou demandent de l’aide sur des forums en ligne. Bien entendu, le fait de ne pas citer ses sources est problématique ; c’est ce qu’on appelle du plagiat. Mais les premiers tricheurs qui utilisaient Internet ont appris à effectuer des recherches sur le Web et à trier les informations. En fait, le système scolaire s’est depuis adapté pour privilégier les aptitudes à recueillir, analyser, synthétiser et évaluer l’exactitude et l’utilité des informations. C’est l’une des raisons pour lesquelles les <a href="https://www.nature.com/articles/s41598-022-08437-0">jeunes adultes d’aujourd’hui sont plus résistants à la désinformation que leurs aînés</a>. </p>
<h2>ChatGPT n’est que la pointe de l’iceberg</h2>
<p>Aujourd’hui, l’IA introduit une révolution encore plus importante que celle provoquée par l’arrivée d’internet. ChatGPT n’est que l’un parmi de <a href="https://medium.com/@richardcngo/visualizing-the-deep-learning-revolution-722098eb9c5">nombreux systèmes d’IA, déjà existants, qui vont transformer la société</a>, et nous pouvons nous attendre à ce que d’autres apparaissent bientôt. Actuellement, les trois ingrédients des systèmes d’IA – la puissance de calcul, les algorithmes et les données – s’améliorent tous à un rythme effréné. ChatGPT n’est que la partie visible de l’iceberg, et nous devons préparer les étudiants aux changements sociaux importants que l’IA va entraîner.</p>
<p>Au lieu d’essayer d’empêcher les étudiants d’utiliser ChatGPT, nous devons réformer la façon dont nous enseignons. Cette réforme ne doit pas consister à trouver des devoirs astucieux pour lesquels les étudiants ne peuvent pas utiliser ChatGPT. Nous devons nous assurer que les étudiants peuvent utiliser les systèmes d’IA correctement. </p>
<p>ChatGPT est formé en partie à partir de rétroaction humaine. Les humains lisent la réponse produite par le système et jugent si elle est véridique et informative. Pour certains sujets, en particulier ceux qui requièrent une expertise approfondie, les réponses peuvent sembler plausibles aux yeux des humains, mais contenir des inexactitudes, qui sont ainsi renforcées. Au fil du temps, il deviendra encore plus difficile pour les humains de remarquer les écarts subtils par rapport à la vérité. Les enseignants pourraient ainsi créer des devoirs qui requièrent l’utilisation de ChatGPT, en demandant aux étudiants de vérifier des faits moins connus et d’apporter des éclairages plus subtils. </p>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/2B4MuqXKdOE?wmode=transparent&start=0" frameborder="0" allowfullscreen=""></iframe>
<figcaption><span class="caption">ChatGPT, c’est quoi exactement ?</span></figcaption>
</figure>
<h2>Un appel à la prudence</h2>
<p>Mais surtout, nous devons sensibiliser nos étudiants aux risques que présentent ces systèmes. Il a été démontré que les grands modèles de langage reproduisent les <a href="https://dl.acm.org/doi/pdf/10.1145/3442188.3445922">biais et préjugés</a>, donnent des <a href="https://www.nabla.com/blog/gpt-3/">conseils potentiellement dangereux</a> et facilitent la <a href="https://digitalcommons.law.uw.edu/cgi/viewcontent.cgi?article=1024&context=faculty-articles">manipulation des consommateurs</a>. Bientôt, ces modèles pourraient mener à la <a href="https://arxiv.org/abs/2110.06674">manipulation de masse</a>. Ils peuvent également être à l’origine de violations légales de la <a href="https://arxiv.org/pdf/2108.07258.pdf">confidentialité des données et des droits de propriété intellectuelle</a>, sur lesquelles les étudiants doivent rester vigilants. </p>
<p>Qui plus est, les créateurs et les utilisateurs de systèmes d’IA reposant sur des transformeurs découvrent régulièrement que ces systèmes <a href="https://transformer-circuits.pub/2021/framework/index.html">sont capables de tâches, parfois problématiques, dont ils n’avaient pas conscience</a>. Par exemple, des chercheurs ont démontré qu’ils pouvaient utiliser un modèle de langage pour calculer la <a href="https://dl.acm.org/doi/pdf/10.1145/3531146.3533229">probabilité que des accusés récidivent</a>, une tâche pour laquelle le modèle n’avait pas été intentionnellement entraîné. Les développeurs des premiers grands modèles de langage ne s’attendaient pas à ce que ceux-ci puissent faire de l’arithmétique ou du raisonnement. Cette imprévisibilité des tâches réalisables avec ces systèmes augmente le risque qu’ils soient utilisés à des fins néfastes ou se comportent contre l’intérêt de ses utilisateurs.</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"1602726273712885766"}"></div></p>
<p>Les étudiants doivent se préparer. Ils doivent apprendre à évaluer les systèmes d’IA de manière critique, tout comme la génération précédente a dû apprendre à trier les informations en ligne. Ils peuvent également signaler tout bogue informatique ou comportement inattendu qu’ils constatent afin de contribuer à leur sécurité. En outre, ils devraient participer à des conversations démocratiques pour déterminer <a href="https://arxiv.org/pdf/2102.02503.pdf">quelles valeurs et principes</a> devraient guider les comportements des systèmes d’IA.</p>
<p>Et même s’ils n’ont pas besoin d’apprendre certaines compétences qui seront automatisées, ils devraient comprendre les <a href="https://www.alignmentforum.org/posts/qE73pqxAZmeACsAdF/a-short-introduction-to-machine-learning">bases du fonctionnement de l’IA</a> et les risques qu’elle comporte.</p><img src="https://counter.theconversation.com/content/198972/count.gif" alt="La Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Claire Boine ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p><p class="fine-print"><em><span>Céline Castets-Renard ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>Une grande partie du débat public sur ChatGPT se concentre sur la question du plagiat à l’école. Mais ce système soulève des enjeux bien plus importants.Claire Boine, Research associate, L’Université d’Ottawa/University of OttawaCéline Castets-Renard, Professeur de droit à l’Université d’Ottawa et titulaire de la Chaire « Law, Accountability and Social Trust in AI », Université Toulouse 1 CapitoleLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1968522023-01-08T16:43:38Z2023-01-08T16:43:38ZComment choisir un bon mot de passe ?<figure><img src="https://images.theconversation.com/files/503042/original/file-20230104-104784-h1u35h.jpg?ixlib=rb-1.1.0&rect=4%2C689%2C2740%2C2059&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Mots de passe compliqués, gestionnaires de mots de passe, ça vaut le coup?</span> <span class="attribution"><a class="source" href="https://unsplash.com/fr/photos/3wPJxh-piRw">Jason Dent, Unsplash</a>, <a class="license" href="http://creativecommons.org/licenses/by/4.0/">CC BY</a></span></figcaption></figure><p>Alors que les cyberattaques se multiplient, chacun d'entre nous peut potentiellement y être confronté. Certes, nous avons tous nos astuces pour les mots de passe que nous utilisons dans nos ordinateurs et nos portables : cachés sous un clavier, écrits sur un bout de papier ou issus de la date d’anniversaire du petit dernier. </p>
<p>Mais comment faire pour s'assurer que son mot de passe est véritablement in-cra-qua-ble ? </p>
<p>De nombreuses études constatent qu’une part importante des mots de passe ne protègent pas suffisamment les utilisateurs : les mots de passe sont trop faibles et trop souvent réutilisés. Par exemple, 51 % des Français utiliseraient le <a href="https://press.avast.com/fr-fr/enqu%C3%AAte-avast-93-des-fran%C3%A7ais-utilisent-des-mots-de-passe-faibles">même mot de passe pour des usages professionnels et personnels</a> – une statistique que l’on retrouve <a href="https://services.google.com/fh/files/blogs/google_security_infographic.pdf">aux États-Unis</a>.</p>
<p>À partir d’un mot de passe, les cybercriminels pourront récupérer des informations privées en se connectant à nos comptes en ligne (messageries, réseaux sociaux, etc.), notamment nos comptes bancaires ou de e-commerce, mais aussi pénétrer sur notre ordinateur et en chiffrer le contenu en vue d’obtenir une rançon. </p>
<p>Le vol d’un mot de passe peut avoir des conséquences financières, mais aussi psychologiques à travers des pratiques comme le « doxxing » (publier des informations sur l’identité ou la vie privée d’une personne dans le but de lui nuire) ou le « revenge porn ». Dans le cadre professionnel, les fuites de mot de passe exposent l’entreprise à des attaques par chantage, à des <a href="https://theconversation.com/quand-internet-ne-vous-rend-plus-service-87125">« dénis de service »</a> (des cyberattaques consistant à interrompre ou malmener le service fourni par un tiers), ou encore à de l’espionnage économique.</p>
<hr>
<p>
<em>
<strong>
À lire aussi :
<a href="https://theconversation.com/cryptographie-comment-ma-carte-a-puce-resiste-t-elle-aux-attaques-148512">Cryptographie : comment ma carte à puce résiste-t-elle aux attaques ?</a>
</strong>
</em>
</p>
<hr>
<h2>Comment un fraudeur récupère-t-il des mots de passe ?</h2>
<p>Les deux grandes approches utilisées par les cybercriminels pour récupérer des mots de passe sont l’ingénierie sociale et le vol de bases de données d’identifiants.</p>
<p>L’ingénierie sociale consiste pour le cybercriminel à convaincre sa victime de révéler son mot de passe en ayant, typiquement, recours à l’<a href="https://theconversation.com/cyberattaques-des-hopitaux-que-veulent-les-hackers-192407">hameçonnage</a> : la grande majorité des attaques ne ciblent pas une victime prédéfinie et ces attaques de masse ont pour but d’hameçonner des victimes quelconques. C’est seulement dans un second temps que le cybercriminel concentrera ses forces sur la personne hameçonnée.</p>
<p>Quant au vol de bases de données d’identifiants, l’attaque consiste généralement à pirater un site web pour voler les noms et mots de passe des utilisateurs afin de se connecter sur le compte des victimes, de les utiliser sur d’autres comptes (par exemple, le fraudeur testera les identifiants Google de sa victime sur Twitter) ou de les revendre sur le <em>dark web</em>. Le site web « Have I been pwned ? » permet à chacun de vérifier si son mot de passe a fuité sur Internet ; il recense actuellement presque 12 milliards de comptes dont les identifiants ont fuité.</p>
<p>Dans la majorité des cas, ces bases de données d’identifiants ne contiennent pas des mots de passe, mais des empreintes de mots de passe : l’empreinte est le résultat d’une fonction dite « à sens unique » qui est appliquée sur le mot de passe. Par analogie, l’empreinte est au mot de passe ce que l’empreinte digitale est à l’humain : deux mots de passe différents ont des empreintes différentes et étant donné une empreinte, on ne peut pas identifier l’humain. Mais étant donné une empreinte et un humain, on peut dire si l’empreinte provient de cet humain. Dans le cas des mots de passe, on ne peut donc pas retrouver le mot de passe à partir de son empreinte, mais on peut tester un mot de passe pour voir s’il correspond à l’empreinte : on dit alors que le mot de passe est « cassé ».</p>
<p>Les <a href="https://www.openwall.com/john/">casseurs de mots de passe</a> utilisent <a href="https://hashcat.net/hashcat/">différentes approches</a> pour tester les mots de passe les plus probables : d’abord les plus courts, puis les mots du dictionnaire et leurs variantes (par exemple « repas », puis « Repas », « RepaS », « saper », « repas1 »…) et les mots de passe fortement structurés (par exemple démarrant par une majuscule, puis des minuscules, des chiffres et enfin des caractères spéciaux).</p>
<p>Les casseurs modernes peuvent également utiliser des techniques évoluées reposant sur <a href="https://www.usenix.org/system/files/conference/usenixsecurity16/sec16_paper_melicher.pdf">l’intelligence artificielle</a> ou <a href="https://link.springer.com/chapter/10.1007/978-3-031-17146-8_16">l’algorithmique</a>.</p>
<p>Enfin, tous les mots de passe possibles sont testés si les autres tentatives ont échoué : c’est ce que l’on appelle une recherche exhaustive, qui a généralement peu d’espoir de rencontrer un succès en un temps raisonnable. Notamment, les attaques qui consistent à tester directement sur un site web différents mots de passe pour un utilisateur donné jusqu’à réussir à se connecter sont peu praticables : elles sont très lentes à cause du temps de réponse du serveur web et facilement détectables.</p>
<h2>Qu’est-ce qu’un mot de passe robuste ?</h2>
<p>Pour se protéger efficacement, il faut utiliser des mots de passe robustes, ne pas utiliser un même mot de passe pour plusieurs usages et changer de mots de passe régulièrement.</p>
<p>Pour qu’un mot de passe soit robuste, il faut qu’il soit choisi aléatoirement dans un ensemble de mots de passe ayant la même chance d’être choisis : par exemple, un mot présent dans le dictionnaire serait cassé en une poignée de secondes. Ajouter une majuscule ou des chiffres à la fin n’apporte qu’une sécurité illusoire.</p>
<hr>
<p>
<em>
<strong>
À lire aussi :
<a href="https://theconversation.com/cryptographie-a-quoi-servent-les-nombres-aleatoires-178699">Cryptographie : à quoi servent les nombres aléatoires ?</a>
</strong>
</em>
</p>
<hr>
<p>Afin de mesurer la robustesse d’un mot de passe choisi aléatoirement (cas idéal, rarement atteint sans gestionnaire de mots de passe), on compte le nombre de tests que devra faire un pirate dans le pire des cas pour le casser. Cette valeur est généralement calculée par la formule <em>n</em><sup>c</sup>_ où <em>c</em> est la longueur du mot de passe et <em>n</em> la taille de l’ensemble des éléments parmi lesquels piocher pour composer le mot de passe. Par exemple, dans le cas d’un mot de passe de longueur 8 (<em>c</em>=8), composé de lettres minuscules uniquement (<em>n</em>=26), le pirate devra tester 26<sup>8</sup> mots de passe (soit 208 milliards) dans le pire des cas. Bien que le chiffre semble astronomique, un ordinateur standard mettra moins d’une seconde pour le casser en utilisant la puissance de calcul de sa carte graphique.</p>
<p>L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) définit la <a href="https://www.ssi.gouv.fr/administration/precautions-elementaires/calculer-la-force-dun-mot-de-passe/">robustesse d’un mot de passe par la taille de l’espace dans lequel il est choisi aléatoirement</a>, et distingue quatre catégories.</p>
<h2>La robustesse d’un mot de passe d’après l’ANSSI</h2>
<p>Un mot de passe aléatoire, construit à partir d’un alphabet constitué de lettres, de chiffres et de 8 caractères spéciaux, devra ainsi contenir au moins 17 caractères (par exemple, « b !sDzf5w,5+W2s3k ») pour être considéré comme fort selon l’ANSSI, et il sera considéré comme très faible s’il est de taille inférieure ou égale à 10 caractères (« b !sDzf5w,5 »). Même très faible, le mot de passe sera difficile à mémoriser… surtout qu’il faut en mémoriser des dizaines !</p>
<p>Pour faciliter la mémorisation des mots de passe, une technique de plus en plus recommandée consiste à <a href="https://www.ssi.gouv.fr/agence/cybersecurite/cybermois-2021-les-mots-de-passe/">utiliser des « phrases de passe »</a>, c’est-à-dire des suites de mots choisis aléatoirement. Une phrase de passe de sept mots choisis dans un dictionnaire de 60000 mots pourrait ainsi être « contrefort fatalement semelle signifié distance revergète fourguer », plus facile à mémoriser que « b !sDzf5w,5+W2s3k » pour une sécurité équivalente.</p>
<p>Mais il est difficile pour un humain de choisir aléatoirement des mots dans un ensemble suffisamment grand, car nous n’utilisons que quelques centaines de mots au quotidien. Il est alors conseillé de rajouter des minuscules, majuscules et caractères spéciaux dans la phrase de passe.</p>
<h2>Faut-il utiliser un gestionnaire de mots de passe ?</h2>
<p>Un gestionnaire de mots de passe est une application qui stocke de manière sécurisée tous les mots de passe de l’utilisateur pour qu’il n’ait pas besoin de les mémoriser. Il lui suffit de se souvenir d’un seul mot de passe, le mot de passe maître, qui doit être le plus fort possible tout en restant mémorisable. L’utilisation d’un gestionnaire de mots de passe, par exemple KeyPass, est recommandée par les grands acteurs de la cybersécurité tels que l’<a href="https://www.ssi.gouv.fr/">ANSSI</a>, son homologue allemand, le <a href="https://www.bsi.bund.de/EN/">BSI</a> ou l’agence européenne <a href="https://www.enisa.europa.eu/">ENISA</a>, ainsi que par des organisations comme <a href="https://rsf.org/fr">Reporters sans Frontières</a>. Certains gestionnaires de mots de passe sont stockés dans le cloud, par exemple Bitwarden (gratuit et open source), 1Password (payant), DashLane (payant), ou encore LastPass (payant, mais il existe une version gratuite assez évoluée) qui est le gestionnaire le plus utilisé mais aussi le plus attaqué.</p>
<p>Notons que les gestionnaires intégrés dans les navigateurs (qui ne nécessitent pas d’installation) ne sont pas recommandés pour des raisons de sécurité, comme le souligne le <a href="https://www.bsi.bund.de/EN/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoerter-erstellen/Passwort-Manager/passwort-manager_node.html">BSI allemand</a>.</p>
<p>Dans le cas où le gestionnaire stocke les mots de passe dans le cloud, il est fondamental que les mots de passe maîtres soient forts, au sens de l’ANSSI. Dans le cas contraire, un prestataire ayant accès au cloud pourrait les casser et ainsi accéder à tous les mots de passe qu’ils protègent. Il s’agit d’une menace sérieuse à prendre en compte par les entreprises, dans un monde où l’espionnage économique est légion. Recommander aux entreprises d’héberger elles-mêmes les gestionnaires de mots de passe de leurs employés n’est certainement pas un excès de prudence.</p>
<p>Enfin, l’usage de l’authentification par double facteur (par exemple la réception d’un code par mail) est fortement recommandé… même s’il ne faut pas pour autant baisser la garde.</p><img src="https://counter.theconversation.com/content/196852/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Diane Leblanc-Albarel a reçu des financements du CNRS. </span></em></p><p class="fine-print"><em><span>Gildas Avoine a reçu des financements du CNRS pour ses travaux sur la sécurité des mots de passe.</span></em></p>Lettres, chiffres, caractères spéciaux… les recommandations abondent. Sont-elles efficaces ? Décryptage de deux experts.Diane Leblanc-Albarel, Doctorante en Cybersécurité, INSA RennesGildas Avoine, Professeur en Cybersécurité, INSA RennesLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1832522022-05-26T18:57:14Z2022-05-26T18:57:14ZAu-delà des cryptomonnaies, à quoi peuvent servir les blockchains ?<figure><img src="https://images.theconversation.com/files/464008/original/file-20220518-15-83qqs4.jpg?ixlib=rb-1.1.0&rect=99%2C99%2C7249%2C4803&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">L'enregistrement des naissances est crucial pour éviter le trafic et l'exploitation des enfants; et pourrait être facilité par les registres informatiques sécurisés utilisant les blockchains.</span> <span class="attribution"><a class="source" href="https://www.flickr.com/photos/unicefethiopia/35653494396/">UNICEF Ethiopia, Flickr</a>, <a class="license" href="http://creativecommons.org/licenses/by-nc-nd/4.0/">CC BY-NC-ND</a></span></figcaption></figure><p>Les blockchains (ou chaînes de blocs) sont désormais célèbres grâce aux cryptomonnaies, en particulier le fameux Bitcoin, et la « finance décentralisée » (ou « DeFi » en anglais). Mais elles peuvent avoir d’autres applications que financières.</p>
<p>En effet, les blockchains permettent simplement d’échanger de l’information entre partenaires sans nécessairement se faire confiance, car cette technologie permet de construire un registre (comme un livre de comptes) partagé, infalsifiable, pour la parfaite traçabilité des échanges d’information. On sous-estime généralement l’importance des registres, qui sont pourtant essentiels dans notre existence sociale et juridique : état civil, sécurité sociale, cadastre, registres bancaires par exemple. On ne peut jamais y enlever d’information, seulement en ajouter à la fin, et tous les ajouts sont signés par leur auteur.</p>
<p>Par exemple, la FIFA et la blockchain Algorand ont récemment <a href="https://www.fifa.com/fr/about-fifa/president/media-releases/la-fifa-sassocie-a-algorand">annoncé leur partenariat</a>, qui fait de la blockchain Algorand la blockchain officielle de la prochaine coupe du monde de football… Alors que les applications d’une blockchain pour les coupes du monde de football 2022 et 2023 n’ont pas encore été dévoilées, on peut imaginer qu’il y aura des NFT à collectionner au nom des joueurs et des équipes engagées, une sorte d’album Panini virtuel.</p>
<p>Les technologies blockchains peuvent également être utiles au secteur public, notamment autour des questions d’identité numérique, de certification de documents et de traçabilité, comme nous le montrons dans notre <a href="https://blockchain.univ-lille.fr/">livre blanc</a> publié dans le cadre du <a href="https://digital-strategy.ec.europa.eu/en/policies/blockchain-partnership">partenariat européen pour la blockchain</a>.</p>
<h2>Comment les blockchains garantissent-elles la confiance entre partenaires ?</h2>
<p>Les technologies blockchains, dans le sens large de « registres décentralisés », sont des technologies <a href="https://hal.archives-ouvertes.fr/hal-01870617">permettant d’assurer de la confiance dans des échanges d’informations</a>. Elles n’ont donc d’intérêt que dans un cadre multi-partenaires, pour <a href="https://cacm.acm.org/magazines/2020/1/241715-blockchain-technology/fulltext">assurer la sécurité et la traçabilité des échanges d’information</a>. Leur champ est donc bien plus spécifique qu’une base de données distribuée (c’est-à-dire un système de stockage d’information structurée, qui repose sur plusieurs machines mais est opéré de manière centralisée par une entité unique), et les applications combinent bien souvent blockchains et bases de données.</p>
<p>Cette confiance apportée aux échanges repose sur deux piliers.</p>
<p>D’une part, la technologie blockchain elle-même assure l’infalsifiabilité des données par l’utilisation notamment de cryptographie. En effet, le chaînage cryptographique des blocs d’information rend la chaîne des blocs de données très résistante car toute modification d’un bloc casse la chaîne et il est très (trop) coûteux de la reconstruire.</p>
<h2>Qui décide des modifications d’une blockchain ?</h2>
<p>D’autre part, la gouvernance de chaque blockchain précise qui sont les « opérateurs des nœuds » (les entités qui opèrent les ordinateurs et les logiciels qui assurent le bon fonctionnement et la sécurité de la chaîne de blocs) et comment ils déploient et font évoluer le code de cette blockchain.</p>
<p>Ces « opérateurs de nœuds » sont en fait assez variés. Ça peut être n’importe qui dans le cas des blockchains publiques (Bitcoin, Ethereum, Algorand, Hive, Tezos, etc.), les membres d’un consortium plus ou moins ouvert, comme dans le cas d’<a href="https://alastria.io/en/">Alastria</a> (une association espagnole promouvant les technologies blockchain en construisant des infrastructures utilisables par ses membres), les acteurs d’une filière économique pour la traçabilité au sein de la filière (comme <a href="https://www.usinenouvelle.com/article/blockchain-tradelens-revolutionne-le-suivi-du-fret-maritime.N1808547">Tradelens pour le fret maritime</a>), ou encore des opérateurs publics dans le cas de l’<a href="https://ec.europa.eu/ebsi">infrastructure de services blockchain européenne EBSI</a> (construite dans le cadre du partenariat européen pour la blockchain, pour supporter les services publics transfrontaliers).</p>
<p>La grande différence entre blockchain et « base de données distribuée » est ce portage et cette gouvernance collective, par différents acteurs, d’une infrastructure partagée. On a donc le remplacement de la confiance apportée par un tiers dit « de confiance », à la confiance apportée par la preuve, c’est-à-dire que l’accès aux données inscrites de manière durable, transparente et infalsifiable dans la blockchain.</p>
<h2>Des applications de la blockchain pour le secteur public</h2>
<p>Nous listons dans notre livre blanc <a href="https://blockchain.univ-lille.fr/">« Les technologies blockchains au service du secteur public »</a> plusieurs cas d’usage liés en particulier à l’identité numérique, à la certification de documents et à la traçabilité.</p>
<p>En particulier, nous expérimentons à l’Université de Lille l’émission de certificats de réussite numériques aux diplômes sur une blockchain dans le but de lutter contre la fraude au diplôme et d’offrir à nos diplômés un service à valeur ajoutée : une attestation disponible plus rapidement, traduite en anglais, plus facile à partager que la version papier.</p>
<p>Ces attestations sont émises dans une blockchain publique pour le moment, mais l’objectif est d’utiliser l’infrastructure publique européenne EBSI dès que possible.</p>
<p>Ici, la technologie blockchain permet de gérer de manière décentralisée (c’est-à-dire sans avoir besoin d’une unique autorité centrale, qui n’existe d’ailleurs pas au niveau européen pour l’identité) l’identité numérique des établissements émetteurs qui doivent être accrédités par leur État, celle des étudiants (avec l’identifiant européen de l’étudiant), ainsi que la durabilité et l’infalsifiabilité des données enregistrées. Outre la valeur ajoutée pour les diplômés, cette technologie a aussi un intérêt pour l’établissement émetteur : économique car l’attestation numérique est moins chère à produire que le diplôme papier, de gain de temps par la diminution des demandes de vérification des diplômes de la part des recruteurs, et d’amélioration de qualité des données de scolarité par la transformation du processus de diplomation.</p>
<h2>Doter les enfants sans existence juridique dans leur pays d’une preuve d’existence légale</h2>
<p>Outre l’EBSI et ses autres cas d’usage (identité numérique, numéro de sécurité sociale européen), nous citons d’autres cas dans notre livre blanc comme <a href="https://blockchain.univ-lille.fr/wiki/projet-did4all/">DID4ALL</a>, projet porté par l’UNICEF et IN Group pour doter les <a href="https://www.unhcr.org/563762946.html">enfants sans existence juridique dans leur pays</a> d’une preuve d’existence légale. Il y aurait en effet plus de 166 millions d’enfants dans le monde qui ne pourraient pas justifier d’une reconnaissance ou d’une identité légale. L’objectif de DID4ALL est d’expérimenter, dans des pays en voie de développement, une solution numérique simple et efficace qui utilise trois technologies combinées – la reconnaissance vocale, la blockchain et les systèmes de télécommunication – afin de proposer à chaque enfant une preuve d’existence cryptographique, dématérialisée et légale tout au long de son enfance.</p>
<h2>Des applications pour les réseaux sociaux</h2>
<p>Un autre domaine en pleine expansion est celui des applications sociales : les <a href="https://mpra.ub.uni-muenchen.de/112673/">NFT</a>, utilisés pour marquer la propriété d’œuvres d’art numérique, mais aussi les jeux <a href="https://halshs.archives-ouvertes.fr/halshs-01911888">play-to-earn</a> où les joueurs sont récompensés en actifs numériques qu’ils peuvent échanger sur des places de marché et ainsi être rémunérés, et les réseaux sociaux où le contenu créé par les utilisateurs leur appartient réellement, contrairement aux réseaux sociaux classiques où le contenu est cédé ou pour le moins accessible à la plate-forme pour le monétiser, sans compter les problèmes de censure ou de modération arbitraire.</p>
<p>Par exemple, la blockchain Hive est construite spécialement pour les applications sociales décentralisées et les auteurs y sont réellement propriétaires de leur contenu et rémunérés en HIVE, la cryptomonnaie native de la blockchain Hive, en fonction de leur activité et de leur audience. Cette blockchain est le soubassement d’applications variées qui tirent parti de sa sécurité et où chacun reste propriétaire de ses données : plates-formes de blogs, diffusion de vidéos, microblogging, jeux, etc.</p>
<p>À la <a href="https://sciences-technologies.univ-lille.fr/">Faculté des Sciences et technologies de l’Université de Lille</a>, nous utilisons cette plate-forme comme un outil d’enseignement des technologies blockchain. Les étudiants déposent leurs travaux sur cette plate-forme et sont récompensés en HIVE selon la visibilité que leurs articles ont obtenue. C’est l’occasion pour les enseignants de détailler avec eux les mécanismes techniques et économiques d’un écosystème blockchain public comme les algorithmes de consensus (preuve de travail, preuve d’enjeu, etc.) et les actifs cryptographiques (cryptomonnaies, NFT et autres jetons cryptographiques).</p>
<hr>
<p><em>Cet article a été co-écrit avec Perrine de Coëtlogon, experte blockchain et open education, coordinatrice du livre blanc <a href="https://blockchain.univ-lille.fr/">« Les technologies blockchains au service du secteur public »</a>.</em></p><img src="https://counter.theconversation.com/content/183252/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Pierre Boulet est membre du groupe technique EBSI du partenariat européen pour la blockchain comme représentant de l'État français.</span></em></p>Les blockchains peuvent aussi être utiles au secteur public, par exemple pour donner une identité numérique aux enfants qui n’ont pas d’existence juridique dans leurs pays. Comment ça marche ?Pierre Boulet, Professeur d'informatique, Université de LilleLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1687072021-09-29T18:19:44Z2021-09-29T18:19:44ZÉtats, banques, hôpitaux : tous victimes des attaques informatiques<p>Les attaques informatiques ne sont pas un phénomène récent. Le premier vers diffusé sur Internet, dit <a href="https://www.fbi.gov/history/famous-cases/morris-worm">« Morris worm »</a> du nom de son créateur, a infecté 10 % des 60 000 ordinateurs que comptait Internet à cette période.</p>
<p>Le livre <a href="https://en.wikipedia.org/wiki/The_Cuckoo%27s_Egg_(book)"><em>The Cukoo’s Egg</em></a>, publié en 1989, raconte déjà une histoire vraie d’espionnage informatique. Depuis cette période, on a donc assisté à un ensemble de phénomènes malveillants, avec des causes multiples évoluant au cours du temps. La motivation initiale de nombreux « hackers » était la curiosité face à une technologie nouvelle, largement hors de portée du commun des mortels à l’époque. A succédé à cette curiosité l’appât du gain, qui s’est d’abord traduit par des campagnes de messagerie incitant à l’achat de produits sur Internet puis à des attaques par déni de service.</p>
<p>Depuis quelques années, trois types de motivations prévalent :</p>
<ul>
<li><p>Un gain financier direct, notamment par le déploiement des <a href="https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/rancongiciels-ransomwares">rançongiciels</a>, qui fait de nombreuses victimes ;</p></li>
<li><p>L’espionnage et le gain d’information, étatique le plus souvent mais également privé ;</p></li>
<li><p>La captation et manipulation de données, le plus souvent personnelles, à des fins de propagande ou de contrôle.</p></li>
</ul>
<p>Ces motivations se couplent à deux types de processus d’attaques, des attaques ciblées où l’attaquant a choisi sa cible et se donne les moyens de la pénétrer, des attaques à grande échelle où l’attaquant cherche à faire le plus de victimes possible dans le maximum de temps, son gain étant proportionnel au nombre de victimes touchées.</p>
<h2>La mode des rançongiciels</h2>
<p>Les <a href="https://www.economie.gouv.fr/entreprises/rancongiciels-ransomware-protection">rançongiciels</a> sont des programmes malveillants qui s’installent de manière détournée sur un ordinateur et en chiffrent le contenu. Ils affichent ensuite un message demandant une rançon pour obtenir les clés de déchiffrement.</p>
<p><em>Le logiciel de caisses enregistreuses Kaseya</em></p>
<p>En juillet 2021,une <a href="https://www.csoonline.com/article/3626703/the-kaseya-ransomware-attack-a-timeline.html">attaque</a> a frappé le logiciel de gestion de caisses enregistreuses Kaseya, utilisé dans plusieurs chaînes de magasins. C’est la partie cloud du service qui a été impactée, menant à l’indisponibilité des systèmes de paiement de <a href="https://www.larevuedudigital.com/les-supermarches-suedois-coop-contraints-de-fermer-a-cause-dune-attaque-informatique/">plusieurs chaînes de magasins</a>.</p>
<p><em>L’attaque Colonial Pipeline</em></p>
<p>Un exemple récent est l’attaque visant l’oléoduc de la cote est des états unis <a href="https://fr.wikipedia.org/wiki/Cyberattaque_de_Colonial_Pipeline">« Colonial Pipeline »</a>, en mai 2021. Cette attaque a rendu inopérants les logiciels utilisés pour contrôler le flux de carburant dans ce tuyau, ce qui a engendré des pénuries de carburant dans les stations-service et les aéroports.</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"1393317644925906947"}"></div></p>
<p>Cet exemple est marquant car il a touché une infrastructure visible et qu’il a eu un fort impact économique, mais d’autres infrastructures, banques, usines et hôpitaux, sont régulièrement impactés par ce phénomène. Il convient par ailleurs de noter que ces attaques sont très souvent destructrices, et que le paiement de la rançon ne garantit pas une capacité à retrouver ses données.</p>
<p>Il est malheureusement à prévoir que ces attaques continuent, au moins dans un premier temps, car il y a un gain financier certain pour les attaquants, certaines victimes payant la rançon malgré les difficultés éthiques et légales que cela pose. Les mécanismes d’assurance contre le crime informatique peuvent par ailleurs avoir un effet délétère, le <a href="https://static.rusi.org/247-op-cyber-insurance-v2.pdf">paiement de rançon encourageant les attaquants à continuer</a>. Les états mettent également en place des outils de contrôle des cryptomonnaies, souvent utilisées pour le paiement des rançons, afin de rendre ce paiement plus difficile. Notons par ailleurs que paradoxalement l’usage des cryptomonnaies permet une traçabilité qui ne serait pas accessible par des paiements traditionnels. Cela permet d’envisager une baisse de la rentabilité de ce type d’attaque ainsi qu’un accroissement du risque pour les attaquants, menant à terme à une réduction de ce type de pratique.</p>
<h2>Les attaques ciblées orchestrées par des états</h2>
<p>Les infrastructures sont fréquemment pilotées par des outils numériques, incluant les infrastructures régaliennes des états (économie, finance, justice…). Par conséquent, nous constatons le développement de nouvelles pratiques, sponsorisées par des états ou des acteurs très puissants, qui mettent en œuvre des moyens sophistiqués sur du temps long pour parvenir à leurs fins. Plusieurs exemples existent, comme l’attaque <a href="https://fr.wikipedia.org/wiki/Stuxnet">Stuxnet/Flame</a> contre les centrifugeuses iraniennes, ou l’attaque contre le logiciel SolarWinds.</p>
<p><em>L’exemple de SolarWinds</em></p>
<p>L’attaque contre la société Orion et son <a href="https://www.lawfareblog.com/solarwinds-and-holiday-bear-campaign-case-study-classroom">logiciel SolarWinds</a> est particulièrement exemplaire du niveau de complexité que certains acteurs sont capables de mettre en œuvre lors d’une attaque. Le logiciel SolarWinds est un outil de gestion de réseaux ; il occupe donc une position critique pour piloter un système d’information. Il est utilisé par de très nombreuses grandes entreprises et administrations américaines.</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"1440286691823013891"}"></div></p>
<p>L’attaque initiale a été portée en 2019 (entre janvier et septembre), pour pénétrer l’environnement de compilation de SolarWinds. Entre l’automne 2019 et février 2020, l’attaquant a interagi avec cet environnement pour implanter des fonctionnalités complémentaires. En février 2020, cette interaction a permis l’implantation d’un cheval de Troie dénommé « Sunburst », qui sera ensuite intégré aux mises à jour de SolarWind et implanté de cette manière chez les clients d’Orion, jusqu’à infecter 18 000 organisations. La phase d’exploitation a démarré fin 2020 par l’injection de codes malveillants supplémentaires téléchargés par Sunburst. L’attaquant a finalement pénétré le nuage Office365 des sociétés compromises. La première détection d’activité malveillante a été faite en décembre 2020, avec le vol d’outils logiciels de la société FireEye.</p>
<p>Cet exemple a couru tout au long de l’année 2021 et a des impacts majeurs, montrant à la fois la complexité et la longévité de certaines attaques. Cette action a été attribuée par les <a href="https://www.usine-digitale.fr/article/les-renseignements-americains-attribuent-la-cyberattaque-solarwinds-a-la-russie.N1045854">renseignements américains</a> au SVR, le service d’espionnage extérieur russe, <a href="https://www.latribune.fr/depeches/reuters/KCN2CZ11I/le-chef-des-services-russes-d-espionnage-nie-l-attaque-contre-solarwinds-dit-la-bbc.html">ces derniers l’ayant nié</a>. Il est vraisemblable que l’intérêt stratégique de certaines cibles amène à des développements ultérieurs de ce type d’attaque ciblée en profondeur. L’importance des outils numériques pour le fonctionnement de nos infrastructures critiques amène inévitablement le développement d’armes cyber par les états, et prendra probablement de l’ampleur dans les années à venir.</p>
<h2>Le contrôle social</h2>
<p>La publication des activités du logiciel Pegasus, de la société NSO, montre que certains états ont un intérêt fort à compromettre les équipements informatiques, notamment smartphones, de leurs opposants.</p>
<p><em>L’exemple de Tetris</em></p>
<p><a href="https://therecord.media/chinese-espionage-tool-exploits-vulnerabilities-is-58-widely-used-websites/">Tetris</a> est le nom d’un outil utilisé (<a href="https://www.leparisien.fr/high-tech/apres-la-russie-microsoft-victime-de-milliers-de-cyberattaques-venues-de-chine-07-03-2021-ENYX7LUZ3BFJPCUIUU2UGHWXN4.php">potentiellement par le gouvernement chinois</a>) pour infecter des sites Internet de discussion et remonter les identités d’opposants possibles. L’outil est utilisé sur 58 sites et réalise des actions relativement complexes pour voler les identités des visiteurs.</p>
<p><em>Le « zéro-click »</em></p>
<p>La publication des outils de Pegasus a mis en évidence la famille d’attaques dites « 0-click ». De nombreuses attaques contre les logiciels de messagerie ou les navigateurs supposent qu’un attaquant va cliquer sur un lien, et que ce click va déclencher l’infection de la victime. Une attaque 0-click déclenche cette infection sans aucune action de la cible. L’exemple en cours est la vulnérabilité dite <a href="https://nvd.nist.gov/vuln/detail/CVE-2021-30860">ForcedEntry ou CVE-2021-30860</a>, touchant l’application iMessage des iPhones.</p>
<p>Cette application, comme de nombreuses autres, accepte des données de format très nombreux et différent, et doit effectuer de nombreuses opérations complexes pour les présenter de manière élégante aux utilisateurs, malgré un format d’affichage réduit. Cette complexité engendre une surface d’attaque importante. Un attaquant connaissant le numéro de téléphone de la victime peut donc lui envoyer un message malveillant, qui au cours du traitement préalable par le téléphone déclenchera l’infection. Certaines vulnérabilités permettent même de supprimer les traces (au moins visibles) de la réception du message, pour éviter d’alerter la cible.</p>
<p>Malgré le durcissement des plates-formes informatiques, il est vraisemblable que certains états, et certaines sociétés privées, conserveront la capacité de pénétrer les systèmes informatiques et les objets connectés, soit directement (p. ex. smartphones), soit les services en nuage auxquels ils sont connectés (par exemple les services vocaux). On rentre ainsi dans le domaine de la politique, ou de la géopolitique…</p>
<p>La grande difficulté des attaques informatiques reste l’attribution, c’est-à-dire la capacité de retrouver l’origine de l’attaque et d’identifier l’attaquant. C’est d’autant plus difficile que l’attaquant essaie fréquemment d’effacer ses traces et que l’Internet lui offre de nombreuses opportunités pour le faire.</p>
<h2>Que faire pour prévenir une attaque ?</h2>
<p>La meilleure solution pour prévenir une attaque est de suivre les mises à jour des systèmes et des applications, et éventuellement les installer de manière automatique. La plupart des ordinateurs, téléphones et tablettes peuvent ainsi être mis à jour sur un rythme mensuel, voire plus fréquemment. Il convient également d’activer les mécanismes de protection existants, comme les pare-feux ou les anti-virus, pour éliminer une grande partie des menaces.</p>
<p>Il est capital de sauvegarder fréquemment ses données, sur des disques ou dans le cloud, et de ne rester connecté à ces sauvegardes que tant qu’elles sont en cours. Une sauvegarde n’est vraiment utile que si elle est séparée de l’ordinateur, par exemple pour éviter que le disque de sauvegarde ne soit attaqué par un rançongiciel en même temps que le disque principal. Une sauvegarde double, ou sous forme papier, d’informations clé comme les mots de passe de vos principaux outils (compte de messagerie, bancaire…) est également indispensable.</p>
<p>Il convient également d’utiliser les outils numériques avec discernement. Dit simplement, si cela paraît trop beau dans le monde réel, il y a fort à parier que ce l’est également dans le monde virtuel. Prêter attention aux messages apparaissant sur nos écrans, relever des fautes d’orthographe ou des tournures de phrase étranges, permet souvent de voir des anomalies de comportement de nos ordinateurs et tablettes et de vérifier leur état.</p>
<p>Finalement, les utilisateurs doivent savoir que certaines pratiques sont risquées. Les magasins d’application non officiels ou les téléchargements d’exécutables sur Internet pour obtenir des logiciels sans licence incluent souvent des programmes malveillants. Les VPN très à la mode pour regarder des chaînes d’autres régions sont également des vecteurs d’attaque.</p>
<h2>Que faire en cas de compromission ?</h2>
<p>Une compromission ou une attaque sont des événements très stressants, ou l’attaquant essaie fréquemment d’augmenter le stress de la victime par des pressions ou des messages alarmistes. Il faut impérativement garder son sang-froid et se procurer un deuxième matériel (ordinateur ou téléphone) pour retrouver un outil permettant de travailler sur la machine compromise.</p>
<p>Il est indispensable de retrouver un état dans lequel la machine compromise est saine. Cela veut dire une réinstallation complète du système, sans essayer de récupérer des morceaux de l’installation précédente, pour éviter tout phénomène de réinfection. Avant récupération, il faut analyser sa sauvegarde pour être sûr qu’il n’y a pas eu transfert du code malveillant sur celle-ci. De ce fait, comprendre d’où vient l’infection peut être utile.</p>
<p>Dans de nombreux incidents, la perte de quelques heures de données est malheureusement acceptable, et il faut se tourner vers une remise en route la plus rapide et la plus saine possible. Payer une rançon est fréquemment inutile, dans la mesure où de nombreux rançongiciels sont en fait incapables de déchiffrer les données. Lorsque ce déchiffrement est possible, il existe fréquemment des programmes gratuits pour le faire, fournis par des éditeurs de logiciels de sécurité. On apprend en conséquence à faire des sauvegardes plus exhaustives et plus fréquentes…</p>
<p>Finalement, il est très utile lorsque l’on ne dispose pas de compétences internes en cybersécurité de se faire accompagner dans une démarche d’analyse de risque et de mise en place de mécanismes de protection d’utiliser des <a href="https://www.ssi.gouv.fr/entreprise/qualifications/prestataires-de-services-de-confiance-qualifies/prestataires-de-service-dinformatique-en-nuage-secnumcloud/">services cloud certifiés</a>, d’effectuer des <a href="https://www.ssi.gouv.fr/entreprise/qualifications/prestataires-de-services-de-confiance-qualifies/prestataires-daudit-de-la-securite-des-systemes-dinformation-passi-qualifies/">audits réguliers par des professionnels certifiés pour des prestations d’audit</a> de <a href="https://www.ssi.gouv.fr/entreprise/qualifications/prestataires-de-services-de-confiance-qualifies/prestataires-de-detection-dincidents-de-securite-pdis/">détection</a> et de traitement des <a href="https://www.ssi.gouv.fr/entreprise/qualifications/prestataires-de-services-de-confiance-qualifies/prestataires-de-reponse-aux-incidents-de-securite-pris/">incidents de cybersécurité</a>.</p><img src="https://counter.theconversation.com/content/168707/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Hervé Debar a reçu des financements de l'ANR et de la Commission Européenne sur les programmes H2020 et CEF. Je suis membre du conseil scientifique de l'ANSSI.</span></em></p>Cet été a vu de nombreuses attaques informatiques visant des hôpitaux, mais ces actes de malveillance touchent tous les acteurs publics ou privés et tous les domaines.Hervé Debar, Directeur de la Recherche et des Formations Doctorales, Directeur adjoint, Télécom SudParis – Institut Mines-TélécomLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1599752021-05-16T16:13:31Z2021-05-16T16:13:31ZRançongiciels, vos données en otage<figure><img src="https://images.theconversation.com/files/398331/original/file-20210503-21-1qj25wj.jpg?ixlib=rb-1.1.0&rect=42%2C9%2C1910%2C1137&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Des cartes de cyberattaques dans le monde sont calculées en temps «&nbsp;presque&nbsp;» réel.</span> <span class="attribution"><a class="source" href="https://www.flickr.com/photos/christiaancolen/21206509269/in/album-72157657349079151/">Christiaan Colen, Flickr</a>, <a class="license" href="http://creativecommons.org/licenses/by-sa/4.0/">CC BY-SA</a></span></figcaption></figure><p>Vous recevez un e-mail avec une facture en.doc ou.pdf. Vous ouvrez la pièce jointe, et quelques instants plus tard, tous vos fichiers sont bloqués, et une rançon exorbitante vous est demandée pour pouvoir les récupérer.</p>
<p>Ces rançongiciels, fréquemment appelés « <em>ransomwares</em> », ont déjà fait de nombreuses victimes, et ce n’est pas près de s’arrêter.</p>
<p>Les attaques visent sans discrimination particuliers, professionnels, et peuvent amener à paralyser des <a href="https://www.lemonde.fr/economie/article/2017/05/15/cyberattaque-mondiale-renault-nissan-dans-l-il-du-cyclone_5127802_3234.html">usines entières</a> ou même des <a href="https://www.futura-sciences.com/tech/actualites/cybersecurite-hopital-dax-paralyse-ransomware-85677/">hôpitaux</a> à fonctionner au ralenti.</p>
<p>Mais qu’est-ce qu’un rançongiciel ? Comment une telle attaque est-elle menée ?</p>
<h2>Une déferlante d’attaques par rançongiciel</h2>
<p>Depuis fin 2013 et l’émergence du logiciel <a href="https://fr.wikipedia.org/wiki/CryptoLocker">CryptoLocker</a>, une nouvelle famille de logiciels vise à extorquer de l’argent à ses victimes en prenant leurs données ou équipements en otage. Au fil des années, de nombreuses variantes ont vu le jour et ont frappé particuliers, institutions et entreprises, tels que <a href="https://www.leparisien.fr/faits-divers/cyberattaque-locky-en-2016-les-dossiers-se-sont-cryptes-sous-nos-yeux-03-08-2020-8362620.php">Locky</a>, <a href="https://fr.wikipedia.org/wiki/Petya">Petya</a> ou plus récemment <a href="https://www.lexpress.fr/actualite/monde/vague-internationale-de-cyberattaques_1907798.html">WannaCry</a>.</p>
<p>Après un apaisement au mois de janvier 2021 avec les arrestations de plusieurs hackers derrière Egregor et NetWalker, les attaques par rançongiciel repartent à la hausse depuis le mois de février pour atteindre au mois de mars 210 attaques par rançongiciel recensées dans le monde, dont une vingtaine rien qu’en France.</p>
<p>Après une vague d’attaques similaires en 2020 aux États-Unis, les hôpitaux français sont désormais visés, tels que le centre hospitalier d’Oloron-Sainte-Marie ou les hôpitaux de Dax et de Villefranche. Plus récemment, c’est l’Université de Montpellier qui a reconnu à son tour avoir été <a href="https://www.lemagit.fr/actualites/252499046/Un-virus-affecte-les-services-informatiques-de-luniversite-de-Montpellier">visée par une telle attaque</a>.</p>
<p>Le constat est toujours le même : les données, ou parfois un équipement (téléphone, ordinateur…) sont bloqués ou inaccessibles.</p>
<h2>Un rançongiciel, c’est quoi ?</h2>
<p>Si les premiers rançongiciels étaient assez simples et utilisaient des mécanismes basiques pour bloquer un ordinateur en remplaçant ou renommant un fichier de démarrage ou exécutable, la plupart utilisent désormais le <a href="https://fr.wikipedia.org/wiki/Chiffrement">chiffrement</a>.</p>
<p>Pour cela, les rançongiciels utilisent la cryptographie, souvent l’algorithme de chiffrement symétrique <a href="https://fr.wikipedia.org/wiki/Advanced_Encryption_Standard">AES</a> avec une clé pouvant aller jusqu’à 256 bits. Le but est de chiffrer les fichiers présents sur le disque dur de votre ordinateur (ou certains types de fichiers seulement), ainsi que, bien souvent, tous les disques externes ou partages réseau. Une autre alternative est de chiffrer et rendre inopérant des utilitaires indispensables au fonctionnement du système d’exploitation, ou une partition entière de votre disque dur, rendant votre équipement inopérant.</p>
<p>Il est alors quasiment impossible, même pour des experts, de récupérer vos données sans connaître la clé secrète utilisée pour le chiffrement. En effet, retrouver la clé par une contre-attaque dite « brute force » est tout simplement irréalisable, même en utilisant tous les ordinateurs du monde simultanément pendant plusieurs milliards d’années.</p>
<figure class="align-center ">
<img alt="" src="https://images.theconversation.com/files/399175/original/file-20210506-16-47qvgv.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/399175/original/file-20210506-16-47qvgv.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=514&fit=crop&dpr=1 600w, https://images.theconversation.com/files/399175/original/file-20210506-16-47qvgv.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=514&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/399175/original/file-20210506-16-47qvgv.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=514&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/399175/original/file-20210506-16-47qvgv.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=646&fit=crop&dpr=1 754w, https://images.theconversation.com/files/399175/original/file-20210506-16-47qvgv.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=646&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/399175/original/file-20210506-16-47qvgv.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=646&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">Un ver informatique est un logiciel malveillant qui se propage d’un ordinateur à l’autre en utilisant un réseau informatique, par exemple Internet.</span>
<span class="attribution"><a class="source" href="https://www.shutterstock.com/fr/image-illustration/wormeaten-digital-apple-45614182">Shosta, Shutterstock</a></span>
</figcaption>
</figure>
<p>En effet, avec une clé secrète de 128 bits (un bit étant l’unité de base en informatique pouvant prendre des valeurs de 1 ou 0), nous avons ainsi 2<sup>128</sup> clés possibles, soit un nombre à 39 chiffres. Chaque bit pouvant prendre 2 valeurs, il faut élever ce nombre au carré, soit un nombre à 78 chiffres, comparable au <a href="https://www.synetis.com/ce-nest-pas-la-taille-qui-compte/">nombre d’atomes dans l’univers observable</a>. Puisqu’il faut tester les clefs une par une, le temps pour espérer trouver la bonne clef est gigantesque.</p>
<p>En théorie, il est donc impossible de <em>craquer</em> une clé secrète. Dans de rares cas, il s’avère possible de <a href="https://fr.wikipedia.org/wiki/Advanced_Encryption_Standard#Attaques">retrouver la clé</a> dans la mémoire de l’ordinateur, généralement lorsque les attaquants ont utilisé un algorithme cryptographique dit « faible », ou s’ils l’ont implémenté eux-mêmes. Mais il s’agit là d’exceptions.</p>
<h2>Demande de rançon</h2>
<p>Une fois vos données chiffrées, le rançongiciel vous laisse quelques jours ou semaines pour payer une rançon allant de quelques centaines à plusieurs milliers d’euros selon le cas, avant de détruire la clé. Vos données sont alors irrécupérables.</p>
<figure class="align-right zoomable">
<a href="https://images.theconversation.com/files/398332/original/file-20210503-17-2v04i4.png?ixlib=rb-1.1.0&q=45&auto=format&w=1000&fit=clip"><img alt="" src="https://images.theconversation.com/files/398332/original/file-20210503-17-2v04i4.png?ixlib=rb-1.1.0&q=45&auto=format&w=237&fit=clip" srcset="https://images.theconversation.com/files/398332/original/file-20210503-17-2v04i4.png?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=449&fit=crop&dpr=1 600w, https://images.theconversation.com/files/398332/original/file-20210503-17-2v04i4.png?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=449&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/398332/original/file-20210503-17-2v04i4.png?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=449&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/398332/original/file-20210503-17-2v04i4.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=565&fit=crop&dpr=1 754w, https://images.theconversation.com/files/398332/original/file-20210503-17-2v04i4.png?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=565&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/398332/original/file-20210503-17-2v04i4.png?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=565&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px"></a>
<figcaption>
<span class="caption">Écran affiché après infection par Wannacry.</span>
<span class="attribution"><a class="source" href="https://upload.wikimedia.org/wikipedia/commons/4/4f/%EA%B0%90%EC%97%BC%EC%82%AC%EC%A7%84.png">Wikimedia</a>, <a class="license" href="http://creativecommons.org/licenses/by-sa/4.0/">CC BY-SA</a></span>
</figcaption>
</figure>
<p>Mais payer ne garantit pas toujours que vous récupérerez vos données. Dans de <a href="https://www.channelnews.fr/seules-8-des-entreprises-ayant-verse-une-rancon-ont-ete-en-mesure-de-restaurer-lensemble-de-leurs-donnees-103107">nombreux cas</a>, une fois le paiement effectué, la clé n’est jamais transmise pour le déchiffrement des données. Et un paiement ne signifie pas non plus que vous ne serez pas victime d’une nouvelle attaque, parfois par le même rançongiciel.</p>
<p>Dernièrement, les rançongiciels ont encore évolué pour maximiser leurs bénéfices, démontrant ainsi la créativité des attaquants. Une de ces pratiques est la <a href="https://www.lefigaro.fr/secteur/high-tech/cyberattaques-la-double-extorsion-une-menace-grandissante-sur-les-entreprises-20210425">double extorsion</a> : en même temps que le chiffrement et demande de rançon, des données sensibles sont exfiltrées par les attaquants et revendues au plus offrant.</p>
<h2>Comment ces malwares se propagent-ils ?</h2>
<p>Un rançongiciel peut se propager de différentes manières – on parle de « vecteur d’infection ». Il requiert généralement un accès initial au système visé, souvent au travers d’une première attaque informatique.</p>
<p>Cette attaque préliminaire se matérialise généralement par ce que l’on appelle un <em>exploit</em> (prononcé à l’anglaise). Un <em>exploit</em> est un code informatique visant à exploiter une vulnérabilité dans un logiciel, généralement causée par une erreur de programmation ou une négligence. Ces vulnérabilités, une fois connues, se voient assigner un identifiant appelé <a href="https://cve.mitre.org/">CVE</a>, et sont rendues publiques, généralement accompagnées d’un correctif. Au total, au 19 avril 2021, ce sont <a href="https://nvd.nist.gov/general/nvd-dashboard">plus de 150 000 vulnérabilités</a> qui ont ainsi été recensées.</p>
<p>Les attaquants utilisent les vulnérabilités pour infecter un système, avant que le correctif ne soit appliqué. Mais bien souvent, ce sont des failles encore inconnues, dites <em>zero day</em>, qui sont utilisées. Ces vulnérabilités découvertes par des hackers ne sont pas rendues publiques et sont au contraire exploitées dans le cadre d’attaques informatiques, parfois à grande échelle. Sur le <em>dark web</em>, le marché noir d’internet, de telles failles peuvent <a href="https://itsocial.fr/articles-decideurs/de-5000-a-250000-le-prix-dune-vulnerabilite-0-day/">se vendre de 5 000$ à 250 000$</a> !</p>
<figure class="align-left zoomable">
<a href="https://images.theconversation.com/files/399174/original/file-20210506-17-buq3sn.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=1000&fit=clip"><img alt="" src="https://images.theconversation.com/files/399174/original/file-20210506-17-buq3sn.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=237&fit=clip" srcset="https://images.theconversation.com/files/399174/original/file-20210506-17-buq3sn.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=359&fit=crop&dpr=1 600w, https://images.theconversation.com/files/399174/original/file-20210506-17-buq3sn.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=359&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/399174/original/file-20210506-17-buq3sn.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=359&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/399174/original/file-20210506-17-buq3sn.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=451&fit=crop&dpr=1 754w, https://images.theconversation.com/files/399174/original/file-20210506-17-buq3sn.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=451&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/399174/original/file-20210506-17-buq3sn.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=451&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px"></a>
<figcaption>
<span class="caption">« Hex dump » du ver informatique répondant au nom de blaster au début des années 2000, avec un message destiné à Bill Gates.</span>
<span class="attribution"><a class="source" href="https://en.wikipedia.org/wiki/File:Virus_Blaster.jpg">Wikimedia</a></span>
</figcaption>
</figure>
<p>Une fois le système cible infecté, l’attaquant a plusieurs manières de faire. Il (ou elle) peut soit installer directement le rançongiciel. Il peut aussi installer une porte dérobée (dite <em>backdoor</em>) afin de revenir plus tard pour installer le rançongiciel. Enfin, une option est d’installer un autre logiciel malveillant de type <a href="https://fr.wikipedia.org/wiki/Botnet"><em>botnet</em></a> qui permet de contrôler l’ordinateur à distance et d’installer le rançongiciel plus tard lors d’une attaque à grande échelle, synchronisée sur des dizaines ou des centaines de systèmes.</p>
<p>Généralement, le rançongiciel se comporte comme un <em>ver informatique</em>, et essaiera de se propager à d’autres ordinateurs sur le même réseau, que ce soit en exploitant la même ou d’autres vulnérabilités sur ces systèmes, ou au travers des partages réseaux.</p>
<h2>Comment les attaquants attaquent nos vulnérabilités</h2>
<p>Ces vulnérabilités ne sont pas toujours exploitables directement depuis Internet, et les attaquants utilisent alors des mécanismes visant un maillon faible bien connu… l’humain.</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"955756547958804483"}"></div></p>
<p>Au travers de campagnes de <em>spams</em> ou <em>d’hameçonnage</em> (<em>phishing</em>), parfois accompagnés d’un peu ingénierie sociales pour maximiser les chances de réussite, les attaquants vont envoyer un mail frauduleux, afin de tromper le destinataire, et lui faire ouvrir un fichier joint infecté, ou en le redirigeant vers un site web malveillant qui sera responsable de l’infection.</p>
<p>Afin de rester indétectables, des techniques classiques et communes à tous les codes malveillants sont utilisées. Certains cachent des URLs malveillantes derrière des services de contraction d’adresse (comme bit.ly par exemple). D’autres utilisent un <em>Dropper</em> qui dissocie le programme d’installation de la charge virale, à savoir le rançongiciel, ou des <em>Packers</em>, qui permettent de compresser et de cacher le code du rançongiciel.</p>
<p>Les rançongiciels attaquent sans discrimination, et leur impact peut-être catastrophique. La meilleure protection reste de ne pas se faire infecter, en <a href="https://www.ssi.gouv.fr/administration/guide/attaques-par-rancongiciels-tous-concernes-comment-les-anticiper-et-reagir-en-cas-dincident/">suivant les bonnes pratiques</a>, et en effectuant des sauvegardes régulières sur un support amovible.</p>
<p>Mais ce n’est pas toujours suffisant, notamment face à la double extorsion. N’hésitez pas à <a href="https://www.cybermalveillance.gouv.fr/diagnostic/accueil">demander de l’aide</a>.</p><img src="https://counter.theconversation.com/content/159975/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Frédéric Beck a reçu des financements de l'ANR, d'Inria, du CPER, de l'OTAN et de la Commission Européenne dans le cadre de projets de recherche.</span></em></p>La fréquence d’attaque par des logiciels malveillants qui vous demandent une rançon afin de retrouver l’accès à votre ordinateur augmente fortement.Frédéric Beck, Ingénieur de recherche, InriaLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1568002021-03-12T15:23:44Z2021-03-12T15:23:44ZAvec le télétravail, la cybercriminalité a explosé. Que peuvent faire les entreprises ?<figure><img src="https://images.theconversation.com/files/389163/original/file-20210311-22-1o7n4db.jpg?ixlib=rb-1.1.0&rect=0%2C0%2C8256%2C3618&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">
Les mesures de lutte contre la pandémie ont fait en sorte que les gens travaillent à domicile, mais cela a engendré de nouvelles menaces pour la cybersécurité.</span> <span class="attribution"><span class="source">Shutterstock</span></span></figcaption></figure><p>Pendant que la situation pandémique se prolonge, les risques de violations de données et de cyberattaques continuent de croître.</p>
<p>La Covid-19 a modifié de façon permanente la culture et le comportement organisationnels. La prise de conscience de ces changements est le premier d’une série de gestes qui vise à atténuer les risques une fois cette pandémie terminée et pour la prochaine.</p>
<p>Au moment où s’amorce la deuxième année de la pandémie et où certaines mesures qui devaient être temporaires semblent devoir rester, voilà cinq façons dont cette crise a transformé la cybersécurité :</p>
<h2>1. Le télétravail</h2>
<p>Ce qui était au départ une mesure temporaire dont le but était d’isoler les employés afin d’empêcher la propagation de la Covid-19 est devenu une situation quasi permanente, que certains considèrent même comme souhaitable. Des personnes ont déménagé <a href="https://ici.radio-canada.ca/nouvelle/1743954/montrealais-quittent-metropole-sondage">dans des zones rurales</a>, ont adopté des <a href="https://www.avantages.ca/sante/mieux-etre/le-travail-flexible-devient-la-nouvelle-norme/">horaires de travail flexibles</a> et apprécient de ne plus avoir à effectuer de <a href="https://www.brookings.edu/blog/up-front/2020/04/06/telecommuting-will-likely-continue-long-after-the-pandemic/">longs trajets entre le domicile et le travail</a>.</p>
<p>Pour les entreprises, cela signifie que chaque bureau à domicile, coin travail ou table de cuisine peut se transformer en espace de bureau partagé. Certaines d’entre elles disposent désormais de centaines de bureaux satellites alors qu’avant la pandémie, elles n’en avaient aucun.</p>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/Xl5vcxgaXGc?wmode=transparent&start=0" frameborder="0" allowfullscreen=""></iframe>
<figcaption><span class="caption">Forbes se penche sur les défis du télétravail.</span></figcaption>
</figure>
<p>Il n’est donc pas étonnant de constater que la <a href="https://thehill.com/policy/cybersecurity/493198-fbi-sees-spike-in-cyber-crime-reports-during-coronavirus-pandemic">cybercriminalité a triplé depuis le début de la pandémie</a>, selon les chiffres du FBI. Non seulement les cibles auxquelles les pirates peuvent s’attaquer sont plus nombreuses, mais elles sont aussi, bien souvent, beaucoup moins protégées que les environnements informatiques des entreprises. Les employés traitent également beaucoup plus de courriels et de messages, ce qui augmente les risques qu’ils cliquent par inadvertance <a href="https://ici.radio-canada.ca/nouvelle/1670711/covid-19-coronavirus-attaque-phishing-hameconnage-tele-travail-vpn">sur un courriel d’hameçonnage</a>.</p>
<p>Une organisation n’est jamais plus forte que le routeur à domicile non protégé le plus faible de son réseau hautement distribué. Il est difficile pour le service informatique d’appliquer les normes et de s’assurer que tous les appareils et logiciels sont à jour et sécurisés.</p>
<p>Le télétravail à grande échelle qu’engendrent les mesures de santé publique a créé de nombreux points d’accès non contrôlés, non surveillés et non sécurisés, ce qui rend les entreprises encore plus vulnérables.</p>
<h2>2. Les réunions virtuelles</h2>
<p>Que cela nous plaise ou non, les réunions virtuelles sont là pour de bon. Longtemps vantées comme un moyen efficace et peu coûteux de se réunir, les rencontres en ligne se sont imposées par nécessité. Pour certains, c’est une bénédiction : fini les réunions de comités inutiles, abrutissantes et peu productives (ou, s’il y en a, on peut veiller à d’autres tâches pendant celles-ci et on n’a pas besoin de se déplacer).</p>
<p>D’autres, en revanche, considèrent qu’on y perd la richesse de la communication en personne, ainsi que les occasions de conversations informelles qui ont leur importance. Il devient plus difficile d’établir des relations avec les gens, surtout pour les nouveaux venus dans une organisation. La fatigue Zoom existe, les distractions sont inévitables et les performances en pâtissent. Paradoxalement, dans certains cas, les employés finissent par passer plus de temps à se réunir sur une plate-forme virtuelle qu’ils ne l’ont jamais fait auparavant. « Votre micro est coupé » est désormais un cri de ralliement !</p>
<p>La pandémie a entraîné une augmentation des réunions virtuelles et une perte en productivité, en culture et en richesse des communications. Plus la valeur de la réunion est perçue comme faible, plus il est probable qu’elle restera en ligne après la pandémie.</p>
<h2>3. Protéger la confidentialité des données</h2>
<p>Avant la pandémie, les gens avaient peur de voir leurs informations personnelles volées par des pirates informatiques. Si cette préoccupation existe toujours, le développement du commerce en ligne nous oblige à partager nos données et à créer des profils en ligne pour pratiquement tous les produits et services consommés. Même les coiffeurs, lorsqu’ils sont ouverts, demandent à leurs clients de créer des comptes pour prendre rendez-vous et de signer en ligne une décharge de responsabilité Covid-19 avant les services.</p>
<p>Cependant, les consommateurs sont davantage préoccupés par l’usage qu’on fait de leurs données. <a href="https://www.americanbar.org/groups/science_technology/publications/scitech_lawyer/2020/winter/beyond-data-privacy-data-ownership-and-regulation-datadriven-business/">L’Association du barreau américain</a>, par exemple, appelle les individus à avoir la propriété et le contrôle de leurs données et à obtenir des garanties crédibles qu’elles ne seront utilisées qu’aux fins convenues, qu’elles ne seront pas vendues sans autorisation et qu’elles seront détruites à leur demande.</p>
<p>La propriété des données a changé de façon permanente, et des réglementations gouvernementales doivent être mises en œuvre et appliquées pour protéger les informations des consommateurs et garantir le respect de leur vie privée. On doit s’assurer que l’organisme auquel on divulgue des renseignements a mis en place un protocole de destruction ou d’effacement des données afin que notre vie privée soit protégée lorsqu’on ne souhaite plus effectuer de transactions avec lui.</p>
<h2>4. Redéfinir la culture</h2>
<p>La culture est souvent le plus gros atout d’une organisation. Elle peut servir de catalyseur et créer une valeur à long terme (financière et autre). La culture lie les employés entre eux et autour d’un objectif commun.</p>
<p>De nombreux chercheurs et professionnels ont étudié, commenté et <a href="https://www.cio.com/article/2875140/define-your-corporate-culture-before-it-defines-you.html">codifié la culture d’entreprise</a>.</p>
<p>La culture se transmet de plusieurs manières formelles et informelles, explicites et tacites : réunions en personne où les employés peuvent échanger, événements d’entreprise, journées d’orientation et socialisation informelle pendant et après les heures de travail. Les mesures sanitaires liées à la pandémie ont limité ces formes de communication. L’acculturation — acquisition et acceptation de la culture d’une organisation — représente tout un défi.</p>
<p>Des employés peuvent se sentir aliénés, seuls et perdus. La culture de leur entreprise peut aussi avoir changé. La création et le maintien d’une culture qui favorise la performance sont plus difficiles lorsque les interactions interpersonnelles enrichissantes sont limitées.</p>
<p>Après la pandémie, il ne sera pas évident de restaurer la culture d’une organisation et d’en développer une qui tienne compte de la nouvelle réalité.</p>
<figure class="align-center zoomable">
<a href="https://images.theconversation.com/files/387302/original/file-20210302-13-13y1492.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=1000&fit=clip"><img alt="" src="https://images.theconversation.com/files/387302/original/file-20210302-13-13y1492.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/387302/original/file-20210302-13-13y1492.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=385&fit=crop&dpr=1 600w, https://images.theconversation.com/files/387302/original/file-20210302-13-13y1492.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=385&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/387302/original/file-20210302-13-13y1492.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=385&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/387302/original/file-20210302-13-13y1492.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=484&fit=crop&dpr=1 754w, https://images.theconversation.com/files/387302/original/file-20210302-13-13y1492.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=484&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/387302/original/file-20210302-13-13y1492.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=484&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px"></a>
<figcaption>
<span class="caption">Les entreprises doivent avoir recours à des plates-formes en ligne comme Zoom pour recréer la culture d’entreprise.</span>
<span class="attribution"><span class="source">Shutterstock</span></span>
</figcaption>
</figure>
<h2>5. Gérer et contrôler le changement</h2>
<p>Le contrôle de gestion est un des côtés d’une médaille dont le revers est le risque. Les systèmes sont conçus, mis en œuvre et surveillés pour garantir que les risques sont éliminés, atténués ou acceptés. Avant la Covid-19, les entreprises avaient élaboré des plans d’urgence pour une variété de risques qui, paradoxalement, <a href="https://www.pwc.com/us/en/library/covid-19/risk-functions-response-strategy.html">incluaient même les pandémies</a>.</p>
<p>Les pressions pour accélérer la transformation numérique ont conduit à l’adoption hâtive de technologies telles que l’intelligence artificielle. Ces dernières ne sont pas sans risques, comme l’ont démontré un certain nombre <a href="https://www.cio.com/article/3586802/5-famous-analytics-and-ai-disasters.html">d’incidents récents</a>.</p>
<p>Cependant, nous avons appris au cours de la pandémie que même les événements les plus extrêmes peuvent se produire. Par conséquent, l’intégration des principaux risques et le nouvel objectif de résilience de la chaîne d’approvisionnement ont largement dépassé les limites des organisations pour inclure tous les éléments de la chaîne d’approvisionnement et les nombreuses parties prenantes.</p><img src="https://counter.theconversation.com/content/156800/count.gif" alt="La Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Michael Parent ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>Les mesures de lutte contre la pandémie ont fait en sorte que les gens travaillent à domicile, mais cela a engendré de nouvelles menaces pour la cybersécurité. Les entreprises doivent réagir.Michael Parent, Professor, Management Information Systems, Simon Fraser UniversityLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1535812021-02-14T17:08:11Z2021-02-14T17:08:11ZQuels principes juridiques pour les systèmes d’armes létales autonomes ?<figure><img src="https://images.theconversation.com/files/383352/original/file-20210209-19-149i6vv.jpg?ixlib=rb-1.1.0&rect=12%2C0%2C1183%2C673&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">
</span> <span class="attribution"><a class="source" href="https://www.flickr.com/photos/121186423@N04/50744495887/in/photolist-2kj7NHv-BP39hB-EZ5vvA-8XgBHy-Ur3foH-sQcbEn-Cm4Y6C-BP34o8-cBz2WN-6dx5jk-4ggAqq-acQsYj-qYGQAp-bPbLci-EzgjQJ-ETcr1k-E51kaP-F2opLF-5LpzsN-acQtdS-81nC9q-sAD9w-5ds2eg-SLjLx3-9f5wkd-EHyc8-6Mqm6Z-4SHsu-EHyaT-Axz8d1-4wCQ8-7Md2Kg-24x5xkU-5anMwx-byEEu7-81nCb3-5wUMRB-23zPqYa-Vx52HM-4zRaKm-bxTegR-23Kj9Ck-9bQuaF-2gYyPZk-6H5wwY-Qiohaj-abMtfa-7bxtC-85uGQC-9vwN7s">Flickr/Clodius-22</a></span></figcaption></figure><p>L’intelligence artificielle (IA) est intrinsèquement à double usage (civil et militaire), de même que les systèmes informatiques. Une réglementation efficace en la matière devrait faire en sorte que l’IA utilisée par le secteur de la défense soit responsable, équitable, traçable, fiable et gouvernable. Or, malgré l’évidence des risques liés aux SALA (systèmes d’armes létales autonomes), celles-ci ne font à ce jour l’objet d’aucune réglementation internationale ad hoc.</p>
<p>Dans quelle mesure les règles du droit international (tant public que privé) et du droit de l’Union européenne sont-elles adaptées à l’essor de ces technologies ? Le <a href="https://www.europarl.europa.eu/doceo/document/A-9-2021-0001_FR.html">rapport</a> que le Parlement européen a adopté le mercredi 20 janvier cherche à répondre à cette interrogation.</p>
<h2>Autorité de l’État : souveraineté numérique, résilience stratégique et militaire</h2>
<p>Le rapport observe en filigrane que les États membres doivent agir avec efficacité pour réduire leur dépendance à l’égard des données étrangères et veiller à ce que :</p>
<blockquote>
<p>« la détention, par de puissants groupes privés, des technologies les plus élaborées en matière d’IA n’aboutisse pas à contester l’autorité de la puissance publique et encore moins à lui substituer des entités privées, en particulier lorsque le propriétaire de ces groupes privés est un pays tiers. »</p>
</blockquote>
<p>Or l’écosystème mondial de l’IA est, précisément, dominé par les géants du numérique américains (GAFAM) et chinois (BATX : Baidu, Alibaba, Tencent, Xiaomi). Ces entreprises s’engagent <a href="https://www.lesechos.fr/idees-debats/cercle/intelligence-artificielle-peut-on-se-passer-des-gafam-1138142">avec d’énormes moyens</a> dans la bataille de l’IA, telles des nations souveraines. Elles développent pour cela des <a href="https://www.forbes.fr/technologie/gafam-et-industrie-4-0-la-discrete-strategie-de-conquete/">technologies</a> qu’utilisent volontiers les grandes puissances, engagées dans une « course à l’armement numérique ».</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"1356905808236335105"}"></div></p>
<p>Si la résilience stratégique implique de ne jamais être pris au dépourvu, notamment en temps de crise, l’IA n’est pas une « simple » révolution technologique source de « destruction créatrice », selon <a href="https://www.economie.gouv.fr/facileco/joseph-schumpeter">l’expression de Schumpeter</a>. Appliquée au domaine militaire, elle représente un outil stratégique dans un contexte où les acteurs, s’ils n’en sont pas au stade de la confrontation, ne s’engagent pas encore suffisamment sur le terrain de la coopération.</p>
<p>Concernant les SALA, les principes généraux du droit international humanitaire créent un véritable hiatus souligné par le rapport puisque seuls les êtres humains sont dotés de capacités de jugement. Le Sénat français <a href="https://www.senat.fr/rap/r19-642/r19-6427.html">remarque</a> justement que :</p>
<blockquote>
<p>« les SALA permettraient en effet d’éliminer les barrières psychologiques à l’utilisation de la force létale, ce qui n’est pas le cas pour les drones qui restent pilotés par un être humain (d’où le syndrome post-traumatique parfois observé chez des pilotes de drones). »</p>
</blockquote>
<p>Les principaux États-nations militaires développent des SALA à un rythme rapide car ils ont un intérêt propre à créer les capacités offensives les plus efficaces, indépendamment du cadre juridique. Les États-Unis développent le <a href="https://www.mer-ocean.com/sea-hunter-premier-navire-autonome-pour-chasser-les-sous-marins-ennemis/"><em>Sea Hunter</em></a>, navire autonome transocéanique de 60 mètres, dédié à la lutte anti-sous-marine et capable de naviguer dans les eaux internationales en s’adaptant sans intervention humaine aux règles de navigation en vigueur. La Russie, elle, mise avant tout sur la robotisation. Elle a développé un petit char capable de suivre un soldat et de tirer vers la même cible.</p>
<p>Demain, un État ne pourrait-il pas répondre par une guerre conventionnelle à une cyberattaque ? Il est donc plus que nécessaire d’examiner l’incidence que peut avoir l’IA, en tant que facteur stratégique, sur la politique de sécurité et de défense commune de l’Union européenne.</p>
<h2>Les risques éthiques des systèmes d’armes létales autonomes</h2>
<p>Les principes juridiques de précaution, de distinction, d’intégrité territoriale, de non-intervention et de recours à la force issus du droit de la guerre restent pertinents face à une technologie innovante car le principe de nouveauté ne peut être invoqué en soutien à une quelconque dérogation quant au respect des <a href="https://www.icj-cij.org/fr/affaire/95">normes actuelles</a> du droit international humanitaire.</p>
<p>Or, le droit relatif à l’emploi de la force, tel que consacré par la Charte des Nations unies (abstention du recours à la menace ou à l’emploi de la force dans les relations internationales), et le droit applicable dans les conflits armés reposent notamment sur deux principes cardinaux auxquels les SALA restent soumis :</p>
<ul>
<li><p>La distinction entre combattants et non-combattants (les États ne doivent jamais prendre pour cible des civils, ni en conséquence utiliser des armes qui sont dans l’incapacité de distinguer entre cibles civiles et cibles militaires) ;</p></li>
<li><p>La <a href="https://www.icrc.org/fr/doc/resources/documents/misc/5fzgrl.htm">clause de Martens</a>, selon laquelle les personnes civiles et les combattants restent sous la sauvegarde et sous l’empire des principes du droit des gens, tels qu’ils résultent des usages établis, des principes de l’humanité et des exigences de la conscience publique.</p></li>
</ul>
<figure class="align-right ">
<img alt="" src="https://images.theconversation.com/files/383339/original/file-20210209-21-ota5uv.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=237&fit=clip" srcset="https://images.theconversation.com/files/383339/original/file-20210209-21-ota5uv.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=900&fit=crop&dpr=1 600w, https://images.theconversation.com/files/383339/original/file-20210209-21-ota5uv.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=900&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/383339/original/file-20210209-21-ota5uv.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=900&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/383339/original/file-20210209-21-ota5uv.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=1131&fit=crop&dpr=1 754w, https://images.theconversation.com/files/383339/original/file-20210209-21-ota5uv.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=1131&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/383339/original/file-20210209-21-ota5uv.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=1131&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">Les technologies doivent être utilisées au bénéfice de l’humanité.</span>
<span class="attribution"><a class="source" href="https://www.pexels.com/fr-fr/photo/personne-tenant-un-outil-a-main-noir-et-argent-6153343/">Cottonbro/Pexels</a></span>
</figcaption>
</figure>
<p>Le Parlement européen souhaite donc que les SALA ne soient utilisés que dans des cas précis et selon des procédures d’autorisation fixées à l’avance de façon détaillée dans des textes dont l’État concerné (qu’il soit membre ou non de l’OTAN) assure l’accessibilité au public, ou au moins à son Parlement national.</p>
<p>En 2018, le secrétaire général de l’ONU et le Parlement européen avaient appelé à <a href="https://www.europarl.europa.eu/doceo/document/TA-8-2018-0341_FR.html">l’interdiction</a> de la mise au point, de la production et de l’utilisation de SALA « avant qu’il ne soit trop tard ».</p>
<p>Pour que les technologies soient centrées sur l’humain, elles doivent être utilisées au bénéfice de l’humanité et du bien commun, et avoir pour but de contribuer au bien-être et à l’intérêt général de leurs citoyens.</p>
<p>De plus, une personne doit avoir la possibilité de corriger, d’interrompre ou de désactiver une technologie fondée sur l’IA en cas de comportement imprévu, d’intervention accidentelle, de cyberattaques et d’ingérence de tiers. Cela implique que toute décision prise par un être humain qui s’appuierait exclusivement sur des données et des recommandations générées par des machines est à proscrire.</p>
<p>Ce principe est à intégrer dès la conception des systèmes d’IA et devrait également s’intégrer via des lignes directrices sur la supervision et la surveillance humaines. C’est ce qui explique la <a href="https://www.francetvinfo.fr/replay-radio/le-monde-est-a-nous/le-parlement-europeen-legifere-pour-la-premiere-fois-sur-l-intelligence-artificielle_4132967.html">position</a> du Parlement européen :</p>
<blockquote>
<p>« Les systèmes totalement soustraits à un contrôle humain (<em>human off the loop</em>) et à une surveillance humaine doivent être interdits sans aucune exception et en toutes circonstances. »</p>
</blockquote>
<h2>Réglementer pour anticiper les évolutions technologiques</h2>
<p>Le Parlement européen constate que les <a href="https://www.justice-ia.com/files/sites/181/2019/10/EthicsguidelinesfortrustworthyAI-FRpdf.pdf">lignes directrices sur l’éthique</a> du groupe d’experts de haut niveau ne sont pas suffisantes pour garantir que les entreprises agissent loyalement et assurent la protection effective des individus, et que le <a href="https://ec.europa.eu/info/sites/info/files/commission-white-paper-artificial-intelligence-feb2020_fr.pdf">Livre blanc de la Commission européenne sur l’IA</a> ne tient pas compte des aspects militaires de l’utilisation de l’intelligence artificielle.</p>
<p>Suite à <a href="https://undocs.org/fr/A/RES/73/266">l’adoption</a> par l’Assemblée générale de l’ONU de sa résolution « Favoriser le comportement responsable des États dans le cyberespace dans le contexte de la sécurité internationale », deux groupes ont été formés pour guider les pourparlers :</p>
<ul>
<li><p>Le Groupe d’experts gouvernementaux chargés d’examiner les moyens de favoriser le <a href="https://www.un.org/disarmament/fr/informatique-et-telematique/">comportement responsable</a> des États dans le cyberespace dans le contexte de la sécurité internationale (GEG), M. Guilherme de Aguiar Patriota (Brésil),</p></li>
<li><p>Le Groupe de travail à composition non limitée sur les <a href="https://www.un.org/disarmament/open-ended-working-group/">progrès de l’informatique et des télécommunications</a> dans le contexte de la sécurité internationale.</p></li>
</ul>
<p>Le premier rassemble des experts gouvernementaux des Nations unies des hautes parties contractantes (États) à la [Convention sur certaines armes classiques</p>
<p>(CCAC)](https://www.un.org/disarmament/fr/le-desarmement-a-geneve/convention-sur-certaines-armes-classiques/), et le second tous les États membres de l’ONU qui peuvent auditionner des représentants de l’industrie, des ONG et des membres académiques.</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"1233295771912540160"}"></div></p>
<p>L’UE, dans son ensemble, n’a accepté que récemment de discuter des implications de l’évolution de l’IA et de la numérisation dans le secteur de la défense. Aujourd’hui, le Parlement européen estime que l’Union doit aider les États membres à harmoniser leur stratégie en matière d’IA militaire. Le Parlement appelle également à faire progresser les travaux d’élaboration d’un nouveau cadre normatif mondial vers un instrument juridiquement contraignant axé sur les définitions, les concepts et les caractéristiques des technologies émergentes relevant des SALA. Ces principes sont bien connus des opérateurs d’IA du secteur civil :</p>
<ul>
<li><p>Loyauté, transparence, équité, gouvernabilité précaution ;</p></li>
<li><p>Responsabilité et imputabilité ;</p></li>
<li><p>Obligation de rendre des comptes, explicabilité et traçabilité.</p></li>
</ul>
<p>L’explicabilité vise ici à déterminer si, et dans quelle mesure, l’État, en tant que sujet de droit international et autorité souveraine, peut agir avec l’aide de systèmes d’IA dotés d’une certaine autonomie sans enfreindre les obligations découlant du droit international. Elle permet de vérifier par quel procédé les technologies d’IA à haut risque parviennent à des décisions, notamment en ce qui concerne les fonctions critiques telles que la sélection et l’engagement d’un objectif et le degré d’interaction nécessaire entre l’humain et la machine, y compris la notion de contrôle et de jugement humains. Cela nécessitera une formation appropriée des personnels civil et militaire (professions réglementées, activités liées à l’exercice de l’autorité de l’État, comme l’administration de la justice) afin de leur permettre de déceler avec précision les discriminations et les partis pris dans les ensembles de données et de les éviter.</p>
<p>Sur la responsabilité, le Parlement recommande que l’identité de la personne responsable de la décision de l’IA puisse être établie et retient la responsabilité des États membres, des parties à un conflit et des individus quant aux actions et effets prévisibles, accidentels ou indésirables des systèmes fondés sur l’IA.</p>
<p>Un contrôle <em>ex ante</em>, miroir de l’étude d’impact, permettrait dès la conception et à tout moment, lors des phases de développement, d’essai, de déploiement et d’utilisation de systèmes fondés sur l’IA, d’identifier les risques potentiels, notamment celui de victimes collatérales parmi la population civile, de pertes accidentelles de vies humaines et de dommages aux infrastructures.</p>
<p>Un contrôle <em>ex post</em> soutenu par des systèmes de certification et de surveillance rigoureux, ainsi que par des mécanismes clairs d’audit et des tests de résistance spécifiques visera à faciliter et à assurer le respect de cette conformité. Ces audits devraient être effectués périodiquement par une autorité indépendante qui superviserait les applications d’IA à haut risque utilisées par les pouvoirs publics ou les autorités militaires.</p>
<h2>Réglementation ou prolifération des SALA ?</h2>
<p>L’examen du droit international conventionnel ne contient pas d’interdiction de recourir aux SALA. Si l’on examine le droit international coutumier, on constate que les membres de la communauté internationale sont profondément divisés sur le point de savoir si le non-recours aux SALA constitue l’expression d’une <em>opinio juris</em> (conscience d’être lié par une obligation juridique, conviction que l’on doit adopter, un comportement donné).</p>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/ryjRGWoZPhQ?wmode=transparent&start=0" frameborder="0" allowfullscreen=""></iframe>
<figcaption><span class="caption">Robots tueurs : faut-il les interdire ?</span></figcaption>
</figure>
<p>L’apparition, en tant que <em>lex lata</em> (loi qui existe), d’une règle coutumière prohibant spécifiquement l’emploi des SALA se heure aux tensions qui subsistent entre 28 États qui sont en faveur d’un instrument juridiquement contraignant interdisant les armes totalement autonomes (Autriche, Brésil, Chili). En 2018, lors de la <a href="https://www.un.org/disarmament/fr/le-desarmement-a-geneve/convention-sur-certaines-armes-classiques/">réunion</a> annuelle des États parties à la Convention sur certaines armes classiques, une minorité d’États a utilisé les règles résultant du consensus pour bloquer toute progression sur ce terrain. La Corée du Sud, Israël, les États-Unis et la Russie se sont déclarés contre la négociation d’un nouveau traité, alors que la <a href="https://www.diplomatie.gouv.fr/fr/politique-etrangere-de-la-france/securite-desarmement-et-non-proliferation/desarmement-et-non-proliferation/systemes-d-armes-letales-autonomes-quelle-est-l-action-de-la-france/">France</a> envisage davantage un code de conduite qu’un traité d’interdiction.</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"1308849154194579456"}"></div></p>
<p>L’Assemblée générale de l’ONU a <a href="https://undocs.org/fr/A/RES/73/266">adopté</a> en décembre 2018 une résolution intitulée « Favoriser le comportement responsable des États dans le cyberespace dans le contexte de la sécurité internationale ». En novembre 2020, elle a adopté <a href="https://www.un.org/ga/search/view_doc.asp?symbol=A/C.1/75/L.4&referer=/&Lang=F">quinze projets</a> de résolutions, dont deux concurrents, portant sur la sécurisation du cyberespace : l’un américain, appuyé par les pays de l’UE notamment, l’autre russe, qui prévoit la <a href="https://www.un.org/ga/search/view_doc.asp?symbol=A/C.1/75/L.8/rev.1&referer=/&Lang=F">création</a> d’un autre groupe de travail pour remplacer ceux existant dès 2021. Au nom de l’Union européenne, la représentante de l’Allemagne a expliqué qu’elle <a href="https://www.un.org/press/fr/2020/agdsi3659.doc.htm">s’opposerait</a> au projet de résolution russe qui va à l’encontre de la résolution A/73/27 puisque les travaux sont en <a href="https://www.un.org/ga/search/view_doc.asp?symbol=A/C.1/75/L.60&Lang=F">cours</a> et non finalisés.</p>
<p>Le prochain cycle de négociations aura lieu en mars prochain.</p><img src="https://counter.theconversation.com/content/153581/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Nathalie Devillier ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>La réalité a dépassé la science-fiction. Les robots « tueurs » sont dans les rangs de notre armée et de celles d’autres États. Il semble urgent de réglementer l’utilisation de ces engins autonomes.Nathalie Devillier, Professeur de droit, Grenoble École de Management (GEM)Licensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1485122020-11-29T17:52:24Z2020-11-29T17:52:24ZCryptographie : comment ma carte à puce résiste-t-elle aux attaques ?<figure><img src="https://images.theconversation.com/files/370585/original/file-20201120-23-fqo8hx.jpg?ixlib=rb-1.1.0&rect=57%2C32%2C5406%2C3587&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Les cartes à puces sont utilisées partout&nbsp;: cartes bleues, téléphones, transports…</span> <span class="attribution"><a class="source" href="https://www.shutterstock.com/fr/image-photo/sim-card-tweezers-563217385">N E O S i A M / Shutterstock</a></span></figcaption></figure><p>Une solution pour protéger son argent contre le vol est de le mettre dans un coffre-fort, basé sur la solidité du coffre et du mécanisme de protection, par exemple un cadenas et une clé. Vous ouvrirez le coffre… si vous avez la bonne clé.</p>
<p>En informatique, un cryptosystème est l’équivalent du coffre-fort : basé sur la solidité d’un mécanisme de protection dit « cryptographique » et la connaissance d’une donnée particulière que l’on appelle également « clé ». Ce système sert à protéger des données stockées ou échangées, par exemple des informations d’identité, bancaires ou empreinte digitale.</p>
<p>Lorsqu’on essaie de déchiffrer un message en cachette parce qu’on ne connaît pas la clé, on fait de la « cryptanalyse » : c’est la manière utilisée pour mettre en défaut un cryptosystème, c’est-à-dire de l’attaquer.</p>
<h2>Comment marche une carte à puce ?</h2>
<figure class="align-right zoomable">
<a href="https://images.theconversation.com/files/368252/original/file-20201109-13-w0vrry.png?ixlib=rb-1.1.0&q=45&auto=format&w=1000&fit=clip"><img alt="" src="https://images.theconversation.com/files/368252/original/file-20201109-13-w0vrry.png?ixlib=rb-1.1.0&q=45&auto=format&w=237&fit=clip" srcset="https://images.theconversation.com/files/368252/original/file-20201109-13-w0vrry.png?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=343&fit=crop&dpr=1 600w, https://images.theconversation.com/files/368252/original/file-20201109-13-w0vrry.png?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=343&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/368252/original/file-20201109-13-w0vrry.png?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=343&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/368252/original/file-20201109-13-w0vrry.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=431&fit=crop&dpr=1 754w, https://images.theconversation.com/files/368252/original/file-20201109-13-w0vrry.png?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=431&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/368252/original/file-20201109-13-w0vrry.png?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=431&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px"></a>
<figcaption>
<span class="caption">Une scytale : le message chiffré est inscrit sur une bandelette de papier, il faut un bâton de diamètre adéquat pour le déchiffrer.</span>
<span class="attribution"><a class="source" href="https://upload.wikimedia.org/wikipedia/commons/thumb/5/51/Skytale.png/1024px-Skytale.png">Luringen/Wikimedia</a>, <a class="license" href="http://creativecommons.org/licenses/by-sa/4.0/">CC BY-SA</a></span>
</figcaption>
</figure>
<p>Les premiers mécanismes cryptographiques que l’on connaît remontent à l’Antiquité. Ces mécanismes visaient à garantir la confidentialité des messages échangés en temps de guerre : pour éviter qu’un adversaire ne les lise, ceux-ci étaient préalablement chiffrés. À cette époque, le chiffrement et le déchiffrement pouvaient être effectués « à la main » par une personne possédant l’information secrète et la clé pour la déchiffrer. Pour les cryptosystèmes les plus anciens, la clé pouvait être par exemple un bâton du bon diamètre, la <a href="https://fr.wikipedia.org/wiki/Scytale">« scytale »</a>,</p>
<p>ou un <a href="https://fr.wikipedia.org/wiki/Chiffrement_par_substitution">simple code secret</a>, comme le <a href="https://fr.wikipedia.org/wiki/Chiffre_des_francs-ma%C3%A7ons">chiffre « pigpen » des francs-maçons</a>.</p>
<figure class="align-center ">
<img alt="" src="https://images.theconversation.com/files/368253/original/file-20201109-13-1vvm4a3.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/368253/original/file-20201109-13-1vvm4a3.png?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=543&fit=crop&dpr=1 600w, https://images.theconversation.com/files/368253/original/file-20201109-13-1vvm4a3.png?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=543&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/368253/original/file-20201109-13-1vvm4a3.png?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=543&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/368253/original/file-20201109-13-1vvm4a3.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=683&fit=crop&dpr=1 754w, https://images.theconversation.com/files/368253/original/file-20201109-13-1vvm4a3.png?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=683&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/368253/original/file-20201109-13-1vvm4a3.png?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=683&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">Grille de chiffrement « pigpen », avec le code correspondant à « wikipedia » en bas.</span>
<span class="attribution"><a class="source" href="https://fr.wikipedia.org/wiki/Chiffre_des_francs-ma%C3%A7ons#/media/Fichier:Pigpen_for_Wikipedia.png">Dake/Wikimedia</a></span>
</figcaption>
</figure>
<p>L’histoire des codes secrets a beaucoup évolué au fil du temps, et de nos jours le chiffrement d’un message ne se fait plus « à la main », mais nécessite la puissance de calcul des ordinateurs et sa fiabilité est assurée par des principes mathématiques prouvés. Les clés secrètes sont devenues des séquences de plusieurs centaines, voire milliers de bits… c’est-à-dire un nombre de plus de mille chiffres.</p>
<p>L’évolution de la cryptographie a également permis de répondre à d’autres besoins de nos temps modernes : la confidentialité permet d’assurer que l’information ne soit pas divulguée, l’intégrité permet d’assurer qu’elle n’est pas modifiée, l’authentification permet d’assurer que la communication s’effectue avec la bonne personne ou le bon système et la <a href="https://moodle.utc.fr/pluginfile.php/16777/mod_resource/content/0/SupportIntroSecu/co/CoursSecurite_15.html">non-répudiation</a> empêche de nier le fait d’avoir bien été l’auteur d’un certain message.</p>
<p>Par exemple, lorsque nous effectuons un achat dans une boutique, nous souhaitons autoriser une transaction du bon montant, de notre compte vers celui du bon marchand, tout en gardant inaccessibles nos informations privées. Le marchand lui, souhaite être payé par le bon client, et ne souhaite pas que quelques minutes plus tard le client puisse nier d’avoir effectivement payé. La carte bancaire qui effectue des communications chiffrées avec le terminal du marchand joue un rôle important dans l’affaire, permettant de garantir une bonne partie de ces besoins.</p>
<p>La carte à puce, grâce à sa mémoire interne et sa capacité de calcul autonome, peut être en effet utilisée comme cryptosystème. Elle peut stocker des clés, ainsi que toute sorte de donnée électronique, et, une fois connectée à un terminal qui l’alimente en énergie, elle a la capacité d’effectuer des calculs cryptographiques.</p>
<p>C’est en réalité un petit ordinateur intégré dans une puce de quelques millimètres carrés. C’est pour cela qu’on l’appelle « système embarqué ».</p>
<h2>Des failles dans le coffre-fort</h2>
<p>Malgré tout, cela n’est pas toujours suffisant. Posséder un bon coffre-fort n’a pas d’intérêt, si sa combinaison traîne sur un papier posé à côté ou si la clé du cadenas est juste glissée sous le paillasson.</p>
<p>Il peut aussi exister des failles dans un cryptosystème si tout n’a pas été bien pensé. Afin d’assurer la confiance dans leur produit, les développeurs de cartes à puce demandent un certificat auprès d’un organisme de confiance. L’<a href="https://www.ssi.gouv.fr/">Agence Nationale de la Sécurité des Systèmes d’Information</a> (ANSSI) est le schéma de certification étatique français, mais il existe aussi des schémas dans d’autres pays, ainsi que des schémas privés. Le certificat est attribué au développeur sur la base d’un <a href="https://www.ssi.gouv.fr/administration/produits-certifies/cspn/les-centres-devaluation/">rapport technique d’évaluation</a>.</p>
<p>Le développeur s’adresse donc à un laboratoire comme le nôtre, le le <a href="https://www.leti-cea.fr/cea-tech/leti/Pages/innovation-industrielle/innover-avec-le-Leti/CESTI.aspx">CESTI du CEA-Leti</a> situé à Grenoble, constitué d’une équipe d’experts aux compétences complémentaires – les « évaluateurs » – qui va plancher sur la sécurité du système embarqué dans son ensemble, afin de vérifier que tout a bien été pensé et qu’aucune faille n’existe. Aujourd’hui, les systèmes embarqués sont présents dans beaucoup d’applications, telles que les clés de voiture, les badges d’accès ou les cartes de transport, mais seules les cartes à puce ayant un certificat de bon niveau sont susceptibles d’être utilisées dans des marchés à haut risque, par exemple les cartes bancaires ou les passeports électroniques. Les évaluateurs s’assurent aussi que le produit est conforme aux spécifications et que le système n’a pas de faille de conception : cela revient à s’assurer que le métal du coffre-fort a la bonne épaisseur et que la combinaison est assez complexe par exemple.</p>
<h2>Quelles stratégies pour attaquer un cryptosystème ?</h2>
<p>Mais ce n’est pas tout. La fiabilité dépend aussi de l’environnement du cryptosystème. Posséder un bon coffre-fort n’a pas d’intérêt, si un attaquant près du coffre est capable de faire exploser la porte à l’aide de dynamite, ou d’écouter les sons émis par la gâchette de la serrure avec un stéthoscope. Il faudrait soit garantir que le coffre-fort est bien enfermé et inaccessible, soit montrer qu’il peut résister à toutes les attaques d’un adversaire déterminé et très inventif.</p>
<figure class="align-center ">
<img alt="" src="https://images.theconversation.com/files/368262/original/file-20201109-17-1uoj0uo.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/368262/original/file-20201109-17-1uoj0uo.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=366&fit=crop&dpr=1 600w, https://images.theconversation.com/files/368262/original/file-20201109-17-1uoj0uo.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=366&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/368262/original/file-20201109-17-1uoj0uo.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=366&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/368262/original/file-20201109-17-1uoj0uo.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=459&fit=crop&dpr=1 754w, https://images.theconversation.com/files/368262/original/file-20201109-17-1uoj0uo.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=459&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/368262/original/file-20201109-17-1uoj0uo.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=459&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">Une carte SIM vue aux rayons X.</span>
<span class="attribution"><a class="source" href="https://commons.wikimedia.org/wiki/File:SIM-Card_X-ray_contrast.jpg">Joerns/Wikimedia</a>, <a class="license" href="http://creativecommons.org/licenses/by-sa/4.0/">CC BY-SA</a></span>
</figcaption>
</figure>
<p>Dans le cas d’un système embarqué tel que la carte à puce, il est difficile de s’assurer de son caractère inatteignable. En effet, tout le monde a dans sa poche une carte bancaire, une carte vitale ou un passeport. Une carte à puce même bien protégée est un objet qui circule dans un monde potentiellement hostile, où un attaquant peut décider d’« exploser sa carte » ou d’« écouter les sons émis par la puce ». Un pirate moderne utilisera plutôt un laser pour perturber le bon fonctionnement de la puce et obtenir des effets non appropriés, tandis que la mesure du courant de consommation via un oscilloscope remplacera avantageusement le stéthoscope. Avec un peu de finesse, ces techniques peuvent s’avérer payantes.</p>
<p>Les attaques connues sur les cartes à puce sont classées en deux catégories : les attaques logicielles, où l’adversaire utilise les bogues du système, et les attaques physiques, par perturbation ou par observation, où il a la possibilité d’agir sur l’environnement du système.</p>
<p>Imaginons par exemple qu’une carte bancaire vérifie que le code PIN saisi par un utilisateur soit correct : interrompre cette vérification grâce à un faisceau lumineux (le fameux laser), qui va perturber la puce au bon moment, peut faire accepter par la carte n’importe quel PIN. C’est une attaque « par perturbation ».</p>
<p>Un peu plus discrète, une attaque « par observation » va par exemple consister à mesurer le temps de réaction de la puce lorsqu’elle vérifie le fameux PIN : imaginons que la vérification s’arrête quand le premier chiffre du PIN saisi est faux (pas la peine de vérifier les chiffres suivants !), elle mettra alors plus de temps si seul le dernier chiffre est faux. Le temps de réponse aidera l’attaquant à trouver le bon PIN.</p>
<p>Dans le même esprit d’« observation », la consommation de puissance d’une puce peut être mesurée à l’aide d’un oscilloscope pendant qu’elle effectue un calcul cryptographique complexe : la puce consomme plus ou moins selon la nature du calcul qui est exécuté. Lorsque ce calcul utilise des morceaux de clé, la consommation varie suivant les valeurs de ces morceaux qu’on peut donc deviner en observant la consommation.</p>
<p>En tant qu’évaluatrices de la sécurité d’une carte à puce, nous nous mettons dans la peau d’un hypothétique attaquant et nous tentons d’imaginer toutes les façons d’accéder au cryptosystème et de le mettre en défaut.</p><img src="https://counter.theconversation.com/content/148512/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Les auteurs ne travaillent pas, ne conseillent pas, ne possèdent pas de parts, ne reçoivent pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'ont déclaré aucune autre affiliation que leur organisme de recherche.</span></em></p>Véritables coffres-forts modernes, les cartes à puces sont conçues pour résister aux attaques. Décodage avec des spécialistes en cryptographie.Cécile Dumas, Ingénieur-chercheur, Commissariat à l’énergie atomique et aux énergies alternatives (CEA)Eleonora Cagli, Ingénieur Chercheur, Commissariat à l’énergie atomique et aux énergies alternatives (CEA)Licensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1404592020-07-07T21:39:22Z2020-07-07T21:39:22ZFact check : L’application StopCovid contient-elle un mouchard ?<figure><img src="https://images.theconversation.com/files/344586/original/file-20200629-155303-pe9rh1.jpg?ixlib=rb-1.1.0&rect=0%2C0%2C1019%2C676&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">L'application StopCovid a été téléchargée par moins de 2 millions de personnes depuis son lancement le 2 juin 2020</span> <span class="attribution"><span class="source">Denis Charlet / AFP</span></span></figcaption></figure><p>Mardi 2 juin 2020, l’application StopCovid a fait son apparition sur l’Apple store et le Play store (Google). Conçue par plusieurs compagnies comme Dassault Système, Capgemini ou encore ATOS et pilotée par l’Institut national de recherche en informatique et en automatique (Inria), afin de faciliter le traçage de malades du Covid-19 et de leurs potentiels contacts, StopCovid avait été validée par l’<a href="http://www2.assemblee-nationale.fr/static/15/scrutins/scrutin_declaration_stopcovid_2020.pdf">Assemblée nationale et le Sénat</a> le 28 mai 2020. De sa conception à sa validation, l’application n’a toutefois jamais fait consensus, ses détracteurs craignant notamment pour la sécurité des données personnelles des utilisateurs.</p>
<p>Sur les réseaux sociaux, l’association <a href="https://www.laquadrature.net/">La Quadrature du Net</a>, qui promeut et défend les libertés fondamentales dans l’environnement numérique, s’est même inquiétée de la présence d’un « mouchard » : le système reCAPTCHA. Conçu et relié à Google, ce système d’identification enverrait des données relatives à notre navigation Internet directement à la compagnie étasunienne.</p>
<p>Les concepteurs de StopCovid ont-ils placé un « mouchard » dans l’application ? La réponse est « oui » et cela mérite une explication.</p>
<h2>Une demande d’avis et des inquiétudes</h2>
<p>Le 15 mai 2020, le ministre des Solidarités et de la Santé Olivier Véran a saisi la Commission nationale de l’informatique et des libertés (CNIL) pour qu’elle se prononce sur un projet de décret relatif à l’application mobile « StopCovid ».</p>
<p>Dix jours plus tard, la CNIL, qui a dû travailler dans l’urgence, rendait un <a href="https://www.cnil.fr/sites/default/files/atoms/files/deliberation-2020-056-25-mai-2020-avis-projet-decret-application-stopcovid.pdf">avis sur cette application</a>. Dans la note 77 de cet avis, la CNIL s’inquiète du fait que le ministère prévoit d’avoir recours à un « Captcha » (système automatisé qui permet de vérifier que l’application est bien utilisée par une personne physique), et que ce service serait assuré par un tiers. La commission s’alarme alors du fait que « le recours à ce service est susceptible d’entraîner la collecte de données personnelles non prévues dans le décret, des transferts de données hors de l’Union européenne, ainsi que des opérations de lecture/écriture qui nécessiteraient un consentement de l’utilisateur ».</p>
<p>Les Captcha sont des systèmes qui ont été mis en place pour lutter contre les robots spammeurs. En l’occurrence, pour l’application StopCovid, il s’agit d’être certain qu’une personne bien réelle l’utilise. Il existe différents Captcha élaborés par différentes sociétés. Les Captcha que l’on trouve le plus souvent sont des codes difficilement déchiffrables (chiffres et lettres) que la personne humaine doit retaper.</p>
<h2>Lignes de code</h2>
<p>Le 27 mai, sur Twitter, la <a href="https://twitter.com/laquadrature/status/1265574212451946497?s=19">Quadrature du Net révèle</a> que l’application StopCovid intègre un mouchard de Google, baptisé reCAPTCHA. Dans son Tweet, l’association renvoie vers les <a href="https://gitlab.inria.fr/stopcovid19/stopcovid-android/-/blob/master/stopcovid/src/main/res/values/untranslatable_strings.xml#L90">lignes de code sur le site web de l’Inria</a> où l’on voit effectivement, distinctement, le recours aux services de Google.</p>
<p>La Quadrature du Net s’émeut aussi du fait que, si ce mouchard demeure dans l’application, le gouvernement n’aurait donc pas respecté ses engagements, alors que Cédric O, secrétaire d’État chargé du numérique, avait évoqué l’importance du principe de <a href="https://twitter.com/cedric_o/status/1248121148883308544">« souveraineté numérique »</a> quelques semaines plus tôt devant le Sénat.</p>
<figure class="align-center ">
<img alt="" src="https://images.theconversation.com/files/344592/original/file-20200629-155345-v3f3jp.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/344592/original/file-20200629-155345-v3f3jp.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=400&fit=crop&dpr=1 600w, https://images.theconversation.com/files/344592/original/file-20200629-155345-v3f3jp.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=400&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/344592/original/file-20200629-155345-v3f3jp.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=400&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/344592/original/file-20200629-155345-v3f3jp.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=502&fit=crop&dpr=1 754w, https://images.theconversation.com/files/344592/original/file-20200629-155345-v3f3jp.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=502&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/344592/original/file-20200629-155345-v3f3jp.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=502&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">Cédric O sécrétaire d’État chargé du numérique.</span>
<span class="attribution"><span class="source">Ludovic Marin/AFP</span></span>
</figcaption>
</figure>
<p>En réalité, l’intégralité du processus devait rester à l’intérieur des frontières européennes sans avoir recours aux services de Google ou d’Apple. C’est pourquoi l’application a été pilotée par l’Inria.</p>
<h2>La réponse dans le code source</h2>
<p>Alors, qu’en est-il ? L’application StopCovid contient-elle toujours ce mouchard ? Ou bien le gouvernement a-t-il entendu les craintes de la CNIL et par conséquent demandé à l’Inria d’utiliser une technologie Captcha alternative à celle de Google ?</p>
<p>Pour répondre à cette question, il suffit de se rendre sur le <a href="https://gitlab.inria.fr/stopcovid19/stopcovid-android/-/blob/master/stopcovid/src/main/res/values/untranslatable_strings.xml#L90">site web de l’Inria</a> et de lire le code source, où l’on trouve encore la référence au reCAPTCHA de Google.</p>
<p>Donc, oui, à l’heure actuelle, l’application StopCovid contient bien un « mouchard » comme l’affirme la Quadrature du Net, puisqu’elle peut permettre d’enregistrer au passage l’adresse IP (Internet Protocol) des téléphones où l’application est installée, ce qui apparaît en contradiction avec les principes de consentement <em>privacy-by-design</em> (principes du consentement qui doivent être pris en compte dès la conception de l’application) du Règlement général sur la protection des données européen (RGPD) défendu par la CNIL. Il s’agit bien d’une donnée à caractère personnel ; l’application n’est donc pas entièrement anonyme comme cela avait été annoncé depuis le début.</p>
<p>Sommé de s’expliquer sur la question, Cédric O explique dans un <a href="https://www.nextinpact.com/brief/stopcovid---captcha-souverain--transparence-sur-le-cout-et-indignation--cedric-o-repond-12709.htm">entretien</a> que le reCAPTCHA de Google « seul élément qui n’a pas été fait par nous », aurait été choisi car « sur la version mobile, il n’y avait pas d’autres Captcha qui existaient et qui étaient capables d’encaisser le choc de plusieurs millions d’interactions ».</p>
<p>Il est intéressant de noter qu’un <a href="https://www.webrankinfo.com/dossiers/produits-google/no-captcha-recaptcha">travail serait en cours avec Orange</a> afin de pouvoir se passer des services de Google et de son reCAPTCHA ; cette solution pourrait être disponible prochainement. Si Orange parvient à ses fins, il n’y aura donc plus alors de « mouchard » à déplorer dans l’application StopCovid. Reste à savoir quand Orange finalisera ce travail et si, à ce moment-là, il sera encore pertinent d’utiliser l’application…</p>
<h2>Un mouchard peut en cacher un autre</h2>
<p>On pourrait en définitive considérer que ce « mouchard » n’est pas intentionnel mais dû à un effet de bord causé par l’absence de solution alternative, ce qui resterait toutefois à prouver. Cependant, un <a href="https://www.lemonde.fr/pixels/article/2020/06/16/l-application-stopcovid-collecte-plus-de-donnees-qu-annonce_6043038_4408996.html">article du Monde</a> évoque une tout autre intrusion, bien plus perverse, dont on peut douter qu’elle ne soit pas intentionnelle.</p>
<p>Dans cet article, Gaëtan Leurent, chercheur français en cryptographie à l’Inria, explique qu’il a découvert, sur la plate-forme de développement de l’application StopCovid, que tous les contacts des personnes croisées, quelle que soit la durée des contacts, pendant les 14 derniers jours, sont envoyés au serveur central hébergeant les données liées à l’application. « StopCovid envoie donc une grande quantité de données au serveur qui n’a pas d’intérêt pour tracer la propagation du virus, mais qui pose un vrai danger pour la vie privée » précise le chercheur dans les lignes du Monde.</p>
<p>Les justifications fournies par le secrétaire d’État au numérique paraissent sujettes à caution. <a href="https://www.mediapart.fr/journal/france/150620/stopcovid-l-appli-qui-en-savait-trop">Contacté par Mediapart</a>, le secrétariat d’État au numérique n’a pas remis en cause ces révélations, mais a voulu les justifier. Il explique que tous les quarts d’heure, un nouvel identifiant est attribué à chaque appareil. Ainsi, un contact qui ne durerait que cinq minutes pourrait être la suite d’un contact de douze minutes : deux contacts que seul le serveur est capable de relier pour comprendre qu’il s’agit, en réalité, d’un seul, de 17 minutes, donc à risques.</p>
<p>Ces explications ne convainquent pas le chercheur Gaëtan Leurent, qui pense « qu’il y aurait des moyens assez simples de limiter le problème : le téléphone pourrait filtrer les données pour ne garder les contacts courts que quand ils sont juste avant ou juste après un changement d’identifiant. »</p>
<p>Le plus inquiétant étant que les explications du secrétaire d’État interviennent après le déploiement de l’application. Si tout cela était avéré, il faudrait être davantage inquiet de ce second mouchard que du Captcha !</p>
<hr>
<p><em>Ce fact-check a été réalisé en partenariat avec la filière Journalistes et Scientifiques de l’ESJ de Lille.</em></p><img src="https://counter.theconversation.com/content/140459/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Florence Rodhain ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>L’application StopCovid téléchargeable depuis le 2 juin 2020, pour permettre un meilleur traçage des malades, est décriée par les spécialistes qui s’inquiètent de la présence d’un « mouchard ».Florence Rodhain, Maître de Conférences HDR en Systèmes d'Information, Université de MontpellierLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1401102020-06-09T18:05:44Z2020-06-09T18:05:44ZStopCovid : « un million d'utilisateurs » et quelques réserves non dissipées<p>Disponible depuis le 2 juin, l’application StopCovid, qui avertit son utilisateur d’un éventuel contact avec une personne infectée par le coronavirus, a dépassé le « <a href="https://www.leparisien.fr/societe/l-application-stopcovid-a-ete-activee-plus-d-un-million-de-fois-en-moins-de-cinq-jours-06-06-2020-8330931.php">cap du million d’utilisateurs</a> », a annoncé le 6 juin Cédric O, secrétaire d’État au numérique. Lors de sa prise de parole, ce dernier a également précisé que ce chiffre correspondait à l’activation de l’application et non à son simple téléchargement.</p>
<p>Mais derrière cette adoption subsistent toujours des craintes liées à une dérive potentielle de son utilisation vers la surveillance de masse. De plus, des interrogations sur son utilité réelle persistent.</p>
<p>Notre analyse des commentaires spontanés laissés sur les sites de presse et les réseaux sociaux nous permet de constater que les réactions la concernant sont controversées. Ainsi, loin d’être consensuelle, l’application soulève questions et défis quant à son adoption par la population.</p>
<h2>Une efficacité liée au taux d’adoption</h2>
<p>Dès 2019, dans ses recommandations sur le recours aux technologies numériques pour améliorer la santé des populations, l’Organisation mondiale de la santé (OMS) <a href="https://www.who.int/fr/news-room/detail/17-04-2019-who-releases-first-guideline-on-digital-health-interventions">soulignait</a> tout le potentiel des outils digitaux pour établir des relations plus personnalisées avec les patients.</p>
<p>Dans le contexte de déconfinement, les applications mobiles font partie des dispositifs possibles pour analyser, contrôler ou conseiller les individus, et ainsi éviter un rebond épidémique.</p>
<p>L’efficacité de ces applications « servicielles », qui construisent leur proposition de valeur sur l’utilité et la praticité et cherchent à faire de <a href="https://afmmarketingblog.wordpress.com/2019/07/11/des-smart-apps-qui-vous-veulent-du-bien-les-marques-sont-elles-des-coachs-legitimes-pour-leurs-clients/">« bons comportements »</a> par les individus, a été étudiée dans le domaine de la santé (lutte contre l’obésité, appropriation des solutions thérapeutiques) ou de la consommation durable (lutte anti-gaspillage).</p>
<p>Ces outils sont de deux natures : conseil ou contrôle. Dans le cas de la crise du Covid-19, selon le <a href="http://tnova.fr/system/contents/files/000/001/958/original/Terra-Nova_Cycle_Covid-19_Quelle-reponse-numerique-face-a-la-crise-covid19_040420.pdf">think tank Terra Nova</a>, elles ont pour rôle de « permettre un suivi individualisé de l’épidémie et d’automatiser les contrôles jusqu’alors assurés manuellement par les autorités sanitaires ».</p>
<p>En effet, le « <a href="https://www.who.int/news-room/q-a-detail/contact-tracing">contact tracing</a> » (traçage des contacts) est un dispositif de santé publique utilisé dans la surveillance et la lutte contre la propagation des virus qui, à l’origine, repose sur le travail d’enquêteurs. Avec la pandémie de Covid-19, le débat s’est focalisé sur les applications mobiles pour automatiser ce contact.</p>
<p>Le principe est le suivant : une fois installée sur le smartphone, l’application mémorise les personnes croisées (à <a href="https://sante.journaldesfemmes.fr/fiches-maladies/2630463-stop-covid-application-tracing-contact-coronavirus-c-est-quoi-gouvernement-obligatoire-autorise-lancement-sortie-2-juin-disponible-telecharger-combien-fois-cnil-controle/">moins d’un mètre pendant 15 minutes</a>), volontairement ou non. Elle enregistre ainsi tous les contacts que chaque utilisateur a eus avec d’autres personnes équipées de l’application. Si un individu de la chaîne de contacts se déclare positif sur l’application, celle-ci informe ses membres via une notification.</p>
<p>Les personnes alertées peuvent se faire dépister et reçoivent des conseils sur le bon comportement à adopter, à savoir : s’isoler, limiter ses déplacements, porter un masque et consulter un médecin afin de briser les chaînes de transmission du virus.</p>
<p>Ainsi le succès de l’application est notamment conditionné à l’adoption massive de l’outil et à la bonne foi des utilisateurs (accepter de se déclarer positif au virus), ce qui pose les questions du caractère volontaire de son téléchargement et de la technologie utilisée (GPS, Bluetooth, stockage des données, etc.).</p>
<p>À ce jour, plusieurs pays ont étudié cette piste et mis en œuvre des solutions digitales de lutte contre la propagation du Covid-19. La <a href="https://medium.com/@mounir/tra%C3%A7age-des-donn%C3%A9es-mobiles-dans-la-lutte-contre-le-covid-19-e718b1e15dfb">note</a> de l’ancien secrétaire d’État Mounir Mahjoubi permet d’identifier quatre critères essentiels pour les distinguer :</p>
<ul>
<li><p>le caractère obligatoire ou non de leur utilisation ;</p></li>
<li><p>l’objectif poursuivi : cibler l’individu (gérer la contamination individuelle) ou le collectif (savoir où mener des campagnes de tests) ;</p></li>
<li><p>le comportement souhaité de l’utilisateur : rester confiné, se tester ou éviter les zones à risque ;</p></li>
<li><p>l’usage des données : transmission des informations à l’individu uniquement ou à des tiers.</p></li>
</ul>
<p>Le taux d’adoption de ces applications reste faible dans certains pays comme Singapour où seulement <a href="https://www.sciencesetavenir.fr/sante/e-sante/a-singapour-l-echec-d-une-application-mobile-de-distance-sociale_143778">19 %</a> des citoyens en sont équipés. De plus, il reste difficile d’établir le pourcentage auquel il devient efficace. En effet, malgré un taux de 40 % en Islande, <a href="https://www.technologyreview.com/2020/05/11/1001541/iceland-rakning-c19-covid-contact-tracing/">« cela n’a pas changé la donne »</a> ; pire, certaines tentatives se sont soldées par des <a href="https://www.theguardian.com/world/2020/may/27/qatar-contact-tracing-app-1m-people-sensitive-data-at-risk-coronavirus-covid-19?utm_term=Autofeed&CMP=twt_gu&utm_medium&utm_source=Twitter%2523Echobox=1590597149">piratages</a>, comme au Qatar.</p>
<p>Le 25 mai dernier, Cédric O estimait néanmoins que l’application StopCovid se révèlerait efficace « <a href="https://www.lefigaro.fr/politique/cedric-o-sous-reserve-du-vote-au-parlement-ce-service-pourrait-etre-disponible-des-ce-week-end-20200525">à partir de 10 %</a> de personnes qui l’utilisent dans un bassin de vie » du fait de son « efficacité systémique pour diminuer la diffusion de l’épidémie ».</p>
<h2>Quid de l’application « made in France » ?</h2>
<p>En France, ces dernières semaines, les médias se sont fait l’écho des débats politiques, des prises de parole des experts techniques évoquant les <a href="https://risques-tracage.fr/">dangers potentiels</a> de ces applications. La Commission nationale de l’informatique et des libertés (CNIL) <a href="https://www.cnil.fr/fr/la-cnil-rend-son-avis-sur-les-conditions-de-mise-en-oeuvre-de-lapplication-stopcovid">a estimé</a> que :</p>
<blockquote>
<p>« (Une application comme StopCovid) peut être légalement déployée dès lors qu’elle apparaît être un instrument complémentaire du dispositif d’enquêtes sanitaires manuelles et qu’elle permet des alertes plus rapides en cas de contact avec une personne contaminée, y compris pour des contacts inconnus. »</p>
</blockquote>
<p>Les craintes restent néanmoins vives et motivent des mouvements de résistance plus ou moins organisés. La quadrature du net, association de défense des libertés sur Internet, appelle ainsi à un <a href="https://www.laquadrature.net/2020/04/14/nos-arguments-pour-rejeter-stopcovid/">rejet total de l’application</a>. Sur Twitter, un <a href="https://twitter.com/StopCovidApp">compte parodique</a> reprend et détourne les <a href="https://twitter.com/StopCovidApp/status/1266046221493383169">codes de communication officiels</a> pour la promouvoir.</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"1268178843501842440"}"></div></p>
<p>L’organisation non gouvernementale <a href="https://www.bayesimpact.org/">Bayes Impact</a> a conçu le site <a href="https://www.briserlachaine.org/accueil">Briser la Chaîne</a> pour « participer à préserver la santé de ses usagers tout en veillant à garantir leur droit au respect de la vie privée ». Elle propose un système d’accompagnement individuel pour aider le malade à se souvenir pas à pas des personnes avec qui il a été en contact durant sa période de contagiosité.</p>
<p>Ces initiatives témoignent du fossé entre le discours officiel et les réactions des internautes. L’analyse de ces réactions sur les réseaux sociaux et dans les commentaires d’articles de presse permet d’identifier trois types de freins à l’adoption de l’application : politiques, fonctionnels et liés aux préoccupations pour la vie privée.</p>
<p>Les discours font apparaître un manque de légitimité des autorités au niveau des compétences et des objectifs : quelles sont les intentions gouvernementales ? L’application restreint-elle les libertés ?</p>
<p>Les individus craignent donc d’être surveillés individuellement comme collectivement et perçoivent ces applications comme fortement intrusives, car elles supposent un contrôle de chacun et une collecte des données. De plus, elles possèdent un caractère culpabilisant, voire <a href="https://datacovid.org/covid-19-quand-culpabilisation-et-infantilisation-diminuent-lefficacite-de-lappel-a-la-responsabilite-individuelle/">infantilisant</a>.</p>
<p>Au-delà de ces considérations, des usagers se posent des questions quant à l’utilité et l’efficacité de ces applications dans la lutte contre le Covid-19.</p>
<p>Toutefois, il existe des internautes favorables à l’application, mais ces derniers mettent en balance ces freins avec des préoccupations d’ordre économique et sanitaire. Par peur de voir l’épidémie se poursuivre et la crise économique s’amplifier, certains sont prêts à accepter cet outil, mais seulement s’il permet de réduire véritablement les risques et les impacts encourus. Or, comment le leur garantir ?</p>
<h2>Répondre officiellement aux craintes</h2>
<p>Une solution digitale techniquement performante sur le papier peut se révéler inefficace si la population n’y adhère pas sur le principe. La prise en compte des aspects psychologiques est cruciale pour comprendre et anticiper le comportement des citoyens face à leur résistance aux <a href="https://onlinelibrary.wiley.com/doi/abs/10.1111/jpim.12463">innovations technologiques</a>.</p>
<p>Ainsi, accompagner la mise en place d’une application de « contact tracing » implique de créer un environnement socioculturel favorable ainsi qu’une communication adaptée à son téléchargement.</p>
<p>Trois pistes d’arguments sont mobilisables dans une communication officielle :</p>
<ul>
<li><p>le bénéfice : la communication doit-elle mettre en avant un bénéfice individuel-égoïste (protéger sa propre santé) ou un bénéfice collectif-altruiste (éviter la propagation du virus) ?</p></li>
<li><p>les garde-fous technologiques : face aux préoccupations en matière de vie privée, comment garantir la transparence quant au devenir des données recueillies ?</p></li>
<li><p>la source de la solution technologique : l’analyse des discours en ligne montre l’importance de la fiabilité et de l’expertise de la source et donc de sa crédibilité. À quelle source faire confiance sans avoir peur d’être trompé ou manipulé ? Quelle source mettre en avant dans la communication pour l’adoption de l’application ?</p></li>
</ul>
<p>Ces arguments en matière de communication sont à prendre avec précautions, car une autre forme de résistance peut se manifester envers les messages publicitaires incitant à son adoption. Cette résistance à la publicité <a href="https://www.editions-ems.fr/revues/decisions-marketing/articlerevue/884-les-consommateurs-resistants-a-la-publicite-leurs-principales-actions-et-motivations.html">remettrait en cause</a> l’efficacité des modes de communication utilisés.</p>
<p>Ainsi, seule une analyse approfondie de la corrélation entre contenu des messages gouvernementaux et taux d’adoption réel de l’application StopCovid nous permettra de juger de l’efficacité de la communication contre la défiance actuelle des Français.</p>
<p>De plus, une analyse de l’évolution du nombre de téléchargements et de l’utilisation effective de l’application sur la durée restera nécessaire pour conclure sur la capacité du gouvernement à convaincre les résistants de la première heure.</p><img src="https://counter.theconversation.com/content/140110/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Les auteurs ne travaillent pas, ne conseillent pas, ne possèdent pas de parts, ne reçoivent pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'ont déclaré aucune autre affiliation que leur organisme de recherche.</span></em></p>Une analyse des réactions des internautes indique l’existence de barrières d’ordre politique, fonctionnel et éthique quant à l’utilisation de cet outil de traçage.Béatrice Siadou-Martin, Professeur des universités en sciences de gestion, Université de LorraineChristine Gonzalez, Professeur des universités en sciences économiques et de gestion, Le Mans UniversitéInès Chouk, Enseignante-chercheuse à Paris Cergy Université / Résistance aux innovations technologiques, CY Cergy Paris UniversitéJean-Marc Ferrandi, Professeur Marketing et Innovation à Oniris, Université de NantesZied Mani, Maître de Conférences en Sciences de Gestion, Université de NantesLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1385782020-06-02T17:35:45Z2020-06-02T17:35:45ZLes cyberattaques ont changé de nature pendant le Covid-19<figure><img src="https://images.theconversation.com/files/338281/original/file-20200528-51509-1259zoy.jpg?ixlib=rb-1.1.0&rect=6%2C9%2C2026%2C1220&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Cours sur les cyberattaques, US Air Force, 2018.</span> <span class="attribution"><a class="source" href="https://www.flickr.com/photos/airmanmagazine/42103591411/">Al Bright/US Air Force</a>, <a class="license" href="http://creativecommons.org/licenses/by-nc/4.0/">CC BY-NC</a></span></figcaption></figure><p>Si les crises, en tant que vecteurs de destruction de valeur ou de cohésion sociale constituent souvent des opportunités de profits supplémentaires pour des délinquants habiles, l’avènement d’un monde hyperconnecté constitue un vecteur d’impact incomparable pour les cybercriminels. </p>
<p>Ces derniers tirent parti de l’ensemble des vulnérabilités offertes par l’utilisation des « systèmes d’information » (SI) par l’ensemble des organisations modernes. Toutefois, la crise actuelle du Covid-19 semble engendrer une rupture de paradigme dans ce domaine, non seulement par l’ampleur des attaques menées, mais surtout eu égard aux cibles choisies. Ainsi, même des organisations épargnées jusqu’alors en période de crise font dorénavant l’objet d’attaques massives et ce phénomène inédit conduit à s’interroger sur une nécessaire adaptation du management stratégique.</p>
<h2>Des crises comme catalyseurs d’attaques</h2>
<p>La crise de 2008 a constitué un tournant en tant qu’elle a induit de nombreuses cyberattaques contre des institutions (Dexia, Nasdaq) ou des particuliers (fausses opportunités d’investissements prenant prétexte des faillites, phishings visant à pirater des comptes…), toutefois celles-ci <a href="https://www.journaldunet.com/solutions/dsi/1020408-le-phishing-exploite-la-crise-financiere-americaine/">visaient principalement</a> le secteur financier.</p>
<p>Une deuxième étape fut ensuite franchie à l’occasion des attentats terroristes de 2015, dans la mesure où immédiatement après les attaques contre <em>Charlie Hebdo</em> et l’Hypercacher, plus de 20 000 sites de collectivités territoriales et d’entreprises furent touchés principalement par du « défaçage » (technique consistant à modifier la page de garde d’un site Web). À cela se sont ajoutées fausses <a href="https://www.generation-nt.com/on-est-tous-pars-faux-mail-canular-malware-psychose-actualite-1921692.html">rumeurs</a> et <a href="http://cybersecurite.over-blog.com/2015/01/risque-d-infection-virale-avec-le-hashtag-jesuischarlie.html">prises de contrôle à distance de smartphones</a>. C’était la première fois qu’une crise civile autre qu’économique était utilisée par des cybercriminels.</p>
<p>Bien plus qu’une étape supplémentaire, la crise liée au coronavirus constitue une véritable rupture en matière de cyberdélinquance. Comme l’indique le <a href="https://www.europol.europa.eu/publications-documents/pandemic-profiteering-how-criminals-exploit-covid-19-crisis">rapport de mars 2020 d’Europol</a>, jamais le nombre de cyberattaques n’a été aussi élevé : « L’impact de la pandémie Covid-19 sur la cybercriminalité a été le plus visible et le plus frappant par rapport à d’autres activités criminelles », sachant que le succès de ces arnaques repose en partie sur l’angoisse ressentie par de nombreuses personnes face au virus et qui se trouve exacerbé par le fait d’être confiné dans un espace clos. Les cyber-escroqueries se sont ainsi multipliées, à l’image de <a href="https://fr.euronews.com/2020/03/28/covid-19-la-cybercriminalite-et-les-arnaques-en-hausse-d-apres-europol">sites de vente de produits contrefaits (tests d’infection, masques, flacons de gel hydroalcoolique…)</a>.</p>
<p>Mais, au-delà des menaces pesant sur les individus, le travail à distance constitue une autre source majeure de vulnérabilité pour les organisations, étant donné que de nombreux salariés confinés utilisent souvent – que ce soit du fait de l’absence de matériel professionnel dédié ou par confort – leurs propres outils informatiques pour travailler à distance. Or ceux-ci ne faisant pas partie du système d’information de l’organisation, ils ne disposent pas des mêmes mesures de sécurisation que les matériels internes et leur usage est de nature à induire une pénétration du SI interne de l’entreprise. Le piratage de ces périphériques extérieur peut donc aller jusqu’à la destruction ou le vol de données à caractère stratégique ou personnel.</p>
<p>À cela s’ajoutent les vulnérabilités exploitées par les cyberpirates dans les outils de travail à distance à l’image du <a href="https://www.zdnet.fr/actualites/l-internet-regorge-desormais-d-endroits-ou-vous-pouvez-organiser-des-raids-sur-zoom-39901729.htm">« Zoom bombing »</a>, procédé permettant de perturber le bon fonctionnement des téléconférences au travers notamment de messages injurieux et qui a fortement perturbé les cours à distance et les examens de plusieurs universités américaines (Oakland, Berkeley et Duke). La capacité offerte par cette faille de fausser les informations échangées a même conduit à l’émission, par l’agence américaine pour la cybersécurité et la protection des infrastructures (CISA), d’un <a href="https://www.us-cert.gov/ncas/alerts/aa20-099a">bulletin d’alerte</a> appelant à n’utiliser que des logiciels disposant d’un haut niveau de sécurité.</p>
<h2>La crise du Covid-19 : un changement de paradigme</h2>
<p>Mais, au-delà ce ces différents types d’attaques, force est de constater qu’avec la crise du coronavirus une barrière invisible est tombée en matière de cybercriminalité : jusqu’alors – vraisemblablement du fait de leur rôle d’acteurs majeurs de santé publique –, les établissements de soins constituaient des infrastructures bien moins soumises aux cyberattaques en temps de crise que d’autres organisations publiques ou du secteur marchand, attaquées quant à elles quasi-quotidiennement.</p>
<p>Depuis le début de la pandémie, les exemples d’attaques contre les systèmes d’information des hôpitaux et établissements de santé se multiplient <a href="https://www.coe.int/fr/web/cybercrime/-/cybercrime-and-covid-19">dans de nombreux pays</a>, alors même que personne ne peut dorénavant ignorer que de nombreuses vies sont en jeu. Ces intrusions constituent donc une évolution majeure en ce sens que désormais, même la vie humaine n’est plus respectée par certains groupes de hackers, <em>a contrario</em>, du « Maze Team ransomware gang » qui a <a href="https://securityboulevard.com/2020/03/maze-other-ransomware-groups-say-they-wont-attack-hospitals-during-covid-19-outbreak-but-how-trustworthy-is-their-word/">annoncé officiellement</a> renoncer à toutes attaques de type Randsomware contre des hôpitaux durant toute la crise du Covid-19, mais quel crédit apporter à cette promesse ?</p>
<p>Alors que leurs personnels luttent chaque jour vaillamment pour sauver le maximum de vies, de <a href="https://www.usine-digitale.fr/article/en-pleine-pandemie-de-covid-19-l-ap-hp-est-victime-d-une-attaque-par-deni-de-service.N944741">nombreux hôpitaux</a> ont été attaqués dans différents pays, tout comme des <a href="https://healthitsecurity.com/news/another-covid-19-research-firm-targeted-by-ransomware-attack?">laboratoires spécialisés</a> dans la recherche sur les vaccins. Mais à cela s’ajoute un autre phénomène nouveau : les atteintes aux organisations nationales et internationales de santé publique. Ainsi, le département en charge de la lutte contre le Covid-19 de l’agence fédérale américaine de santé (HSS) a été <a href="https://www.reuters.com/article/us-healthcare-coronavirus-usa-cyberattac/cyberattack-hits-u-s-health-department-amid-coronavirus-crisis-idUSKBN21320V">victime d’une cyberattaque</a> en mars dernier, tout comme la <a href="https://ici.radio-canada.ca/nouvelle/1690510/inps-italia-italie-pirate-aide-financiere-covid-19-coronavirus-confinement-gouvernement">sécurité sociale italienne (INPS)</a>, alors même que ces deux pays sont parmi les plus touchés au monde par l’épidémie.</p>
<p>Des hackers ont même cherché à utiliser le nom de l’Organisation mondiale de la Santé (OMS) pour <a href="https://www.who.int/about/communications/cyber-security">tenter d’extorquer</a> des informations personnelles à leurs victimes. Et tout pourrait n’être que marginal par rapport à ce qu’engendreraient des cyberattaques contre les systèmes d’information industriels des secteurs concernés.</p>
<h2>Un nouveau cadre stratégique</h2>
<p>Jamais l’analogie entre virus biologique et informatique n’a semblé aussi pertinente. Le concept de risque se jouant des frontières entre les disciplines, il nous semble indispensable d’analyser ce changement de paradigme du point de vue des sciences de gestion. En effet, s’il apparaît clairement qu’une organisation moderne peut difficilement faire l’économie de se positionner vis-à-vis des risques numériques et d’intégrer ces derniers dans sa réflexion stratégique, il apparaît que c’est encore très peu souvent le cas. L’augmentation spectaculaire des cyberattaques durant la crise du Covid-19 nous paraît de nature à induire une nécessaire réflexion sur la nécessité de mieux prendre en compte les organisations de hackers en matière de management stratégique au sein des organisations. Cette prise en compte structurelle des hackers par les décideurs constituerait une étape importante susceptible de favoriser la résilience numérique de l’ensemble des organisations publiques et privées et non plus seulement des <a href="https://fr.wikipedia.org/wiki/Op%C3%A9rateur_d%27importance_vitale">opérateurs d’importance vitale</a>.</p>
<hr>
<p><em>Cet article a été rédigé à la suite d’un appel à contributions flash de la Revue française de gestion dans le contexte de la crise sanitaire engendré par le virus responsable de l’épidémie de Covid-19.</em></p><img src="https://counter.theconversation.com/content/138578/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Rémy Février ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>Des attaques contre des hôpitaux, systèmes de santé et l’OMS montrent un changement de paradigme, qui nécessite une évolution du management stratégique.Rémy Février, Maître de Conférences en Sciences de Gestion - EESD, Conservatoire national des arts et métiers (CNAM)Licensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1295722020-01-28T17:32:02Z2020-01-28T17:32:02ZCybercriminalité : les coûts des dégâts sous-estimés<figure><img src="https://images.theconversation.com/files/309018/original/file-20200108-107243-1xcv8z9.jpg?ixlib=rb-1.1.0&rect=0%2C8%2C5815%2C3871&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Phénomène désormais ancré sur le marché mondial, la cybercriminalité sous toutes ces formes s'industrialise véritablement.</span> <span class="attribution"><a class="source" href="https://image.shutterstock.com/image-photo/abstract-image-hacker-reach-hand-600w-1044059527.jpg">Preechar Bowonkitwanchai / Shutterstock</a></span></figcaption></figure><p>L’évaluation de l’ampleur de l’économie du piratage, qui s’est largement <a href="https://www.amf-france.org/Actualites/Communiques-de-presse/AMF/annee-2019?docId=workspace%3A%2F%2FSpacesStore%2F473f5539-a26c-45a6-8c9f-f237212b64fa">industrialisée</a> ces dernières années, se structure aujourd’hui autour de trois grandeurs principales, à savoir :</p>
<ul>
<li><p>Le coût pour les victimes, qui correspond à un préjudice ou encore une destruction de valeur, une sorte de destruction intérieure brute (DIB, ou PIB négatif).</p></li>
<li><p>Le revenu brut, c’est-à-dire les rentrées d’argent pour les pirates, autrement dit leur chiffre d’affaires.</p></li>
<li><p>Le revenu net, en d’autres termes le bénéfice qu’ils en retirent, frais déduits.</p></li>
</ul>
<p>Une quatrième grandeur s’ajoute, qui concerne le revenu net par tête – par pirate –, et qui oblige à tenir compte de leur organisation et des clés de répartition des bénéfices entre membres. Tenir compte donc du nombre de membres, exercice qui conduit à dépasser les descriptions fantasmées du petit génie de l’informatique solitaire – pour les cryptovirus – ou de l’escroc au beau parler – pour les <a href="https://www.police-nationale.interieur.gouv.fr/Actualites/Dossiers/Cybercrime/L-arnaque-au-president-ou-escroquerie-aux-faux-ordres-de-virement-FOVI">fraudes au président</a> (qui consistent à se faire passer pour le dirigeant d’une entreprise afin d’obtenir un paiement indu).</p>
<h2>80 à 100 millions d’euros volés par an</h2>
<p>Une confusion usuelle entre ces indicateurs empêche de comprendre le coût réel de ces piratages et escroqueries. Prenons l’exemple des fraudes au président pour lesquelles l’Office central de la répression de la grande délinquance financière donnait une estimation de <a href="https://www.police-nationale.interieur.gouv.fr/Actualites/Dossiers/Cybercrime/L-arnaque-au-president-ou-escroquerie-aux-faux-ordres-de-virement-FOVI">485 millions sur cinq ans</a>, soit une fourchette plancher de 80 à 100 millions volés annuellement aux entreprises françaises.</p>
<p>Ces minimas, sur un sujet où l’omerta reste forte, laissent entrevoir un montant réel entre 100 et 200 millions, que l’on espère en baisse désormais par l’effet pédagogique des cas advenus.</p>
<figure class="align-center ">
<img alt="" src="https://images.theconversation.com/files/309031/original/file-20200108-107249-3pvcjr.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/309031/original/file-20200108-107249-3pvcjr.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=397&fit=crop&dpr=1 600w, https://images.theconversation.com/files/309031/original/file-20200108-107249-3pvcjr.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=397&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/309031/original/file-20200108-107249-3pvcjr.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=397&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/309031/original/file-20200108-107249-3pvcjr.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=499&fit=crop&dpr=1 754w, https://images.theconversation.com/files/309031/original/file-20200108-107249-3pvcjr.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=499&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/309031/original/file-20200108-107249-3pvcjr.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=499&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">Les montants dérobés par la technique de la fraude au président se chiffreraient entre 100 et 200 millions d’euros.</span>
<span class="attribution"><a class="source" href="https://image.shutterstock.com/image-photo/internet-theft-gloved-hand-reaching-600w-115174897.jpg">David Evison/Shutterstock</a></span>
</figcaption>
</figure>
<p>Or ces montants seraient à tort interprétés comme étant le coût total pour les victimes, quant à lui différent ; ainsi pour cette société française ayant déposé son bilan après avoir subi une ponction sur ses comptes de 1,3 million d’euros, mais qui laisse un coût bien supérieur pour l’actionnaire, pour les employés mis au chômage et pour les collectivités locales.</p>
<p>Les 100 à 200 millions volés sur des comptes bancaires correspondent en fait au revenu brut des pirates, somme bientôt amputée lors d’une succession de transferts bancaires parcourant la planète. Ces étapes de noircissement puis blanchiment d’argent ne sont en effet pas gratuites. Les prestataires qui manient l’argent sale captent une part du gâteau, et l’achat des protections politiques ou mafieuses dans des pays où la spécialisation criminelle informatique tend vers son industrialisation reste également à prendre en compte.</p>
<h2>Des rançons aux effets sur l’économie réelle</h2>
<p>Cette cascade de chiffres allant du préjudice pour le piraté au bénéfice dépensable par le pirate, est de surcroît l’objet d’erreurs méthodologiques : au niveau des victimes, outre l’habituelle confusion entre perte de chiffre d’affaires et coût effectif de l’attaque, une erreur fréquente tient dans le fait d’additionner des coûts individuels pour croire obtenir des coûts collectifs.</p>
<p>De manière prudente, l’évaluation chez les entreprises françaises des dégâts dus au chiffrement de données par des cryptovirus, parvient à un plancher annuel d’environ <a href="https://www.irt-systemx.fr/wp-content/uploads/2017/10/ISX-IC-Cyber-Risque.pdf">2 milliards d’euros</a>, dont une moitié provient des petites entreprises.</p>
<p>Toutefois ce chiffre compilateur de dégâts individuels ne prétend pas exprimer celui que subit la collectivité, car telle usine fermée deux semaines suite à attaque (y causant une perte) fera parfois le bonheur de son concurrent (lui procurant un gain), telle dépense de restauration du système d’information sera facturée par un prestataire informatique quant à lui bénéficiaire de l’évènement.</p>
<p>Se dévoile ainsi le paradoxe de ces piratages, qui à la fois attestent de l’imperfection de notre environnement numérique, mais procurent des <a href="https://www.confiance-numerique.fr/wp-content/uploads/2017/07/Observatoire-ACN-filiere-Confiance-numerique-Septembre2017.pdf">revenus aux acteurs de cet environnement</a> : le monde des informaticiens ne souffre pas directement des failles dont il est l’auteur. Il serait d’ailleurs intéressant de calculer si le revenu légal tiré de la correction de ces dysfonctionnements est ou non inférieur au revenu illégal des pirates utilisateurs de ces failles.</p>
<figure class="align-center ">
<img alt="" src="https://images.theconversation.com/files/309112/original/file-20200108-107235-1headsv.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/309112/original/file-20200108-107235-1headsv.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=443&fit=crop&dpr=1 600w, https://images.theconversation.com/files/309112/original/file-20200108-107235-1headsv.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=443&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/309112/original/file-20200108-107235-1headsv.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=443&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/309112/original/file-20200108-107235-1headsv.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=557&fit=crop&dpr=1 754w, https://images.theconversation.com/files/309112/original/file-20200108-107235-1headsv.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=557&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/309112/original/file-20200108-107235-1headsv.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=557&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">La restauration du système après une attaque a aussi un coût.</span>
<span class="attribution"><a class="source" href="https://image.shutterstock.com/image-photo/digital-crime-by-anonymous-hacker-600w-1095422036.jpg">Rawpixel/Shutterstock</a></span>
</figcaption>
</figure>
<h2>Des recettes faramineuses</h2>
<p>Au niveau des revenus bruts issus des cryptovirus, une estimation faite pour les petites entreprises de moins de 50 personnes aboutit à une trentaine de millions d’euros versés sous forme de rançons, par an et sur la France, souvent par la collecte de petites sommes, typiquement de l’ordre de 3 000 euros.</p>
<p>La mesure des versements effectués par les grandes entreprises est plus ardue. L’estimation se heurte à un mur de silence du fait notamment d’enjeux de réputation. Avec les réserves inhérentes à ces rétentions d’information, il est envisageable que le total des rançons approche la centaine de millions. S’y ajoutent les saisies effectuées par les fraudes au président – entre 100 et 200 millions comme on l’a vu – et celles d’un ordre de grandeur vraisemblablement voisin occasionnées par les <a href="https://www.la-croix.com/France/Securite/arnaques-sentiments-fleurissent-Internet-2019-01-22-1200997095">fraudes aux sentiments</a> actives sur les réseaux sociaux au détriment des personnes seules, âgées ou influençables.</p>
<p>Une réalité surprenante se découvre, qui hisse le revenu brut des diverses formes de piratage en centaines de millions d’euros par an, très probablement au-dessus de 500 millions si l’on y incorpore les autres formes de nuisance que sont le hameçonnage ou encore la fraude dite nigériane, laquelle sollicite de l’argent via des courriels trompeurs.</p>
<p>Une comparaison instructive sera fournie par les vins de Bourgogne, dont le volume d’exportation oscille lui aussi entre 500 et 900 millions d’euros selon les années ; avec pour distinguo que ce revenu brut des viticulteurs est amputé par des coûts de production conséquents, alors que celui des pirates l’est dans une ampleur moindre.</p>
<figure class="align-center ">
<img alt="" src="https://images.theconversation.com/files/309123/original/file-20200108-107209-5xysrc.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/309123/original/file-20200108-107209-5xysrc.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=400&fit=crop&dpr=1 600w, https://images.theconversation.com/files/309123/original/file-20200108-107209-5xysrc.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=400&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/309123/original/file-20200108-107209-5xysrc.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=400&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/309123/original/file-20200108-107209-5xysrc.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=503&fit=crop&dpr=1 754w, https://images.theconversation.com/files/309123/original/file-20200108-107209-5xysrc.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=503&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/309123/original/file-20200108-107209-5xysrc.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=503&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">Les vins de Bourgogne, dont le montant des exportations oscille lui aussi entre 500 et 900 millions d’euros selon les années.</span>
<span class="attribution"><a class="source" href="https://www.shutterstock.com/fr/image-photo/bottle-red-wine-glass-money-on-439947496">Georgii Shipin/Shutterstock</a></span>
</figcaption>
</figure>
<h2>Des sorties d’argent sans contrepartie</h2>
<p>Une sixième grandeur s’intègre ici au tableau, plus parlante même à l’échelle collective que les précédentes, en ce que la grande majorité de ces flux volés quitte la France. Ils constituent une sortie d’argent sans contrepartie. En quelque sorte, nous « achetons » des escroqueries, intégrables à nos importations dans la balance des échanges.</p>
<p>Économiquement, le territoire français se voit vidé d’une somme qui ne participe plus à la construction de notre PIB, ni à la taxe sur le PIB qu’est la TVA, et fait défaut pour les rentrées fiscales. Prenons conscience qu’à l’échelle d’une décennie, plusieurs milliards d’euros seront ainsi exfiltrés de l’espace national.</p>
<p>Ce facteur de paupérisation est d’autant plus néfaste que cette confiscation se fait au sein des entreprises, qui seront alors tentées de compenser ce choc par une réduction des investissements dans leurs projets d’avenir (postes budgétaires faisant aisément office de variable d’ajustement lors de coups du sort).</p>
<p>Inversement, les pays de transit ou de destination de cette manne accroîent leur masse monétaire. Gilbert Chikli, condamné en 2015 par le tribunal correctionnel de Paris pour <a href="http://www.leparisien.fr/faits-divers/escroquerie-au-faux-president-sept-ans-de-prison-pour-gilbert-chikli-20-05-2015-4787199.php">7,9 millions d’euros de fraudes au président</a> mais à l’époque installé à Ashdod en Israël, déclara l’année suivante que 90 % de ces revenus passaient par la Chine ou Hongkong, qualifiés par lui de « plaque tournante universelle pour toute forme de fraudes ». De tels montants irriguent leur économie et concourent à la croissance économique, favorisant à la fois les rentrées fiscales et la corruption du tissu social local.</p>
<p>À l’image de la spécialisation sur les fraudes aux sentiments connue par une ville (Bouaké) d’une région (celle de Gbèkè) d’un pays (la Côte d’Ivoire), le piratage affiche dès lors un autre visage : multiniveaux. L’échelon individuel s’interpénètre avec un réseau local de protection de la cybercriminalité. Cette implantation des pirates localement bénéficie d’un écosystème de soutien national. Mécaniquement la protection devient diplomatique. Enfin la nécessité de blanchir les sommes favorise la création d’un réseau international. En cela, le piratage est devenu un système.</p><img src="https://counter.theconversation.com/content/129572/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Philippe Laurier a reçu des financements : les organismes pour lesquels je travaille (une dizaine d'universités, écoles d'ingénieurs et centres de recherche) reçoivent tous des financements à la fois publics (notamment ministère de la Défense pour l'Ecole Polytechnique ou SGDN -via le Grand emprunt- pour SystemX) et privés (notamment Airbus sur la compréhension des conséquences d'attaques informatiques sur les supply chains industrielles).</span></em></p>Des erreurs méthodologiques et des confusions dans les définitions compliquent les estimations.Philippe Laurier, Responsable du séminaire intelligence économique, École polytechniqueLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1179302019-05-30T21:26:54Z2019-05-30T21:26:54ZCybersécurité : la piqûre de rappel de l’attaque contre la ville de Baltimore<figure><img src="https://images.theconversation.com/files/277023/original/file-20190529-192339-1wq8dqm.jpg?ixlib=rb-1.1.0&rect=31%2C17%2C967%2C648&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">La ville américaine est victime d'une attaque de hackers depuis le 7 mai dernier.</span> <span class="attribution"><span class="source">Remitski Ivan/Shutterstock</span></span></figcaption></figure><p>La cybersécurité est l’un des thèmes favoris des scénaristes d’Hollywood (<a href="http://www.allocine.fr/film/fichefilm_gen_cfilm=51719.html"><em>Wargames</em></a>, <a href="http://www.allocine.fr/film/fichefilm_gen_cfilm=50575.html"><em>Die Hard 4</em></a>, <a href="http://www.allocine.fr/film/fichefilm_gen_cfilm=145646.html"><em>Skyfall</em></a>, <a href="http://www.allocine.fr/film/fichefilm_gen_cfilm=59809.html"><em>La vengeance dans la peau</em></a>). Les habitants de la ville de Baltimore pourraient donc être au cœur d’une prochaine superproduction. En effet, des pirates informatiques paralysent, depuis le 7 mai dernier, tous les services administratifs de la ville. Les règlements des factures d’eau, des amendes, ou des impôts sont en conséquence impossibles et quelque 1 500 ventes immobilières ont par ailleurs été suspendues.</p>
<p>Les hackers réclament une rançon de 13 bitcoins, soit près de <a href="https://www.nytimes.com/2019/05/22/us/baltimore-ransomware.html?searchResultPosition=2">105 000 dollars</a> au cours actuel, mettre fin à l’attaque. Pour le moment, la mairie refuse de céder au chantage.</p>
<p>Cet évènement est l’occasion de rappeler plus largement que la cybersécurité va au-delà des questions techniques et juridiques traditionnelles. Les États-Unis disposent en effet d’un arsenal conséquent en matière de cyberdéfense qui n’a cessé de se renforcer depuis 1998 et la signature par le président Bill Clinton d’un premier <a href="http://www.senat.fr/rap/r11-681/r11-68110.html">décret présidentiel</a> visant à notamment éliminer les vulnérabilités des systèmes informatiques gouvernementaux. En 2017, le président Donald Trump a signé un nouveau décret visant à mieux protéger les systèmes informatiques dans les secteurs stratégiques (banques, électricité et transports).</p>
<figure class="align-center ">
<img alt="" src="https://images.theconversation.com/files/277024/original/file-20190529-192428-bd4xqn.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/277024/original/file-20190529-192428-bd4xqn.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=400&fit=crop&dpr=1 600w, https://images.theconversation.com/files/277024/original/file-20190529-192428-bd4xqn.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=400&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/277024/original/file-20190529-192428-bd4xqn.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=400&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/277024/original/file-20190529-192428-bd4xqn.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=503&fit=crop&dpr=1 754w, https://images.theconversation.com/files/277024/original/file-20190529-192428-bd4xqn.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=503&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/277024/original/file-20190529-192428-bd4xqn.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=503&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">Le maire de Baltimore refuse pour le moment de céder au chantage.</span>
<span class="attribution"><span class="source">Sergey Novikov/Shutterstock</span></span>
</figcaption>
</figure>
<h2>Une meilleure cyberdéfense, mais plus d’attaques</h2>
<p>De l’autre côté de l’Atlantique, l’arsenal s’est également considérablement développé ces dernières années. En France, la Loi de programmation militaire (LPM) <a href="https://www.defense.gouv.fr/dgris/politique-de-defense/la-loi-de-programmation-militaire-2014-2019-et-son-actualisation/la-lpm-2014-2019-et-son-actualisation">2014/2109</a>, qui fait suite aux deux livres blancs de 2008 et 2013, a installé un appareil législatif visant à défendre les OIV (opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont l’indisponibilité risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation).</p>
<p>L’Union européenne a de son côté adopté en 2016 une directive sur la sécurité des réseaux et des systèmes d’information connue sous l’appellation <a href="https://www.ssi.gouv.fr/actualite/adoption-de-la-directive-network-and-information-security-nis-lanssi-pilote-de-la-transposition-en-france/">« directive NIS »</a>. Ce texte ayant vocation à s’appliquer immédiatement et sans besoin de transposition dans tous les États membres a créé une nouvelle catégorie d’opérateurs : les Opérateurs de services essentiels (<a href="https://www.ssi.gouv.fr/actualite/directive-nis-lanssi-accompagne-les-premiers-operateurs-de-services-essentiels/">OSE</a>). Trois critères permettent de définir un OSE : le service rendu est essentiel au maintien d’activité économiques critiques ; la fourniture du service est tributaire de réseaux informatiques ; un incident sur ces réseaux aurait un effet perturbateur pour la fourniture du service. Tout comme pour les OIV, le fait pour une entreprise d’être désignée OSE va lui créer des obligations.</p>
<p>Mais, contrairement aux nuages radioactifs de Tchernobyl, la cybercriminalité ne s’arrête pas aux frontières. Une action internationale est donc nécessaire. C’est pourquoi la <a href="http://www.europarl.europa.eu/meetdocs/2014_2019/documents/libe/dv/7_conv_budapest_/7_conv_budapest_fr.pdf">Convention de Budapest</a> du 23 novembre 2001 a été proposée par le Conseil de l’Europe. Tous les 18 mois, une grande réunion internationale (du nom d’<a href="https://www.coe.int/en/web/cybercrime/cybercrime-octopus">Octopus</a>) se tient avec tous les acteurs concernés. Ces conférences permettent de faire le point sur les nouvelles problématiques qui apparaissent.</p>
<p>Malgré ces dispositifs, la cybercriminalité – crimes sur Internet, piratages, vols d’identité – pèsent de plus en plus sur l’économie mondiale. Son coût a été évalué à près de <a href="http://www.rfi.fr/technologies/20180223-cout-cybercriminalite-600-milliards-dollars-mcafee-rapport">600 milliards de dollars pour l’année 2017</a> selon une étude réalisée par McAfee, entreprise de logiciels et notamment d’antivirus, avec un cercle de réflexion américain (CSIS), 200 milliards de plus qu’en 2014.</p>
<figure class="align-left ">
<img alt="" src="https://images.theconversation.com/files/277079/original/file-20190529-192451-1i9txrc.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=237&fit=clip" srcset="https://images.theconversation.com/files/277079/original/file-20190529-192451-1i9txrc.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=896&fit=crop&dpr=1 600w, https://images.theconversation.com/files/277079/original/file-20190529-192451-1i9txrc.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=896&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/277079/original/file-20190529-192451-1i9txrc.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=896&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/277079/original/file-20190529-192451-1i9txrc.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=1125&fit=crop&dpr=1 754w, https://images.theconversation.com/files/277079/original/file-20190529-192451-1i9txrc.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=1125&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/277079/original/file-20190529-192451-1i9txrc.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=1125&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption"></span>
</figcaption>
</figure>
<p>Ces chiffres et le récent hacking de la ville de Baltimore illustre encore une fois que la cybersécurité n’est plus uniquement une affaire d’informaticiens et de juristes, mais de culture, de sensibilisation, de formation… bref, de management. Cet évènement rappelle par ailleurs que les organisations locales de gouvernance sont en première ligne face aux risques. Un chercheur du CNAM, <a href="https://www.decitre.fr/livres/les-collectivites-territoriales-face-a-la-cybercriminalite-9782747222952.html">Rémy Février</a>, avait été à ce sujet le premier à le souligner, en 2014, dans son livre « Les collectivités territoriales face à la cybercriminalité ».</p>
<p>Rappelons donc quelques bonnes pratiques car, si les attaques tendent à devenir de plus en plus sophistiqueés, les méthodes plus « classiques » restent très employées par les pirates. Par exemple, les <em>ransomware attacks</em> (ou attaques par rançongiciel), qui consistent en l’installation d’un logiciel pour « prendre en otage » les données via l’ouverture d’un e-mail frauduleux, ont <a href="https://www.industryweek.com/technology-and-iiot/cyberattacks-skyrocketed-2018-are-you-ready-2019">augmenté de 350 %</a> entre 2017 et 2018. C’est d’ailleurs cette méthode qui a été utilisée par les pirates à Baltimore.</p>
<h2>Manager la cybersécurité</h2>
<p>Alors, comment poser les bases d’une cyberstratégie efficace ? La première étape est de prendre conscience que nul n’est à l’abri d’une cyberattaque. Toute information, quelle que soit son importance, peut être monnayée auprès de son propriétaire. Tout système informatique peut être paralysé (<a href="https://www.economie.gouv.fr/entreprises/attaque-par-deni-service-ddos">attaque par déni de service</a>). Personne n’est « en dessous des radars ». Le cas de la ville de Baltimore, dans le malheur des habitants, pourra au moins participer à cette prise de conscience et donc favoriser cette nécessaire acculturation.</p>
<p>La deuxième étape consiste en l’élaboration d’une « cyber-hygiène ». Cela consiste à changer de comportements, tant collectifs qu’individuels. Les entreprises, comme les collectivités, doivent mettre en place une véritable politique de management de la cybersécurité. Cela peut passer par des chartes d’utilisation des outils informatiques. Cette politique managériale devra être complétée par un <a href="https://www.cybermalveillance.gouv.fr/inscription-sensibilisation/">accompagnement des salariés</a>.</p>
<p>Une fois cette sensibilisation effectuée, il s’agira de passer à l’étape de la formation. Son objectif n’est pas de former les salariés au codage mais d’échanger les <a href="https://www.ssi.gouv.fr/guide/guide-des-bonnes-pratiques-de-linformatique/">bonnes pratiques</a> en s’appuyant sur les spécialistes (en France, l’<a href="https://www.ssi.gouv.fr">ANSSI</a> ou la <a href="https://www.cnil.fr">CNIL</a>). La difficulté rencontrée par les entreprises, comme les collectivités, est l’isolement. En effet, encore trop souvent, faire appel à des spécialistes et témoigner est perçu comme une preuve de faiblesse en la matière.</p>
<p>Le cas de Baltimore, comme ceux des milliers d’<a href="https://www.hiscox.fr/courtage/sites/courtage/files/2018-09/rapport-hiscox-cyber-sinistres-2018.pdf">entreprises rançonnées</a>, confirme que la cybersécurité est avant tout une question comportements, de prise de conscience. Et, au-delà, il rappelle la nécessité d’analyser la cybersécurité comme une arme de guerre économique nécessitant une véritable <a href="http://www.cyberstrategie.org/">cyberstratégie</a> du tissu économique, en France comme ailleurs.</p><img src="https://counter.theconversation.com/content/117930/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Olivier Lasmoles est auditeur de l'IHEDN et membre de la Commission Cyberstratégie. </span></em></p>L’attaque contre le système de la municipalité américaine montre que les dispositifs techniques et juridiques resteront insuffisants tant qu’une culture de la cybersécurité ne se sera pas développée.Olivier Lasmoles, Professeur associé de droit - Laboratoire Metis EM Normandie, EM NormandieLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1006962018-09-03T20:52:13Z2018-09-03T20:52:13ZLes métiers de la sécurité du numérique sont-ils réservés aux hommes ?<figure><img src="https://images.theconversation.com/files/230317/original/file-20180801-136649-1p5ktg9.jpg?ixlib=rb-1.1.0&rect=0%2C12%2C2081%2C1370&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Peu de femmes se dirigent vers les métiers de la cybersécurité.</span> <span class="attribution"><a class="source" href="https://www.shutterstock.com/fr/download/confirm/1135913804?size=huge_jpg">Shutterstock</a></span></figcaption></figure><p>En 2018, la sécurité du numérique génère de plus en plus d’emplois, selon le <a href="https://www.imt.fr/barometre-metiers-numerique-2018/">baromètre du numérique de l’Institut Mines Télécom</a>). Pourtant, on rencontre encore très peu de femmes dans le secteur de la cybersécurité. Pourquoi si peu de candidates féminines osent s’aventurer dans les formations de haut niveau menant à ces métiers ?</p>
<h2>Passer outre les clichés</h2>
<p>Parce que les métiers de la sécurité du numérique, domaine évidemment très technique, sont faits pour les hommes. Parce que les femmes, plus sensibles, se dirigent vers les sciences humaines. Parce que, placée sous la grêle d’une cyberattaque, une femme perd ses moyens. Dans une cellule de crise, il est bien connu que seul l’homme peut développer une résistance au stress suffisante qui lui évite de faire des bêtises, alors qu’une femme est sujette à une crise de nerfs et perd ses moyens.</p>
<p>Vous jugez complètement débiles les assertions qui précèdent ? Moi aussi.</p>
<p>Mais il est vrai que la proportion de femmes dans la cybersécurité n’avoisine, <a href="https://business.lesechos.fr/directions-numeriques/metier-et-carriere/parcours/0301348177395-les-femmes-boudent-toujours-la-cybersecurite-319154.php">selon une étude du consortium ISC2, que les 11 %</a>. Étant donné que la femme est l’égale de l’homme, il devrait y avoir parité.</p>
<p>J’ai osé au début de ce texte, d’autres assertions tout aussi fausses. Par exemple que les métiers de la sécurité ne font appel qu’à des compétences très techniques. C’est faux : la sécurité du numérique va bien au-delà du développement de programmes et d’algorithmes de chiffrement ou de big data, ou encore du paramétrage de routeurs, de coupe-feux et de sondes de prévention d’intrusion. Le juridique, l’intelligence économique et le management de projets ont aussi toute leur place.</p>
<p>Parlons d’un des aspects les plus ardus (et les plus intéressants) de la cybersécurité : la cryptologie. Je connais d’excellentes cryptologues et cryptanalystes, certaines avec un doctorat, qui plongées dans un milieu essentiellement masculin, forcent le respect. Au début on les écoute poliment, mais bien vite on se laisse guider par leur jugement et leurs compétences. Quand on explique le mécanisme du chiffrement, on dit que « A » chiffre et « B » déchiffre. Mais dans la littérature de la cryptologie, A s’est vite transformé en « Alice » et B s’est transformé en « Bob ». Il y a là parité entre l’homme et la femme. Il y a même, dans cette iconographie « E » (comme <em>eavesdropper</em>) et E s’est transformé en « Eve ». Donc dans l’imagerie de la cryptologie, on compte plus de femmes que d’hommes !</p>
<p>Récemment dans un évènement auquel j’ai participé, sur la cybersécurité, il y avait une table ronde composée uniquement d’hommes. L’un d’eux a fait remarquer qu’il était dommage qu’on n’ait pu trouver de femmes pour se joindre à eux « malgré que le sujet fût très technique (<em>sic</em>) ». Avait-il vraiment cherché ? Dans l’amphi, une dame s’est levée pour dire que ça pouvait s’arranger, il suffisait de lui proposer de se joindre aux intervenants. Ce qui fut fait, et je peux affirmer que passées les premières secondes, tous les participants écoutaient Claire Deflou-Caron, présidente de Govership, qui fut très brillante et tout à fait dans le thème de la table ronde.</p>
<h2>Les raisons du blocage</h2>
<p>Pourquoi, donc, rencontre-t-on si peu de femmes dans les métiers de la sécurité du numérique ? La réponse est évidente : parce que trop peu de femmes s’engagent, encore aujourd’hui, dans les cursus de l’enseignement supérieur, MBA, masters, mastères professionnels, écoles d’ingénieurs qui mènent aux métiers de la sécurité.</p>
<p>Pourquoi ? Il y a là, je pense, un aspect culturel, qui commence dès le plus jeune âge, et cela doit changer rapidement. Les matières scientifiques pour les garçons, les matières littéraires, sociales et juridiques pour les filles ? C’est absurde, il est temps de passer outre ces clichés et de guider, dès le collège, les jeunes talents, hommes et femmes, vers les métiers de la cybersécurité pour lesquels on manque tant d’experts.</p>
<h2>Des solutions existent</h2>
<p>Des associations comme le <a href="https://cefcysblog.wordpress.com/">CEFCYS</a> (CErcle des Femmes pour la CYberSécurité, présidé par une docteure en informatique, Nacira Salvan, avec une vice-présidente docteure en droit, maître Isabelle Landreau contribuent à faire évoluer les mentalités. L’association <a href="http://www.cyberedu.fr/">CyberEdu</a>) que j’ai l’honneur de présider, créée par l’ANSSI, dont la mission est de former les formateurs de l’enseignement supérieur pour qu’ils ajoutent des éléments de sécurité du numérique dans leur cours, a noué un partenariat avec le CEFCYS pour remédier au fait que la cybersécurité semble ne concerner que la moitié de la population, alors qu’il y a tant d’opportunités de faire carrière dans ce domaine passionnant et d’avenir. Le CEFCYS par les évènements qu’il organise, ainsi que grâce à ses interventions dans d’autres évènements autour de la cybersécurité, rencontre un succès toujours renouvelé. Beaucoup de femmes adhèrent à cette association, qui est d’ailleurs aussi ouverte aux hommes.</p>
<p>Venez, mesdames, dans les formations en cybersécurité, vous y avez votre place et vous ne le regretterez pas.</p><img src="https://counter.theconversation.com/content/100696/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Gérard Peliks ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>La cybersécurité est aujourd’hui un métier d’hommes. Mais ce pourrait être aussi un métier de femmes. À condition de parvenir à faire évoluer les mentalités, chez les hommes comme chez les femmes…Gérard Peliks, Expert sécurité, directeur adjoint du MBA Management de la Sécurité des Données Numériques de l’Institut Léonard de Vinci, Pôle Léonard de VinciLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/990932018-07-05T02:22:17Z2018-07-05T02:22:17ZQuand les objets connectés sont utilisés comme des armes contre leurs propriétaires<figure><img src="https://images.theconversation.com/files/225962/original/file-20180703-116123-829tvu.jpg?ixlib=rb-1.1.0&rect=20%2C0%2C6689%2C4466&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Votre enceinte connectée peut vite devenir une véritable gêne si elle n'est pas sécurisée.</span> <span class="attribution"><a class="source" href="https://unsplash.com/photos/anapPhJFRhM">Bence Boros / Unsplash</a></span></figcaption></figure><p>Il est difficile d’imaginer des appareils aussi basiques que les ampoules ou les thermostats puissent être transformés en armes, mais c’est exactement ce qui peut se passer avec les versions <em>intelligentes</em> de ces objets.</p>
<p>Alors qu’il est désormais courant pour les pirates d’exploiter les faiblesses des produits connectés et de les transformer en rampe de lancement pour <a href="https://www.wired.com/2016/12/botnet-broke-Internet-isnt-going-away/">attaquer</a> d’autres systèmes informatiques, une utilisation plus sinistre des produits intelligents vient d’être révélée.</p>
<p>Le <a href="https://www.nytimes.com/2018/06/23/technology/smart-home-devices-domestic-abuse.html"><em>New York Times</em></a> a rapporté des cas de victimes de malveillances utilisant des produits connectés installés chez elles. Dans ces situations, les agresseurs utilisaient un accès à des haut-parleurs intelligents, des thermostats, des caméras, des serrures de porte et d’autres produits pour harceler leurs victimes à toute heure du jour ou de la nuit.</p>
<p>Les enceintes intelligentes comme la HomePod d’Apple peuvent être accessibles à distance par quelqu’un qui possède le nom d’utilisateur et le mot de passe et déclencher des alarmes à des moments aléatoires. Les climatiseurs et les thermostats peuvent être allumés au hasard et réglés pour rendre une maison très chaude ou très froide. Les caméras peuvent être contrôlées à distance pour espionner les occupants d’une maison, et ensuite la vidéo diffusée au public.</p>
<h2>Un phénomène de harcèlement de plus en plus courant</h2>
<p>Selon le <em>New York Times</em>, ce phénomène de harcèlement à l’aide des produits intelligents devient de plus en plus courant. Une victime a déclaré que la combinaison de la serrure numérique de sa porte d’entrée changeait chaque jour et une autre a dit que quelqu’un sonnait à la porte sans que personne n’y soit présent.</p>
<p>Bien qu’un utilisateur averti puisse reprendre le contrôle des appareils à la maison en réinitialisant les appareils et en changeant les mots de passe, beaucoup de gens n’ont aucune idée sur la façon de procéder, ni même que quelqu’un est derrière l’attaque.</p>
<p>L’utilisation de produits intelligents pour harceler quelqu’un n’est pas la seule façon dont la technologie est utilisée par des personnes dans une relation pour contrôler ou abuser de leurs proches.</p>
<p>Les smartphones ont été le moyen le plus commun dans lequel un partenaire a utilisé l’accès illégitime pour surveiller et espionner l’autre. Les <a href="https://www.lemonde.fr/pixels/article/2016/05/12/les-applications-pour-espionner-ses-proches-via-leur-smartphone-sont-elles-illegales_4918368_4408996.html">applications d’espionnage</a> qui peuvent être installées sur le téléphone d’une <em>cible</em> pour enregistrer l’emplacement, les journaux d’appels et d’autres informations sont répandu sur le Google Play Store pour les appareils androïdes. The <em>Times</em> <a href="https://www.thetimes.co.uk/edition/news/google-is-cashing-in-on-spy-apps-for-stalkers-mzx29jwj0">a rapporté</a> que plus de 10 000 femmes en Grande-Bretagne sont espionnées de cette façon.</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"731214955006033920"}"></div></p>
<p>Il est important de se rappeler que si les applications d’espionnage sur les téléphones portables sont utilisées dans les cas d’<a href="https://www.ipvtechresearch.org/pubs/spyware.pdf">intrusion dans le cadre privé</a>, un grand nombre de ces applications sont simplement déployées par les gens par manque de confiance. Les applications sont même commercialisées dans le but d’attraper les « conjoints infidèles ».</p>
<p>Même la sophistication relative d’une application n’est pas toujours nécessaire pour que les agresseurs puissent suivre leurs victimes. Des services comme « Localiser mon iPhone » sont utilisés lorsque les proches ont accès au nom d’utilisateur et au mot de passe de l’identifiant Apple de leur victime. Les détails de compte d’un certain nombre de services peuvent permettre à quelqu’un d’accéder au courrier électronique, aux messages, aux photos, aux médias sociaux et à d’autres informations sur sa victime.</p>
<p>Les avocats en matière de divorce <a href="https://memphisdivorce.com/tennessee-divorce-law/how-a-divorcing-spouse-can-spy-on-you-using-your-iphone/">conseillent</a> maintenant des clients qui pensent au divorce sur la façon de préparer systématiquement leur vie numérique afin de se protéger contre les représailles et l’espionnage.</p>
<h2>Reprendre le contrôle</h2>
<p>Se protéger contre l’espionnage ou le harcèlement au moyen des produits intelligents n’est pas si simple. Le problème est que l’agresseur avait souvent un accès complet aux appareils et aux détails des comptes.</p>
<p>Dans le cas des produits intelligents et de la technologie en général, c’est souvent l’homme qui établit et contrôle le côté numérique de la relation, mais il serait une erreur de penser que l’espionnage et le harcèlement numérique sont des activités exclusivement masculines.</p>
<p>La première étape la plus importante est de reprendre le contrôle des comptes en ligne. Cela signifie changer les mots de passe, ou même créer de nouveaux comptes dans le cas où ils étaient partagés avec l’agresseur. L’ajout de l’authentification à double facteurs aiderait certainement beaucoup, car cela rend l’accès au compte beaucoup plus difficile pour les autres personnes.</p>
<p>Ceci est particulièrement important pour tous les comptes liés à des produits intelligents comme les enceintes, les thermostats et les détecteurs de fumée.</p>
<p>Il est un peu plus difficile de s’assurer que les smartphones, les tablettes et les ordinateurs sont exempts de logiciels espions, surtout pour les utilisateurs non avertis. La meilleure façon de le faire est de s’offrir les services d’un professionnel, mais si ce n’est pas possible, il est toujours possible de réinitialiser l’appareil et réinstaller à partir de zéro, c’est la meilleure option.</p>
<p>La mise à jour des produits à la dernière version de leur logiciel peut aider à supprimer l’altération et les logiciels installés, de même que la restauration à partir d’une sauvegarde. Il existe également des logiciels anti-espions qui peuvent détecter des exemples courants de logiciels espions et aider à les supprimer.</p>
<p>Dans toutes les situations, quelle que soit la relation, les comptes séparés dont chaque personne est responsable constituent le meilleur moyen de préserver sa vie privée et son indépendance. Le fait d’être conscient de la sécurité et de la protection de la vie privée permet d’éviter des problèmes plus tard, qu’ils proviennent de criminels inconnus ou d’anciens partenaires.</p><img src="https://counter.theconversation.com/content/99093/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>David Glance ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>Les objets connectés rendent bien des services, mais ils peuvent devenir de véritables armes dans les mains de personnes mal intentionnées. Comment prévenir ces nouveaux risques ?David Glance, Director of UWA Centre for Software Practice, The University of Western AustraliaLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/887532018-03-12T21:10:33Z2018-03-12T21:10:33ZLa technologie blockchain face à son destin<figure><img src="https://images.theconversation.com/files/208940/original/file-20180305-146675-1u5obyg.jpg?ixlib=rb-1.1.0&rect=89%2C27%2C4470%2C3000&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">
</span> <span class="attribution"><a class="source" href="https://unsplash.com/photos/K8iHtzoIKQ4">Fré Sonneveld/Unsplash</a></span></figcaption></figure><p>Cette contribution a essentiellement pour objet de faire le point sur les menaces qui pèsent, à plus ou moins brève échéance, sur la technologie <a href="https://blockchainfrance.net/decouvrir-la-blockchain/c-est-quoi-la-blockchain/">BlockChain (BCh).</a></p>
<p>Il s’agit aussi bien évidemment d’aborder certains des nuages qui s’amoncellent sur la cryptomonnaie <a href="https://www.lesechos.fr/finance-marches/vernimmen/definition_bitcoin.html">bitcoin</a> (BCo). En effet, cette monnaie s’appuie, depuis 2008, sur la technologie BCh comme <em>architecture sous-jacente</em>.</p>
<p>Nous insisterons en particulier sur les dimensions énergétiques, informatiques et technologiques liées à la technologie BCh. Nous n’aborderons donc pas, dans cette première contribution centrée surtout sur la BCh, les divers obstacles – fiscaux, monétaires (liquidité), économiques, juridiques et géopolitiques – qui perturbent l’<a href="https://www.rollingstone.fr/quel-avenir-pour-le-bitcoin/">avenir de l’écosystème BCo</a> et qui peuvent être assez éloignés des aspects informatiques.</p>
<p>L’idée est toutefois d’insister sur l’<a href="https://www.ccn.com/bitcoin-wedding-marriage-on-the-blockchain/">avenir de ce couple</a>, très médiatique, et de montrer qu’il n’est pas si serein que cela ! L’idée est aussi de bien différencier les deux technologies et leur couplage. Une BCh repensée pourrait certes survivre sans le BCo, mais le <a href="https://www.letemps.ch/economie/cryptomonnaies-technologie-blockchain">BCo n’est rien sans la BCh</a> !</p>
<h2>Quelles sont les contraintes à respecter pour produire une chaîne de blocs qui soit éligible et recevable comme garantie ?</h2>
<p>Une chaîne de blocs est une combinaison originale de fonctions et <a href="https://references.modernisation.gouv.fr/sites/default/files/RGS_Mecanismes_cryptographiques_v1_20.pdf">mécanismes cryptographiques</a> et de réseaux pair-à-pair (P2P). Des fonctions de hachages (cryptographiques) et des algorithmes de signature à clés publiques sont classiquement utilisés pour générer un bloc. Le réseau P2P (large échelle) est utilisé pour valider le bloc et l’inclure dans la chaîne. L’usage d’un réseau P2P large échelle (à l’image de celui qui fait fonctionner BitTorrent ou encore Skype) garantie une décentralisation complète du système.</p>
<p>Cette décentralisation est aussi garante d’une certaine sécurité puisqu’il faut en substance corrompre 50 % du réseau pour réaliser une attaque. L’inclusion d’un nouveau bloc dans la chaîne doit être relativement rapide afin de ne pas retarder les transactions et d’en faire un système assez réactif. La chaîne de blocs bitcoin produit en moyenne un <a href="https://openclassrooms.com/courses/comprendre-le-bitcoin-et-la-blockchain/le-principe-du-bitcoin-2-2-le-reseau-de-mineurs">bloc toutes les 10 minutes</a> alors qu’il ne faut que quelques secondes pour la chaîne <a href="https://www.ethereum.org/">Ethereum</a> apparue plus récemment en 2014.</p>
<p>Ce que la chaîne de blocs doit être capable de garantir, c’est la non-duplication des devis virtuels (comme c’est le cas pour les devises physiques) ou encore le cas de la double dépense. Si je vous donne un bitcoin, et bien je ne l’ai plus !</p>
<p>L’opération de chaînage est donc critique puisque c’est elle qui garantit qu’il n’y a pas plusieurs histoires (plusieurs vérités) qui s’écrivent en même temps. La confiance des utilisateurs dans le système va se reposer sur cette opération qui est massivement distribuée de par le monde (et non centralisée).</p>
<figure class="align-center ">
<img alt="" src="https://images.theconversation.com/files/208937/original/file-20180305-146666-v92w5s.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/208937/original/file-20180305-146666-v92w5s.png?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=315&fit=crop&dpr=1 600w, https://images.theconversation.com/files/208937/original/file-20180305-146666-v92w5s.png?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=315&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/208937/original/file-20180305-146666-v92w5s.png?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=315&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/208937/original/file-20180305-146666-v92w5s.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=396&fit=crop&dpr=1 754w, https://images.theconversation.com/files/208937/original/file-20180305-146666-v92w5s.png?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=396&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/208937/original/file-20180305-146666-v92w5s.png?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=396&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">Decentralized Blockchain System.</span>
<span class="attribution"><a class="source" href="https://www.flickr.com/people/159526894@N02/">Flyerdiaries.com</a>, <a class="license" href="http://creativecommons.org/licenses/by/4.0/">CC BY</a></span>
</figcaption>
</figure>
<h2>Quelles sont les implications en terme de calcul à effectuer ?</h2>
<p>Ce chaînage nécessite l’usage de fonctions de hachage cryptographiques (MD5, SHA256, SHA512…) qui initialement sont des fonctions assez simples à calculer mais dont le calcul va être complexifié en exigeant une forme particulière de résultat (par exemple X zéros en début de résultat qu’on appelle une empreinte ou <em>hash</em>).</p>
<p>Cette contrainte de résultat est rigoureusement un défi lancé au réseau P2P. Ce défi ne doit être ni trop compliqué ni trop simple pour rester dans les contraintes temporelles énoncées plus haut (par exemple : 10 minutes). C’est là que rentrent en jeu les mineurs (ceux qui forgent les blocs) pour pouvoir réaliser ce défi dans les temps impartis. En donnant la réponse qu’ils ont dû calculer avec une force brute, c’est-à-dire en essayant mécaniquement toutes les combinaisons, ces mineurs fournissent une preuve de travail (PoW pour Proof of Work) qui va leur permettre de forger le bloc. Le mineur qui fournit le résultat en premier gagne le droit de forger le bloc et d’être rémunéré pour cela à hauteur de 12,5 bitcoin par bloc forgé (ce qui génère de facto des nouvelles devises dans le système).</p>
<p>Tous les autres mineurs ont fait tout simplement le calcul et <a href="https://theconversation.com/le-bitcoin-et-la-blockchain-des-gouffres-energetiques-62335">dépensé beaucoup d’énergie</a>… pour rien. Il existe d’autres types de preuves (la preuve de participation notamment) qui s’appuient sur la base du consensus par le vote sans avoir recours à cette force de calcul phénoménale. Il s’agit aujourd’hui de milliards de milliards de hashs à calculer par seconde pour obtenir une preuve de travail dans la chaîne de blocs bitcoin.</p>
<h2>Quelles sont les implications en terme de consommation énergétique nécessaire pour mener à bien ces calculs ?</h2>
<p>Tentons une mise en perspective historique simple. En 2018, il faut environ 6 000 kWh pour forger un seul bitcoin. En 2014, il ne fallait « que » 240 kWh soit un facteur 25 en simplement 4 ans. En 2020, il faudra « au moins » 14 000 MW pour maintenir la chaîne de bloc sous-jacente au bitcoin (soit la consommation d’un pays comme le Danemark ou le Maroc). Nous abordons là, la question de l’<a href="https://mrmondialisation.org/le-bitcoin-est-devenu-un-enfer-energetique/">enfer énergétique</a> de l’écosystème bitcoin !</p>
<p>Lorsque le <a href="http://www.lefigaro.fr/secteur/high-tech/2016/05/02/32001-20160502ARTFIG00178-le-createur-du-bitcoin-sort-enfin-de-l-ombre.php">mystérieux créateur</a> du bitcoin publia et diffusa son invention en 2008, vous pouviez forger un bloc tranquillement sur votre PC de bureau. Aujourd’hui c’est terminé ! Les forges à bitcoin sont de nos jours industrialisées au sein d’unités/usines de production qui ressemblent à s’y méprendre à un datacentre sauf que ces installations sont uniquement dévolues aux chaînes de bloc avec du matériel dédié (AntMiner, Avalon…) et composé pour l’essentiel de cartes graphiques très puissantes.</p>
<p>Dans ce contexte, les prix des cartes graphiques ont fortement augmenté avec des impacts non négligeables sur d’autres secteurs comme l’<a href="http://www.01net.com/actualites/nvidia-titan-v-la-carte-graphique-la-plus-puissante-du-monde-au-service-de-l-ia-1322346.html">intelligence artificielle (IA) à base d’apprentissage machine</a> qui est aussi un gros consommateur de cartes graphiques.</p>
<p>Ces forges informatiques sont principalement installées en <a href="http://www.slate.fr/story/156592/bitcoin-speculation-chine-coree">Chine et en Corée</a>. À ce propos et ceci n’est pas anodin pour l’avenir de la monnaie BCo, la Chine elle-même s’est mise à <a href="http://www.europe1.fr/economie/la-chine-aura-t-elle-la-peau-du-bitcoin-3549506">réguler drastiquement les installations</a> sauvage et l’explosion de la consommation électrique (provenant principalement du charbon).</p>
<p>La Suède et l’Islande – pays froids – sont des fers de lance en Europe et ce, pour des raisons principalement calorimétriques à l’image de ce qui existe déjà pour les <a href="http://www.lemonde.fr/pixels/article/2016/06/03/les-datas-du-grand-froid_4932566_4408996.html">méga-datacenter</a>.</p>
<p>Face à la folie des forges (qui n’est pas sans rappeler les folles ruées vers l’or qu’a connu l’humanité), l’usage de preuves <em>autres que la preuve de</em> travail apparaît comme une nécessité. La chaîne de blocs bitcoin n’a pas été conçue pour cela au départ. Par exemple, Ethereum, qui a donc démarré six ans après le bitcoin et dont le <a href="https://courscryptomonnaies.com/ethereum">cours en temps réel</a> est un peu moins volatile, a la possibilité de passer à la preuve, ou tout du moins, à des preuves qualifiées d’hybrides. Une modification du code a été réalisée en automne dernier portant justement sur la notion de consensus et de preuve de participation.</p>
<h2>Quelles sont les implications en terme de vulnérabilité liée à l’(im)puissance informatique et à l impact énergétique</h2>
<p>Comme indiqué plus haut, il faut corrompre classiquement 50 % du système pour réaliser une attaque à savoir forger un bloc erroné validant potentiellement un/des double(s) dépense(s).</p>
<p>Si nous reprenons les chiffres déjà cités, il faut donc disposer d’environ 7 000 MW (soit entre trois et quatre centrales nucléaires de dernière génération) pour parvenir à ces fins. Ceci est néanmoins tout à fait envisageable à l’échelle d’un pays comme la Chine qui dispose des plus grandes communautés de mineurs. Il faut toutefois se poser la question de l’intérêt même pour un pays de réaliser une telle attaque qui engendrait indubitablement une chute des cours de la cryptomonnaie correspondante. D’autres failles cryptographiques ont été identifiées notamment sur la partie signature de la transaction qui utiliserait des courbes elliptiques non robustes.</p>
<h2>Bugs, anomalies, failles… So what ?</h2>
<p>La chaîne de bloc est un code informatique par définition. Il comporte <em>de facto</em> des bugs et des anomalies. Les développeur.es des chaînes de blocs doivent pouvoir à tout moment modifier/corriger le code quand cela est nécessaire de manière à le rendre plus robuste. Une validation par consensus (un vote) de l’ensemble de la communauté d’utilisateurs est alors nécessaire.</p>
<p>C’est cette modification qui a permis à la chaîne Ethereum de survivre à l’<a href="https://www.lemondeinformatique.fr/actualites/lire-blockchain-l-attaque-contre-the-dao-conduit-ethereum-a-proposer-un-fork-65194.html">attaque de juin 2016</a> en créant une ramification (un <em>fork</em>) qui a remplacé la chaîne de blocs originelle (l’Ethereum Classique) : la théorie évolutionniste de Charles Darwin peut s’appliquer également à une science formelle comme la science informatique ! Les dimensions énergétiques et calculatoires sont à rapidement intégrer avant que le marché – qui n’aime pas l’idée même d’incertitude fusse-t-elle cryptographique – ne le fasse lui-même et <a href="https://www.lesechos.fr/finance-marches/marches-financiers/0301257294189-le-bitcoin-en-chute-libre-2151121.php">ne sonne le glas</a> de cette (ces) aventure(s) !</p><img src="https://counter.theconversation.com/content/88753/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span><a href="mailto:benoit.parrein@polytech.univ-nantes.fr">benoit.parrein@polytech.univ-nantes.fr</a> a reçu des financements publics d'institutions diverses (ANR, OSEO, Région,...). </span></em></p><p class="fine-print"><em><span>Marc Bidan est membre du conseil national des universités au sein de la section 06 (sc. de gestion) </span></em></p>Les menaces énergétiques (électricité), technologiques (capacités de calcul) et systémiques (contrefaçons) sont réelles. Cela fragilise l’avenir de cette technologie qui est par ailleurs très inventive.Benoît Parrein, Maître de Conférences (HDR), Polytech Nantes, Université de NantesMarc Bidan, Professeur des Universités - Management des systèmes d’information - Polytech Nantes, Auteurs historiques The Conversation FranceLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/732932017-09-06T21:38:47Z2017-09-06T21:38:47ZPourquoi réhabiliter le cloud régional ? De la complexité de localiser les données dans les nuages<figure><img src="https://images.theconversation.com/files/184891/original/file-20170906-9820-r65erj.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Un data center de l'entreprise américaine CommScope.</span> <span class="attribution"><a class="source" href="https://www.flickr.com/photos/commscope/34623568870/">CommScope/Flickr</a>, <a class="license" href="http://creativecommons.org/licenses/by-nc-nd/4.0/">CC BY-NC-ND</a></span></figcaption></figure><p>Mais où sont donc stockées nos données ? Pas là, pas là non plus… en tous cas, pas là où nous le croyons dans la majorité des cas !</p>
<p>Cet article en deux parties fait <a href="http://bit.ly/2vJpyKv">suite à celui paru en février 2017</a> et se propose de recontextualiser le débat. La première partie a pour objet de poser la question de la <a href="http://www.tomshardware.fr/articles/data-center,5-840.html#s1">localisation des données stockées</a>, dans ce que nous nommerons de façon générique le <em>cloud</em> (l’informatique en nuage en français). La seconde partie a pour objet de réhabiliter les solutions basées sur un <em>cloud</em> de type régional, que nous caractériserons et détaillerons.</p>
<p>Face aux difficultés et ambiguïtés de la localisation physique des données, ce texte met aussi en perspective le <em>cloud</em> de type souverain et ce, malgré l’échec d’une première tentative de <em>cloud</em> souverain à la française (<a href="http://www.latribune.fr/technos-medias/informatique/20150113triba29598d73/le-cloud-a-la-francaise-histoire-d-un-flop.html">Andromède</a>).</p>
<p>Ce texte se propose aussi de réhabiliter certains anciens projets, souvent raillés voire moqués, de <em>data center</em> (centre de données) régionaux, supportant l’offre d’un <em>cloud</em> régional. Enfin, cette réflexion introduit une troisième dimension à côté des <em>clouds</em> souverains et régionaux, celle d’un <em>cloud</em> soutenable.</p>
<h2>Le cloud et ses nombreuses problématiques</h2>
<p>Plusieurs problématiques, qui n’ont souvent rien de technologiques, se posent rapidement aux clients séduits par les solutions externalisées proposées par le cloud.</p>
<p>Premièrement, qui est (ou qui devient) propriétaire des données ? Deuxièmement, où sont stockées les données parmi les <a href="http://bit.ly/2m7Kt1j">4 081 <em>data center</em> recensés sur 118 pays</a> ? Troisièmement, qui est responsable des données ? Quatrièmement, qui est mon interlocuteur ? Ensuite, quel est, face à lui, mon pouvoir de négociation ? Enfin, puis-je revenir en arrière (c’est la fameuse question de la réversibilité) ? Sans oublier les incontournables : combien ça coûte et comment ça marche ?</p>
<p>Ne pas négliger non plus d’insolentes questions telles que… <a href="http://ticri.univ-lorraine.fr/tp-intd.fr/index.php/Cloud_Computing_et_Green_IT">quel est le PUE ? le CUE ? le WUE ?</a> Est-ce une solution certifiée <em>Energy Star</em> ? Ou plus largement, quels sont les impacts environnementaux ou éthiques réels de cette externalisation ?</p>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/OTShA7fO4o0?wmode=transparent&start=0" frameborder="0" allowfullscreen=""></iframe>
</figure>
<h2>L’indispensable cloud souverain</h2>
<p>Face à des failles de sécurité, de confidentialité, d’intégrité de plus en plus béantes ; face aux risques techniques, juridiques et économiques liés à l’externalisation, mais aussi face à la complexité de la question de la propriété juridique des données, le déploiement, en France, d’un <a href="https://www.franceinter.fr/emissions/et-si-demain/et-si-demain-30-janvier-2017">cloud souverain</a>, était devenu indispensable.</p>
<p>À ce propos, le « Guide sur le cloud computing et les <em>data center</em> à l’attention des collectivités locales » qui fut <a href="http://bit.ly/2eIc1vq">publié en juillet 2015</a> par le Ministère de l’Économie et des Finances introduit ainsi le <em>cloud</em> souverain :</p>
<blockquote>
<p>« Dans le contexte d’externalisation des ressources informatiques, le concept de souveraineté des données est essentiel. Tout client, confiant ses données à un prestataire hébergeur, doit pouvoir disposer :</p>
<p>● d’une garantie technique, sur le niveau de sécurité offert par le prestataire et ses sous-traitants pour garantir la protection et la confidentialité des informations (dispositifs anti-intrusion, dispositifs de chiffrement…) ;</p>
<p>● d’une garantie juridique, sur d’une part, la non-utilisation des données par un tiers, d’autre part le non-accès aux données par un tiers en vertu de réglementations n’assurant pas une protection optimale.</p>
<p>Ces éléments doivent pouvoir être contractualisés et vérifiés auprès des différents fournisseurs, d’où l’importance des projets de labels et de certifications portés au niveau de l’état ».</p>
</blockquote>
<p>La question de la localisation physique des données d’un <em>cloud</em> souverain sera abordée encore plus précisément dans le glossaire d’une <a href="https://francearchives.fr/file/f7ace4517613a246583fd2dd673a0e6d0f86c039/static_9151.pdf">note ministérielle du 5 avril 2016</a> :</p>
<blockquote>
<p>« Cloud souverain : Modèle de déploiement dans lequel l’hébergement et l’ensemble des traitements effectués sur des données par un service de cloud sont physiquement réalisés dans les limites du territoire national par une entité de droit français et en applications des lois et normes françaises. »</p>
</blockquote>
<p>L’idée principale est de doter le <em>cloud</em> d’un <em>sous cloud</em>, vers lequel pouvoir orienter les organisations publiques et parapubliques, afin qu’elles puissent tout simplement respecter leurs obligations légales et réglementaires.</p>
<h2>De Paris à Chicago, en passant par Ningxia</h2>
<p>Toutefois, un tel affichage volontariste ne suffit pas. Les pieds de nez à <a href="http://www.latribune.fr/technos-medias/informatique/20150113triba29598d73/le-cloud-a-la-francaise-histoire-d-un-flop.html">Andromède</a> furent assez nombreux, comme en <a href="http://www.lemagit.fr/etude/AWS-choisi-par-le-Conseil-regional-de-Bretagne-le-cloud-souverain-vacille">Bretagne, avec AWS</a>. La question de la localisation physique des données reste effectivement délicate à aborder, car elle est directement liée à celle du triptyque <em>CIA</em> (<em>confidentiality integrity availability</em>, soit confidentialité intégrité disponibilité)</p>
<p>Notons que la solution proposée par un opérateur <em>cloud</em> peut être mixte et peut mobiliser plusieurs des méga <em>data center</em> localisés de par le monde. Il est également évident que les données puissent être sauvegardées et/ou répliquées sur plusieurs sites distants. Elles peuvent même être fragmentées et partagées entre hébergeurs.</p>
<p>Les données externalisées dans le <em>cloud</em> peuvent donc être stockées sur des sites aussi exotiques que tempérés comme Chicago (Microsoft), Maiden (Apple) Val-de-Reuil (Orange), Paris (Zayo), <a href="http://www.usine-digitale.fr/article/data4-leve-250-millions-d-euros-pour-accelerer-l-expansion-de-son-reseau-de-datacenters.N535224">Marcoussis (Data4)</a>, Hohhot (China Telecom), <a href="http://www.numerama.com/business/275999-le-sixieme-data-center-europeen-de-google-sera-bati-au-luxembourg.html">Luxembourg (Google)</a>, Covila (Portugal Telecom) ou bien sur <a href="https://www.lesechos.fr/05/10/2016/LesEchos/22291-086-ECH_amazon-web-services-et-microsoft-vont-ouvrir-leurs-propres-centres-de-donnees-en-france.htm">Montréal, Dublin, Ningxia, Francfort ou Paris (AWS)</a>.</p>
<p>Notons que juridiquement, des données stockées sur le territoire métropolitain peuvent théoriquement <a href="http://www.cil.cnrs.fr/CIL/spip.php?article1918">tomber sous le coup du <em>Patriot Act</em></a> américain (nouvellement <em>Freedom Act</em>), si l’entreprise est de nationalité américaine. C’est bien évidemment le cas des cinq GAFAM (Google, Apple, Facebook, Amazon, Apple). Notons aussi la réponse européenne, fin 2016, au travers du déploiement d’un bouclier de confidentialité avec pour feuille de route le <a href="https://www.cnil.fr/fr/communique-g29-seance-pleniere-du-g29-des-12-et-13-decembre-2016"><em>Privacy Shield</em></a>.</p>
<figure class="align-center zoomable">
<a href="https://images.theconversation.com/files/184896/original/file-20170906-9875-p5p914.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=1000&fit=clip"><img alt="" src="https://images.theconversation.com/files/184896/original/file-20170906-9875-p5p914.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/184896/original/file-20170906-9875-p5p914.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=332&fit=crop&dpr=1 600w, https://images.theconversation.com/files/184896/original/file-20170906-9875-p5p914.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=332&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/184896/original/file-20170906-9875-p5p914.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=332&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/184896/original/file-20170906-9875-p5p914.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=417&fit=crop&dpr=1 754w, https://images.theconversation.com/files/184896/original/file-20170906-9875-p5p914.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=417&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/184896/original/file-20170906-9875-p5p914.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=417&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px"></a>
<figcaption>
<span class="caption">Un dirigeable de l’ONG Greenpeace, survolant des <em>data center</em> de la NSA, à Bluffdale, Utah (27 juin 2014).</span>
<span class="attribution"><a class="source" href="https://www.flickr.com/photos/electronicfrontierfoundation/14918754755/">Greenpeace/EFF/Flickr</a>, <a class="license" href="http://creativecommons.org/licenses/by/4.0/">CC BY</a></span>
</figcaption>
</figure>
<p>Techniquement, ces mégas <em>data center</em> proposent donc de répliquer les données dans différents centres de par le monde, à la fois pour des raisons de sécurité (si un <em>data center</em> « tombe » pendant quelques heures, alors un autre peut prendre la relève), et pour des raisons d’efficacité énergétique ou informatique (pour pouvoir utiliser les données proches de l’utilisateur).</p>
<p>Ce n’est pas le cas des micros <em>data center</em>, qui vont seulement dupliquer les données à quelques kilomètres, pour pouvoir affronter les plus gros aléas.</p>
<h2>Pour un cloud régional et souverain</h2>
<p>La question d’un <em>cloud</em> qui garantirait à ses clients une certaine localisation physique et géographique (par exemple une région) des données est donc fondamentale. Nous nommerons ce type de <em>cloud</em> un « cloud régional » et, en cohérence avec la précédente proposition, nous le définirons ainsi :</p>
<blockquote>
<p>« Cloud régional : Modèle de déploiement dans lequel l’hébergement et l’ensemble des traitements effectués sur des données par un service de cloud sont physiquement réalisés dans les limites du territoire d’une des <a href="http://www.lemonde.fr/politique/article/2014/12/17/la-carte-a-13-regions-definitivement-adoptee_4542278_823448.html">13 régions administratives</a> françaises. »</p>
</blockquote>
<p>Certes, cette question n’est pas nouvelle. Les premiers projets de <em>data center</em> régionaux datent des années 2010 avec, par exemple, ceux portés par <a href="http://www.lejournaldesentreprises.com/editions/44/actualite/leader/christophe-chapet-le-grand-projet-d-adn-ouest-04-05-2012-151101.php">ADN’Ouest</a>. Cette éventualité s’installe peu à peu dans le débat public, notamment pour faire face aux exigences croissantes venant des collectivités territoriales, du public et du parapublic, voire des TPE et ETI.</p>
<p>Toutefois, ne nous méprenons pas. Un <em>cloud</em> régional (garanties sur la localisation physique) n’est donc pas forcément un <em>cloud</em> souverain et un <em>cloud</em> souverain (garanties territoriales, techniques et juridiques) n’est donc pas automatiquement un <em>cloud</em> régional… Cependant un <em>cloud</em> qui serait à la fois souverain et régional est tout à fait envisageable en 2017. Il serait même opportun, selon un grand nombre d’acteurs, notamment économiques, politiques, <a href="http://www.france-bioinformatique.fr/fr/cloud">académiques</a>, praticiens et associatifs.</p>
<p>En particulier, et paradoxalement, depuis la fin officielle, il y a un an déjà, de l’<a href="https://www.lesechos.fr/idees-debats/cercle/cercle-160758-le-cloud-souverain-est-mort-vive-les-clouds-souverains-2029744.php">expérience Andromède</a>, pilotée par l’État français. Mais l’activité demeure fleurissante, citons simplement en ce moment en France, les performances des opérateurs <a href="https://www.lesechos.fr/thema/030359084178-ovh-une-presence-sur-tous-les-continents-2092072.php">OVH</a> et Orange/Cloudwatt (malgré la <a href="http://www.zdnet.fr/actualites/orange-huawei-l-accord-sur-le-cloud-souleve-des-interrogations-39849858.htm">polémique</a> liée au rapprochement avec l’équipementier chinois Huawai ciblant l’international), et la belle santé du marché du <em>cloud</em> en métropole.</p>
<h2>Coûts et soutenabilité du <em>cloud</em></h2>
<figure class="align-right zoomable">
<a href="https://images.theconversation.com/files/184892/original/file-20170906-9875-py3rkq.png?ixlib=rb-1.1.0&q=45&auto=format&w=1000&fit=clip"><img alt="" src="https://images.theconversation.com/files/184892/original/file-20170906-9875-py3rkq.png?ixlib=rb-1.1.0&q=45&auto=format&w=237&fit=clip" srcset="https://images.theconversation.com/files/184892/original/file-20170906-9875-py3rkq.png?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=543&fit=crop&dpr=1 600w, https://images.theconversation.com/files/184892/original/file-20170906-9875-py3rkq.png?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=543&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/184892/original/file-20170906-9875-py3rkq.png?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=543&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/184892/original/file-20170906-9875-py3rkq.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=682&fit=crop&dpr=1 754w, https://images.theconversation.com/files/184892/original/file-20170906-9875-py3rkq.png?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=682&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/184892/original/file-20170906-9875-py3rkq.png?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=682&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px"></a>
<figcaption>
<span class="caption">Schéma explicatif du cloud computing.</span>
<span class="attribution"><a class="source" href="https://www.flickr.com/photos/hagengraf/8027076952/">Sam Johnston/Wikimedia/Christine und Hagen Graf</a>, <a class="license" href="http://creativecommons.org/licenses/by-sa/4.0/">CC BY-SA</a></span>
</figcaption>
</figure>
<p>Revenons à la logique de l’externalisation des données et des applications, qui est sous-jacente à l’<a href="https://www.researchgate.net/profile/Tiago_Oliveira3/publication/261406407_Assessing_the_Determinants_of_Cloud_Computing_Adoption_An_Analysis_of_the_Manufacturing_and_Services_Sectors/links/55ca90ce08aebc967dfbe692/Assessing-the-Determinants-of-Cloud-Computing-Adoption-An-Analysis-of-the-Manufacturing-and-Services-Sectors.pdf">adoption des solutions proposées par le « cloud »</a>. Pour faire simple, l’informatique n’est pas du tout dans les nuages… elle est, bel et bien, sur terre, et <a href="https://www.researchgate.net/profile/Will_Venters/publication/255858097_A_Critical_Review_of_Cloud_Computing_Researching_Desires_and_Realities/links/57f220f808ae91deaa5620f5/A-Critical-Review-of-Cloud-Computing-Researching-Desires-and-Realities.pdf">son impact environnemental</a> est loin d’être négligeable. Les vastes usines à données des géants du <em>cloud</em> sont de grandes <a href="http://www.lemonde.fr/planete/article/2013/07/01/les-centres-de-donnees-informatiques-gros-consommateurs-d-energie_3439768_3244.html">consommatrices d’énergie</a>.</p>
<p>Au fond, comment expliquer cette réussite énergivore ? La diversité, la fluidité, la prévisibilité financière, la performance (affichée), la volumétrie des données à traiter, la rareté et le coût des compétences en interne, la sécurité et la simplicité (perçue) sont parmi les facteurs explicatifs majeurs de l’adoption du <em>cloud</em> par les clients. Nous évoquons là surtout les DSI des grands comptes, car la question se pose en <a href="https://theconversation.com/quand-les-donnees-des-pme-migrent-vers-les-nuages-liberation-ou-vassalisation-70822">termes relativement différents pour les TPE, PME et ETI</a>.</p>
<p>Pour faire simple, le <em>cloud</em> est soit public, soit privé, soit hybride, selon que les services <em>cloud</em> sont partagés entre les clients, ou exclusivement réservés à un client, ou alors imbriqués. Les trois principaux modèles de services sont le « software as a service » (fourniture de logiciel en ligne), le « platform as a service » (fourniture d’une plateforme de développement d’applications en ligne), et le « Infrastructure as a Service » (mise à disposition d’infrastructures de calcul, de traitement et de stockage en ligne).</p>
<p>Face à la croissance de l’activité, à l’impact du <em>cloud</em>, et en cohérence avec les <a href="http://www.misq.org/downloadable/download/linkSample/link_id/838/">intéressantes et bienvenues innovations du Green IT</a>, nous ajoutons donc une définition de ce que serait un <em>cloud</em> soutenable :</p>
<blockquote>
<p>« Cloud soutenable : Modèle de déploiement dans lequel l’hébergement et l’ensemble des traitements effectués sur des données par un service de cloud sont respectueux des dimensions environnementale, économique et sociétale-éthique »</p>
</blockquote>
<p>Dans la logique de ces trois définitions, le <em>cloud</em> privé/public/hybride peut donc être approché au travers de trois grands sous-<em>cloud</em>, caractérisés chacun par des critères et garanties spécifiques.</p>
<figure class="align-center ">
<img alt="" src="https://images.theconversation.com/files/184922/original/file-20170906-9862-mx26zj.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/184922/original/file-20170906-9862-mx26zj.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=338&fit=crop&dpr=1 600w, https://images.theconversation.com/files/184922/original/file-20170906-9862-mx26zj.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=338&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/184922/original/file-20170906-9862-mx26zj.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=338&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/184922/original/file-20170906-9862-mx26zj.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=424&fit=crop&dpr=1 754w, https://images.theconversation.com/files/184922/original/file-20170906-9862-mx26zj.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=424&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/184922/original/file-20170906-9862-mx26zj.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=424&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">cloud_souverain_regional_bidan_guedon.</span>
<span class="attribution"><span class="source">bidan_guedon</span></span>
</figcaption>
</figure>
<p>Nous allons discuter dans un second article de la pertinence et de la réalité ces trois intersections, en postulant que la cible à court et moyen terme est l’intersection verte (CSR), mais que les intersections orange et rouge seront sérieusement à prendre en considération à terme.</p><img src="https://counter.theconversation.com/content/73293/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Marc Bidan ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>Certains acteurs sont convaincus que les clouds régionaux et leurs data center locaux redeviendront incontournables et rentables. Rêvons d’un cloud souverain, régional et soutenable.Marc Bidan, Professeur des universités en management des systèmes d’information, Université de NantesLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/779242017-06-06T20:21:13Z2017-06-06T20:21:13ZVirus et logiciels malveillants : se protège-t-on correctement ?<figure><img src="https://images.theconversation.com/files/172266/original/file-20170605-16909-1ys0n7o.jpg?ixlib=rb-1.1.0&rect=0%2C790%2C8786%2C5058&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Menaces informatiques.</span> <span class="attribution"><span class="source">Shutterstock</span></span></figcaption></figure><p>Les incidents de cybersécurité font de plus en plus parler d’eux. Les médias les évoquent fréquemment, tandis que des spécialistes s’expriment, comme Guillaume Poupard, Directeur général de l’<a href="http://www.ssi.gouv.fr/">Agence nationale pour la sécurité des systèmes d’information</a>. Cela témoigne d’un impact de plus en plus important de ces incidents numériques sur notre quotidien. La question de la protection de nos activités numériques, et de la qualité de celle-ci, se pose donc. La publicité faite autour des incidents de sécurité peut, à première vue, induire une réponse négative à la question posée.</p>
<h2>État des lieux</h2>
<p>Regardons donc l’évolution des vulnérabilités logicielles telle que peut la montrer la <a href="https://nvd.nist.gov/">National Vulnerability Database</a> (NVD), le site de référence du <a href="https://www.nist.gov">National Institute of Standards and Technology</a> (NIST) américain.</p>
<figure class="align-center ">
<img alt="" src="https://images.theconversation.com/files/172117/original/file-20170604-20599-zvkox6.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/172117/original/file-20170604-20599-zvkox6.png?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=227&fit=crop&dpr=1 600w, https://images.theconversation.com/files/172117/original/file-20170604-20599-zvkox6.png?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=227&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/172117/original/file-20170604-20599-zvkox6.png?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=227&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/172117/original/file-20170604-20599-zvkox6.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=286&fit=crop&dpr=1 754w, https://images.theconversation.com/files/172117/original/file-20170604-20599-zvkox6.png?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=286&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/172117/original/file-20170604-20599-zvkox6.png?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=286&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">Distribution des vulnérabilités aux attaques, classées par degré de vulnérabilité sur une période de temps.</span>
<span class="attribution"><span class="source">https://nvd.nist.gov/vuln-metrics/visualizations/cvss-severity-distribution-over-time</span>, <a class="license" href="http://creativecommons.org/licenses/by/4.0/">CC BY</a></span>
</figcaption>
</figure>
<p>Lorsque l’on analyse la répartition des vulnérabilités aux attaques informatiques, telle que publiée par le National Institute of Standards and Technology (NIST) américain dans les visualisations de la <a href="https://nvd.nist.gov/">National Vulnerability Database</a>, on note que depuis 2005, il n’y a pas d’augmentation significative du nombre de vulnérabilités publiées chaque année. La répartition des niveaux de risque (majeur, moyen et faible) reste également sensiblement équivalente. Il est cependant encore possible que la situation change pour l’année 2017, dans la mesure où nous ne sommes qu’à mi-année et que nous avons déjà atteint des niveaux de publication similaires à ceux de 2012.</p>
<p>Il convient cependant de noter que la publication d’un nombre croissant de vulnérabilités, avant 2005, est également due en partie à une plus grande exposition des systèmes et logiciels à des tentatives de compromission et des audits externes. Par exemple, Google a mis en œuvre <a href="https://googleprojectzero.blogspot.fr/">Google Project Zero</a>, qui recherche explicitement des vulnérabilités dans les programmes et les rend publiques. Il y a donc naturellement plus de découvertes.</p>
<p>Il y a également un nombre croissant d’objets, le fameux Internet des Objets, qui embarquent du logiciel, donc des vulnérabilités. L’exemple récent du <a href="https://fr.wikipedia.org/wiki/Mirai">réseau « Mirai »</a> démontre la vulnérabilité de ces environnements qui comptent pour une part croissante de nos activités numériques. L’augmentation du nombre de vulnérabilités publiées représente donc tout simplement l’accroissement de nos activités numériques.</p>
<h2>Et les attaques ?</h2>
<p>La publicité autour des attaques n’est pas liée directement au nombre de vulnérabilités, même si elle en fait partie. La notion de vulnérabilité ne donne pas directement l’impact que cela peut avoir sur nos vies. En effet, l’effet du code malveillant <a href="https://fr.wikipedia.org/wiki/WannaCry">WannaCry</a> sur le système de santé britannique, en rendant inopérants certains hôpitaux et services d’urgence, peut être considéré comme une étape significative dans la nocivité de ces codes malveillants. En effet, cela a amené soit à des décès, soit à des retards de soins à une échelle jamais envisagée à ce jour.</p>
<p>Il est toujours facile de dire <em>a posteriori</em> que c’était prévisible. Il faut cependant bien reconnaître que l’usage, dans ces systèmes vitaux, de « vieux » outils (Windows XP, <a href="http://www.cert.ssi.gouv.fr/site/CERTFR-2017-ACT-019.pdf">SMBv1</a>), est problématique. Quinze ans, dans le monde numérique, représente 3 voire 4 générations de systèmes d’exploitation. En contraste, dans le monde physique, nous pouvons avoir des équipements de 20, 30 ans, voire beaucoup plus. Qui imaginerait qu’une voiture soit obsolète (au point d’en être inutilisable) au bout de cinq ans ? Cette différence majeure d’évaluation du temps, profondément ancrée dans notre manière de vivre aujourd’hui, explique en grande partie le succès et l’impact des attaques que nous vivons aujourd’hui.</p>
<p>Il convient également de noter que les attaques numériques, tant en ampleur qu’en impact, ne sont pas nouvelles. Les vers <a href="https://fr.wikipedia.org/wiki/Code_Red">CodeRed</a> en 2001 et <a href="https://fr.wikipedia.org/wiki/SQL_Slammer">Slammer</a> en 2003 ont également infecté un nombre de machines très important et rendu inutilisable pendant quelque temps l’Internet. Seule la moindre dépendance, à ces époques, des infrastructures critiques à une connectivité permanente a limité leur impact au seul monde numérique.</p>
<p>Il faut préciser que les attaques les plus critiques ne sont pas celles dont les attaquants bénéficient le plus. L’attaque contre le <a href="https://bgpmon.net/the-canadian-bitcoin-hijack/">réseau Bitcoin du Canadian Bitcoin Highjack</a> en 2014 a permis aux attaquants de détourner cette monnaie virtuelle pour un gain financier direct sans pour autant perturber le réseau, alors que <a href="http://www.bortzmeyer.org/pakistan-pirate-youtube.html">d’autres attaques similaires</a> contre le routage en 2008 ont rendu le réseau largement indisponible, sans aucun gain financier.</p>
<p>Alors, qu’en est-il de notre protection numérique et de son efficacité ?</p>
<p>Il est indéniable que depuis de nombreuses années, des progrès très significatifs ont été réalisés dans la protection des systèmes d’information. La détection d’un nombre croissant de vulnérabilités, associée à une mise à disposition de plus en plus rapide des mises à jour, renforce continuellement la fiabilité des services numériques. L’automatisation du processus de mise à jour pour les particuliers, qui concerne non seulement les systèmes d’exploitation, mais également les navigateurs, les applications, les téléphones et les tablettes, permet de limiter le temps d’exposition à une vulnérabilité.</p>
<p>Par ailleurs, dans le monde professionnel, nous avons assisté à une véritable <a href="https://en.wikipedia.org/wiki/Information_security_indicators">prise de conscience des risques associés aux usages du numérique</a>, à une mise en place d’outils techniques, et également de moyens de formation et de certification, qui permettent d’envisager une sensibilisation générale de tous les utilisateurs aux risques et aux opportunités apportés par le numérique.</p>
<h2>Comment continuer à réduire les risques ?</h2>
<p>Après 25 ans de travaux de recherche dans le domaine, et même s’il convient de rester humble devant les risques qui sont et seront encore devant nous, je reste optimiste quant aux possibilités de renforcer notre confiance dans le monde numérique. Il semble cependant nécessaire d’accompagner tous les utilisateurs dans leurs activités numériques, afin qu’ils puissent comprendre le fonctionnement de ces services et les risques associés. La publication par l’<a href="https://www.ssi.gouv.fr/guide/guide-dhygiene-informatique/">ANSSI de règles d’hygiène informatique</a> utilisables tant personnellement que professionnellement est un exemple significatif de ce besoin d’information et de formation. Cela permettra à chacun de faire, en conscience, les choix d’usage appropriés.</p>
<p>Un autre aspect, plus orienté vers les développeurs et fournisseurs de services, est d’accroître la modularité de nos systèmes. Cela permettra de contrôler l’accès à nos systèmes numériques, de les configurer plus simplement et de les mettre à jour plus facilement. Ainsi nous continuerons à réduire notre exposition au risque d’attaque informatique tout en utilisant de plus en plus largement nos outils numériques.</p><img src="https://counter.theconversation.com/content/77924/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Hervé Debar a reçu des financements de l'ANR, CELTIC, PIA, FP7, H2020, pour des projets de recherche collaborative dans le domaine de la cyber-sécurité.</span></em></p>À l’instar du récent WannaCry, les virus et autres logiciels pirates font désormais partie de notre quotidien numérique. Quelle est l’ampleur des menaces ? Comment s’en protéger ?Hervé Debar, Directeur de la Recherche et des Formations Doctorales à Télécom SudParis, Télécom SudParis – Institut Mines-TélécomLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/709122017-02-21T20:45:31Z2017-02-21T20:45:31ZQuand le nuage devient souverain… ou pourquoi stocker et traiter les données sur le territoire ?<figure><img src="https://images.theconversation.com/files/157426/original/image-20170219-10220-1p49k97.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Cloud computing…</span> <span class="attribution"><a class="source" href="https://www.flickr.com/photos/111692634@N04/18060891574/in/photolist-tvYMQj-6zkb5E-dAvoTR-pHWVAB-9xR1Zj-pHTmRB-7Zj2va-pHYG5h-4rwML6-9S5Pa8-9xN2ux-7Hfa7K-anSgJF-5noJXC-dg27bs-7ZnekA-7nmCxz-63ksPo-61QtnS-6pHriH-mZdrop-4ZwQta-4Z3733-7kwHmB-dCjx4z-7kwAkp-7nmCFz-acK6jZ-mZdr2n-6kkRs9-7fqkQp-7kAz1Q-7mdJmQ-7tpmPP-7kwFyZ-9R2DoW-8rwVc7-mZfcku-8rtPag-8rwVSU-mZedzX-8rwUME-8rwUG9-8rwV6m-8rtNGr-8rtPuR-inZKWL-9Eg22c-5Shg3h-9Fr1B8">Blue Coat Photos / Flickr</a>, <a class="license" href="http://creativecommons.org/licenses/by-sa/4.0/">CC BY-SA</a></span></figcaption></figure><p>L’idée centrale de cet article est de montrer que, à moyen terme, les clouds souverains localisés sur le territoire national seront une évidence juridique et opérationnelle dans nos écosystèmes numériques même si, à court terme et au regard des semi-échecs récents, ils peuvent paraître mal engagés !</p>
<h2>La romanesque histoire des modalités d’accès aux données personnelles</h2>
<p>La première partie de cet article est consacrée à la nouvelle donne qui impose soit de jure soit de facto d’implanter des <a href="http://bit.ly/2lV5a3S"><em>data centers</em></a> performants sur notre territoire national.</p>
<p>Nous commencerons ce plaidoyer en insistant sur des aspects historiques et juridiques outre-Atlantique. En pratique, l’utilisation des données personnelles par les agences de renseignement et de sécurité américaines est encadrée par le <a href="http://bit.ly/2jGpWUh">Privacy Act de 1974</a> qui apparaît comme assez respectueux des libertés.</p>
<h2>A propos du Patriot Act (US)…</h2>
<p>Le Patriot Act voté le 26 octobre 2001 a changé la donne en profondeur. Cette loi antiterroriste, post 11 septembre 2001, autorisait les autorités américaines à accéder aux données informatiques stockées sur le sol américain et détenues soit par des particuliers soit par des entreprises. La loi dispensait les autorités d’autorisation préalable et d’information préalable et donc elle accentuait les pouvoirs des agences gouvernementales comme le FBI, la CIA ou la NSA. Certes cette loi – liberticide – fut critiquée car elle entrait en résonance avec six amendements de la Constitution américaine.</p>
<p>Le Patriot Act a été prolongé par un vote du Congrès en 2011 jusqu’à juin 2015 c’est-à-dire grosso modo jusqu’au Freedom Act du 2 juin 2015 même si ce dernier n’abroge pas l’intégralité des dispositions du Patriot Act. Concrètement, les renseignements n’auraient accès aux données des Américains et/ou stockées sur le territoire américain si et seulement si un tribunal juge qu’il existe une suspicion de lien avec le terrorisme international.</p>
<p>Plus récemment, avant l’élection de Donald Trump, le <a href="http://bit.ly/2kTqEtT">LEADS Act</a> (<em>law enforcement access to data stored abroad</em>) devrait mieux définir les scenari selon lesquelles le Gouvernement US serait en capacité d’accéder à des données en provenance des pays étrangers. Ainsi, cette loi n’autorise l’utilisation des mandats de perquisition extraterritoriale que si le Gouvernement cherche à obtenir le contenu des communications électroniques appartenant à un national des États-Unis.</p>
<p>À titre anecdotique en 2016, deux affaires judiciaires majeures, largement médiatisées, sont à l’origine de textes visant à clarifier et à encadrer ces démarches. L’affaire « Microsoft Corporation <em>v</em> United States of America » et l’affaire <a href="http://cnb.cx/2gGnk41">« Apple <em>v</em> FBI »</a> vont défrayer la chronique et questionner les modalités d’accès aux données personnelles.</p>
<h2>… et du Privacy Shield (UE)</h2>
<p>Concernant les données des citoyens européens, après un « Safe Harbor » contreversé, il existe désormais un « Privacy Shield » qui a été conclu entre l’UE et les USA le 2 février 2016 (il y a un an) et <a href="http://bit.ly/2enKrCG">adopté le 12 juillet 2016</a>. Cet accord reste critiqué mais il réjouit les acteurs de l’Internet qui était confrontés à une réelle insécurité juridique. Il stipule que les données relatives aux citoyens européens qui sont stockées sur le territoire des États-Unis doivent bénéficier d’une protection équivalente à celle prévue par la législation européenne. Toutefois, quand le « Safe Harbor » proposait exceptionnellement l’accès aux données personnelles pour des motifs de sécurité nationale, le « Privacy Shield » tant à l’instituer comme une règle. De fait, un accès systématique des agences de renseignement américaines aux données personnelles en provenance de l’Union européenne pour des motifs de sécurité nationale semble devenir automatique !</p>
<p>L’élection de Donald Trump change la donne et <a href="http://bit.ly/2l9L59w">ses décrets relatifs à l’immigration</a> comportent quelques lignes qui remettent en cause le « Privacy Shield » déployé cet été et facilitent l’accès aux données stockées sur le territoire américain. Ainsi, les USA acceptent de mettre fin à une collecte indiscriminée de données… excepté s’ils sont confrontés à des motifs de sécurité nationale ou pour des « considérations techniques ou opérationnelles » ce qui reste suffisamment large et flou pour inquiéter les défenseurs des libertés et données personnelles.</p>
<p>À ce propos, il est intéressant de noter que la loi française, rappelée par la CNIL, interdit clairement de transférer des données vers des pays ou des destinataires hors de l’UE dont le <a href="http://bit.ly/2lXF9xt">niveau de protection ne serait pas suffisant</a>. La CNIL met ainsi en ligne une carte des <a href="http://bit.ly/2kz8m4H">pays reconnus adéquats</a> par l’UE pour leur capacité à protéger les données.</p>
<h2>La non moins romanesque aventure du cloud souverain à la française</h2>
<p>La seconde partie de cet article est consacrée à l’aventure récente de la tentative de construction d’un cloud souverain français avec ses premiers et seconds rôles, ses souffleurs, son metteur en scène, ses décors et son théâtre</p>
<p>À partir de 2009, le gouvernement français se pencha sur le berceau de l’informatique en nuage via l’ambitieux mais <a href="http://bit.ly/2kWyMtf">chaotique projet Andromede</a>. Il fallait que l’économie française puisse s’équiper et résister face aux géants américains du cloud computing (Amazon Web Services, Microsoft, Google, Oracle…). À partir de 2012, l’idée était de se doter de deux structures (Cloudwatt/Orange-Thales, Numergy/Caisse des Dépots) et de datacenter propres à héberger des données sur le sol national afin de protéger les professionnels des services de renseignement étrangers évoqués dans le paragraphe précédant.</p>
<p>Après quelques années (six…), bien des déboires (organisationnels, opérationnels et politiques) et bien des millions d’euros (56, selon <a href="http://bit.ly/2mbWL80">certaines estimations</a>) force est de constater que l’aventure s’est mal terminée ! En 2015, l’entreprise <a href="https://www.numergy.com/">Numergy</a> est placée en procédure dite de sauvegarde puis est rachetée à 100 % par SFR et dans le même temps <a href="https://www.cloudwatt.com/fr/">Cloudwatt</a> est absorbée par le groupe Orange Business Services. L’aventure institutionnelle rentre dans le rang…</p>
<p>Ces deux structures sont toujours en activité. Cloudwatt se présente désormais comme une alternative qui permet de « Choisir le cloud public français souverain et open source » et Numergy Stockage comme hébergeurs de « vos données hautement sécurisées en France ». Elles agissent – et s’affrontent – sur le cloud <a href="http://bit.ly/1HKVcW1">aux cotés d’opérateurs français</a> comme OVH, Orange, Ikoula, Outscale (Dassaut Systeme), Aspaway (Claranet)… et les opérateurs américains incontournables que sont Amazon, Google, IBM, Microsoft ou Oracle. Le marché du cloud a repris ses droits et le cloud souverain français est encore bien fragile et balbutiant !</p>
<h2>La très opportune implantation de datacenter sur le territoire français</h2>
<p>La troisième partie est centrée sur l’offre qui émerge portée par des opérateurs privés étrangers (type <a href="https://aws.amazon.com/fr/">AWS</a>) ou nationaux (type <a href="https://www.ovh.com/fr/">OVH</a>)</p>
<p>Le paradoxe est qu’il apparaît utile de mettre à disposition des entreprises françaises un cloud souverain porté par des entreprises pérennes et robustes de nationalité et/ou de droit français. Certes OVH, Numergy et Cloudwatt peuvent proposer une offre intéressante, mais elle doit pouvoir affronter la force de frappe du leader mondiale – AWS – qui <a href="http://bit.ly/2dBMI9g">arrive sur le territoire</a> avec ses datacenter, ses services et son cloud <em>on demand</em> <a href="http://bit.ly/2kBTPFt">(SaaS, PaaS, IaaS).</a>.</p>
<p>En effet, la France (Paris notamment) va accueillir au moins trois data centers de AWS, après l’Irlande (Dublin), l’Allemagne (Francfort) et l’Angleterre (Londres). À ce propos, Jeff Bar qui est <em>chief evangelist</em> chez AWS se permet un tonitruant <a href="http://bit.ly/2kBOZYT">« bonjour la France »</a> qui précède un encourageant et rassurant « cette région doit donner aux partenaires d’AWS et à ses clients la possibilité de faire tourner leurs <em>workloads</em> et de stocker leurs données en France ».</p>
<p>L’idée est de proposer aux organisations en situation d’insécurité juridique, ou tout simplement en situation d’insécurité perçue, une offre d’hébergement sur le territoire national et en conformité avec l’<a href="http://bit.ly/2kBBZlU">obligation légale de stockage</a> des données, notamment des archives, en France. En termes simples, les collectivités locales (mairie, etc.) n’ont donc pas le droit d’utiliser des outils comme Gmail, Hotmail voire dropbox pour véhiculer des données institutionnelles relevant des archives. Elles doivent se rapprocher des Archives départementales qui <em>se tiennent à disposition des collectivités pour les orienter vers des offres de clouds souverains, garantissant la traçabilité des données</em>.</p>
<p>En effet, une <a href="http://bit.ly/2kBDSPN">circulaire récente du 5 avril 2016</a> émanant du ministère de l’Intérieur à destination des collectivités locales montre l’impérieuse nécessité de se doter d’infrastructures robustes en France. Il s’agit d’une part d’offrir une offre de cloud souverain située en France et d’autre part d’accompagner les acteurs nationaux opérant en France afin qu’un énorme marché institutionnel (dépassant largement celui des archives) ne soit pas capté essentiellement par Amazon !</p>
<h2>Vers des clouds souverains… régionaux ?</h2>
<p>Aujourd’hui les clouds sont monnaie courante. Soulignons toutefois un fait primordial. Un cloud pour l’entreprise garantit la confidentialité des informations et process stockés et qui tournent sur le cloud. Un cloud pour les particuliers (Facebook, Google, Microsoft…) vous demande d’abord de signer le fait que les données vont appartenir au dit cloud (même si ce dernier ne sera pas (ou peu) <a href="http://bit.ly/2mceLPP">responsable d’éventuelles pertes</a> de vos données).</p>
<p>C’est cette dernière activité qui permet de revendre les données (<a href="http://bit.ly/2kBL7Hp">monétisation des données</a>) à des fins de publicité personnalisée. C’est aussi la façon la plus lucrative de gérer un cloud. IL s’agit d’un service « gratuit » qui permet d’aspirer les données personnelles à des fins publicitaires tout en proposant un accès aux professionnels avec une tarification à l’usage qui peut ainsi rester modeste.</p>
<p>En cohérence avec les cadres réglementaires et juridiques et avec les pratiques des clients qui vont tous les deux rapidement évoluer, les clouds souverains/nationaux devront inventer leurs propres modèles économiques et s’imposer sur leur niche face aux clouds publics, privés et hybrides. Puis viendra peut-être le tour des <a href="http://bit.ly/2mc05QC">clouds souverains/régionaux</a> ?</p><img src="https://counter.theconversation.com/content/70912/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Les auteurs ne travaillent pas, ne conseillent pas, ne possèdent pas de parts, ne reçoivent pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'ont déclaré aucune autre affiliation que leur organisme de recherche.</span></em></p>La logique marchande de l’externalisation des informations dans le cloud n’est pas compatible avec le stockage et traitement de certaines informations. Quid d’un cloud qui serait enfin souverain ?Marc Bidan, Professeur des universités en management des systèmes d’information, Université de NantesJean-Pierre Guedon, Professeur des Universités en Informatique, Université de NantesLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/708272017-02-16T21:29:33Z2017-02-16T21:29:33ZFaire, faire faire ou ne pas faire, la chasse aux bugs ?<figure><img src="https://images.theconversation.com/files/156937/original/image-20170215-19267-1lmqctx.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Une vraie nuisance.</span> <span class="attribution"><span class="source">Idatabase blog</span>, <a class="license" href="http://creativecommons.org/licenses/by/4.0/">CC BY</a></span></figcaption></figure><p>Les bugs informatiques, comme tous défauts, sont coûteux lorsqu’ils sont traités tout comme lorsqu’ils ne le sont pas ! Alors, que faire ? Comment faire ? Affronter, contourner ou fuir ? Quels seraient les outils et les stratégies possibles des entreprises face à ces fréquents défauts informatiques ?</p>
<h2>De quel bug (ou bogue) parle-t-on vraiment ?</h2>
<p>Le défaut informatique, communément appelé bug (anglophone) ou <a href="https://www.developpez.net/forums/d1417640/general-developpement/langages-programmation/bug-bogue-defaut-fonctionnement-contre-anomalie-omission/">bogue</a> (francophone), revêt des dimensions de natures organisationnelles et technologiques <a href="http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.148.2715&rep=rep1&type=pdf">difficilement conciliables</a>. La conséquence d’un bug est connue. Ce défaut sera à l’origine d’un dysfonctionnement plus ou moins grave. Mais sa définition l’est moins.</p>
<p>Deux approches s’opposent pour définir un bug au sein d’un programme informatique ou plus largement d’un système d’information (SI). La première est technique et documentée. Elle apparaît comme un écart avec une référence ou un référentiel. Le bug est dans ce cas une non-conformité ! La seconde est cognitive et liée à la perception. Elle reflète un écart avec une interaction souhaitée ou envisagée par l’utilisateur final. Le bug est dans ce cas une déception ! Dans les deux cas, les conséquences sont le plus souvent <a href="https://blogs.mediapart.fr/jean-marc-adolphe/blog/040616/enorme-bug-informatique-au-credit-cooperatif">financières</a>, <a href="http://www.leparisien.fr/economie/bug-informatique-a-la-caisse-d-epargne-09-01-2008-3295952275.php">opérationnelles</a> et/ou <a href="http://www.huffingtonpost.fr/2017/01/23/primaire-de-la-gauche-la-folle-journee-du-bug-de-la-participati/">médiatiques</a>.</p>
<h2>Défaut, anomalie, omission, incompétence, malveillance… ?</h2>
<p>Restons donc dans le domaine de l’informatique où le bug est un défaut de conception d’un programme informatique à l’origine d’un dysfonctionnement quelconque qui empêche le programme de fonctionner correctement et d’atteindre son but. Ce défaut dans le programme peut résulter d’une anomalie, d’une omission, d’une inattention, d’une incompétence, d’une erreur voire – pourquoi pas ! – d’une malveillance. Même si le terme de « debugger » peut paraître impropre (corriger ou réparer sont souvent préferables) c’est donc bien l’acte de remettre en état le programme pour lui permettre de fonctionner.</p>
<p>Avant de traiter le bug, il nous faut donc caractériser <a href="http://www.sciencesetavenir.fr/high-tech/google-celebre-grace-hopper-decouvreuse-du-premier-vrai-bug-informatique_35478">ce très ancien</a> compagnon d’infortune de tout informaticien. Ce défaut – cet écart – informatique peut donc être volontaire ou involontaire. S’il est volontaire, il peut être d’origine interne ou externe, nous parlerons alors de malveillance, d’incompétence, de manipulation, d’escroquerie, d’intrusion, d’insuffisance des ressources (virus, vers, configuration…). S’il ne l’est pas, il peut également être d’origine interne ou externe, nous parlerons d’anomalie, d’erreur, d’incapacité, de coûts de <a href="http://ossia-conseil.com/2015/12/21/la-sous-qualite-une-norme/">sur/sous-qualité</a>, d’intempérie, de non-conformité matérielle (panne, plantage, paramétrage inadéquat…).</p>
<p>Les caractéristiques sont nombreuses et les origines multiples. En général, l’origine de la plupart des bugs oscille <a href="https://veilleprosp.wordpress.com/2016/01/19/le-risque-technologique-a-lere-du-tout-numerique/">entre incompétence, incapacité et suffisance.</a></p>
<h2>Comment les traiter ?</h2>
<p>Comme tout dysfonctionnement, les bugs informatiques génèrent des coûts directs, indirects, cachés et d’opportunités. La question de l’évaluation de la <a href="http://www.fehap.fr/upload/docs/application/pdf/2013-07/si_un_bug_metait_compte.pdf">disponibilité d’un système</a> est classique dans le cas du traitement des bugs. Il s’agit de la probabilité que le système puisse fournir le bon service, au bon endroit, au bon utilisateur et au bon moment (plus elle est proche de 100 %, plus le système est fiable).</p>
<p>Ainsi, face à la probabilité de réels désastres économiques et organisationnels, de nombreux outils de <a href="http://www-igm.univ-mlv.fr/%7Edr/XPOSE2006/julien_furgerot/qualite.html">gestion du cycle de vie des logiciels</a>, et donc de leurs bugs, existent. Toutefois, la diversité des dimensions et natures des bugs a notamment pour conséquence de mettre en tension l’utilisation de ces outils et leur mesure de la qualité. Plusieurs questions se posent aux concepteurs, utilisateurs et autres administrateurs de SI.</p>
<p>Comment identifier, suivre, classer les bugs ? Quel angle d’attaque retenir entre l’écart à une référence documentée et/ou l’écart à un besoin d’usage ? Le bug qu’il est urgent de corriger pour une partie prenante (par exemple un client), présente-t-il le même caractère d’urgence pour une autre partie prenante (par exemple un fournisseur) ? Qui va décider ? Qui va payer ? Qui va participer à cet angoissant « tracking » ?</p>
<h2>Tentons l’impossible…</h2>
<figure class="align-left ">
<img alt="" src="https://images.theconversation.com/files/156942/original/image-20170215-19273-174wlw.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=237&fit=clip" srcset="https://images.theconversation.com/files/156942/original/image-20170215-19273-174wlw.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=450&fit=crop&dpr=1 600w, https://images.theconversation.com/files/156942/original/image-20170215-19273-174wlw.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=450&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/156942/original/image-20170215-19273-174wlw.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=450&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/156942/original/image-20170215-19273-174wlw.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=566&fit=crop&dpr=1 754w, https://images.theconversation.com/files/156942/original/image-20170215-19273-174wlw.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=566&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/156942/original/image-20170215-19273-174wlw.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=566&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">Cloud.</span>
<span class="attribution"><span class="source">thefilipinolifestyle.com</span>, <a class="license" href="http://creativecommons.org/licenses/by/4.0/">CC BY</a></span>
</figcaption>
</figure>
<p>Le retour au terrain, aux outils et au marché – qui a profondément été transformé par les solutions <a href="http://www.tutorialspoint.com/articles/how-to-avoid-bugs-in-cloud-computing"><em>cloud computing</em></a> – est indispensable pour aborder ces questions. Nous pouvons ici détailler une expérience qui s’appuie sur la création d’un site <a href="http://www.dctrt.net/">expérimental temporaire.</a> Nous avons pu lister, identifier et caractériser environ 200 solutions logicielles de gestion de situations (<em>issue tracking tools</em>). Nous nous sommes particulièrement intéressés aux fameux logiciels de <a href="https://www.capterra.fr/directory/30090/bug-tracking/software"><em>bug tracking tools</em></a> et à leur impact.</p>
<p>Il ressort premièrement de cette recherche en <a href="http://www.skema-bs.fr/facultes-et-recherche/aim-2017">cours de communication</a> un réel partage, au sein de ces outils SI, d’une fonctionnalité majeure comme l’identification numérotée de la situation à traiter. Il en ressort également la présence quasi systématique d’une évolution possible du classement du statut ou de la maturité des situations et des bugs au fur et à mesure de leur cycle de vie. Il apparaît enfin que, sur l’ensemble des outils informatiques observés, dans plus de 90 % des cas, existe une fonctionnalité sensible qui permet la <a href="http://blog.thiga.fr/product-management/aider-developpeur-blocage-sujet/">priorisation des situations</a> et donc la hiérarchisation des bugs à traiter.</p>
<p>La question du traitement du bug est donc renvoyée à celle de la détermination et de la hiérarchisation de son degré d’importance perçue a priori. Ainsi il y aura intervention et éventuellement réparation en fonction de la perception des coûts induits. Notamment : qui sera impacté ? quels dégâts ? quels coûts ? dans combien de temps ? quel plan B ?… plutôt que de leur réalité informatique, organisationnelle et/ou économique.</p>
<h2>… Mais restons pragmatiques !</h2>
<p>Cette prévalence de l’identification et surtout du classement de situations et bugs en fonction de critères de priorités est compliquée à aborder dans l’organisation. Dans le meilleur des cas, cette hiérarchisation se calera sur les classements qui renvoient à la gravité des effets d’une éventuelle défaillance modélisée par la méthode <a href="http://www.qualiblog.fr/outils-et-methodes/amdec-mode-demploi/">AMDEC</a> (MIL-STD-1629A). Certes cette méthode d’analyse et classements des risques par leur criticité est parfois controversée mais elle reste largement <a href="https://www.lescahiersdelinnovation.com/2016/01/la-methode-amdec-analyse-des-risques/">diffusée et déployée</a>. Quelle que soit la méthode d’analyse, de nombreuses questions complexes, en termes de processus décisionnel, se posent alors aux décideurs. Quel contenu et quel format serions-nous prêts à ajouter à la description des bugs informatiques pour agir sur leur classement habituel ? Peut-on intégrer des éléments qualitatifs (perception, bien-être, qualité…) ? Doit-on supprimer certains critères complexes à traiter (langage, tests…) ?</p>
<h2>Finalement faut-il traiter ou ne pas traiter les bugs ?</h2>
<p>Comme toujours, la question du traitement (faire ou ne pas faire ?) se pose face à un dysfonctionnement. La question suivante est celle du « pourquoi faire » ? Puis évidement arrive celle du « comment faire » ? À ce stade seulement, peuvent alors intervenir <a href="https://www.purebasic.com/french/documentation/reference/ide_debugtools.html">certains outils de débogage</a> voire – quand le mal est fait ! – certaines entreprises dont le métier est de réparer les <a href="http://www.cairn.info/revue-les-enjeux-de-l-information-et-de-la-communication-2009-1-page-79.htm%5D">dégâts numériques</a></p>
<p>Si nous nous référons au coût a priori du traitement, il peut être (clairement) intéressant de ne pas intervenir et d’attendre les (éventuels) dégâts pour les affronter et peut-être les réparer. Cet attentisme <em>de facto</em> dépasse le champ de l’informatique, il peut d’ailleurs être opportunément valorisé au travers d’un travail en commun de la part de <a href="http://blog.js-republic.com/trouver-vos-premiers-bugs-open-source-a-reparer/">communautés open sources</a>. L’accès ou non au code source est un critère majeur pour analyser le cycle de vie des bugs…</p>
<figure class="align-center ">
<img alt="" src="https://images.theconversation.com/files/156943/original/image-20170215-19247-uabg8c.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/156943/original/image-20170215-19247-uabg8c.png?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=337&fit=crop&dpr=1 600w, https://images.theconversation.com/files/156943/original/image-20170215-19247-uabg8c.png?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=337&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/156943/original/image-20170215-19247-uabg8c.png?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=337&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/156943/original/image-20170215-19247-uabg8c.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=424&fit=crop&dpr=1 754w, https://images.theconversation.com/files/156943/original/image-20170215-19247-uabg8c.png?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=424&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/156943/original/image-20170215-19247-uabg8c.png?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=424&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">Ouverture et collaboration.</span>
<span class="attribution"><a class="source" href="https://opensource.com/life/15/7/hyperloop-competition">opensource.com</a>, <a class="license" href="http://creativecommons.org/licenses/by/4.0/">CC BY</a></span>
</figcaption>
</figure>
<p>Néanmoins, en termes managériaux, ces non-décisions sont en cohérence avec la complexité croissante et les coûts élevés de déploiement de stratégies de contrôle <em>ex ante</em>. Ceci a pour conséquence la montée en puissance de stratégies de contrôle essentiellement <em>ex post</em> et donc l’acceptation d’un certain volume de bugs. Des dysfonctionnements qui seront donc traités si et seulement le <a href="http://www.zone-numerique.com/iphone-7-premiers-bugs-apparaissent.html">marché les expose à la lumière !</a></p><img src="https://counter.theconversation.com/content/70827/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Les auteurs ne travaillent pas, ne conseillent pas, ne possèdent pas de parts, ne reçoivent pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'ont déclaré aucune autre affiliation que leur organisme de recherche.</span></em></p>Les bugs informatiques sont coûteux lorsqu’ils sont traités tout comme lorsqu’ils ne le sont pas. Que faire (ou pas) face aux dysfonctionnements et défauts informatiques ?John Kingston, Doctorant, Sciences de Gestion, chargé de cours Polytech Nantes, Université de NantesMarc Bidan, Professeur des Universités - Management des systèmes d’information - Polytech Nantes, Auteurs historiques The Conversation FranceLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/708062017-01-04T07:51:10Z2017-01-04T07:51:10ZÀ la recherche des données perdues<figure><img src="https://images.theconversation.com/files/151542/original/image-20170102-18641-6cdik4.jpg?ixlib=rb-1.1.0&rect=0%2C274%2C900%2C641&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Les données partout.</span> <span class="attribution"><span class="source">Laure Cornu</span>, <span class="license">Author provided</span></span></figcaption></figure><p><em>Cet article est publié en collaboration avec le <a href="http://binaire.blog.lemonde.fr/">Blog Binaire</a>.</em></p>
<hr>
<p>Elles ont nos données ; « elles », ce sont les grandes entreprises du Web : Google, Facebook, Yahoo!, Amazon… et les moins grandes, toutes aussi agressives dans l’entreprise de captation de données. Nous échangeons des messages avec un ami sur des vacances hypothétiques en Crète, et nous voilà inondés de pubs pour des hôtels, des transports… pour la Crète. Certaines viennent manifestement d’une analyse des emails échangés, mais les autres ? Comment sont-ils au courant ?</p>
<p>Regardons d’abord comment fonctionne le Web. Que se passe-t-il quand je visite n‑importe‑quel‑site.com/unepage.html ? Petit dialogue explicatif :</p>
<p><strong>Mon navigateur :</strong> Hum, qui est n-importe-quel-site.com ?</p>
<p><strong>Un service (DNS) de mon fournisseur d’accès à Internet :</strong> C’est le serveur Web 203.0.113.42
(par exemple :))</p>
<p><strong>Mon navigateur :</strong> Bonjour 203.0.113.42.</p>
<p><strong>Le Serveur Web :</strong> Bonjour Vous !</p>
<p><strong>Mon navigateur :</strong> Pouvez-vous me donner la page n‑importe‑quel‑site.com/unepage.html ?</p>
<p>Oh, et puis, voici un tas d’autres choses sur ce que je suis, sur mes préférences…</p>
<p>Oh, et puis, voilà ces données incompréhensibles que vous m’avez demandé de retenir la dernière fois que je vous ai rendu visite (un cookie (+)).</p>
<p><strong>Le serveur Web :</strong> Voici votre page. Mais, il vous faut d’autres trucs pour la visualiser en entier.</p>
<p>Chargez tous ces scripts et images. Et tant que vous y êtes…</p>
<p>Chargez aussi ces scripts depuis Twitter, Facebook, Google, Oracle…</p>
<p><strong>Mon navigateur :</strong> Hum, OK, bien sûr.</p>
<p><strong>Mon navigateur :</strong> Hey Twitter, un site m’a dit de vous demander des petits trucs.</p>
<p>Pouvez-vous me donner…</p>
<p>Oh, et puis, voici un tas d’autres choses sur ce que je suis, sur mes préférences…</p>
<p>Oh, et puis, voilà ces données incompréhensibles que vous m’avez demandé de retenir la dernière fois que je vous ai rendu visite (un cookie tiers).
(Idem pour les autres Facebook…)</p>
<p><strong>Mon navigateur :</strong> Voilà. J’ai tout. Je n’ai plus qu’à exécuter tous ces scripts qui vont sans doute me faire rencontrer d’autres « amis » du net à qui j’aurai des tas de choses à raconter… Et, bien sûr, si ces scripts me demandent d’aller chercher du nouveau contenu, je le ferai. Je suis serviable…</p>
<figure class="align-center ">
<img alt="" src="https://images.theconversation.com/files/151539/original/image-20170102-18662-1v6cx5q.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/151539/original/image-20170102-18662-1v6cx5q.png?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=120&fit=crop&dpr=1 600w, https://images.theconversation.com/files/151539/original/image-20170102-18662-1v6cx5q.png?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=120&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/151539/original/image-20170102-18662-1v6cx5q.png?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=120&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/151539/original/image-20170102-18662-1v6cx5q.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=151&fit=crop&dpr=1 754w, https://images.theconversation.com/files/151539/original/image-20170102-18662-1v6cx5q.png?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=151&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/151539/original/image-20170102-18662-1v6cx5q.png?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=151&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">Comment fonctionne le « Online Advertising », toute une technologie pour optimiser la vente des produits.</span>
<span class="attribution"><span class="source">Wikipédia</span>, <a class="license" href="http://creativecommons.org/licenses/by-sa/4.0/">CC BY-SA</a></span>
</figcaption>
</figure>
<p>Est-ce que cela se passe toujours comme ça ? Non, mais très souvent, et de plus en plus. Prenons l’exemple du blog Binaire hébergé par lemonde.fr. À chaque fois que vous accédez à ce blog, vous effectuez également des demandes de ressources complémentaires (images, scripts, données) à d’autres serveurs qui n’ont rien à voir avec le journal <em>Le Monde</em>.</p>
<p>Au jour de la rédaction de ce billet pour Binaire, il s’agit (par ordre décroissant du nombre de ressources) de : Google, Facebook, Cedexis (fournisseur de services d’optimisation de trafic Web), Twitter, LinkedIn, Outbrain (publicité ciblée), Kameleoon (marketing), Inria (Institut de recherche prestigieux), Chartbeat (mesure d’audience), Automattic (créateur du système de gestion de contenu WordPress), comScore (marketing), AT Internet (mesure d’audience), et Wizbii (une plate-forme de recherche d’emplois).</p>
<p>Certains de ces accès aux ressources externes sont parfaitement légitimes : ainsi, une image issue du site d’Inria a été utilisée comme illustration. Les autres sont là parce qu’ils fournissent des services supplémentaires, pour le lecteur, le gestionnaire du blog ou la plate-forme d’hébergement : partage sur les réseaux sociaux, publicité, mesure d’audience, mise en commun de certaines ressources sur des sites tiers pour plus d’efficacité, etc.</p>
<figure class="align-left ">
<img alt="" src="https://images.theconversation.com/files/151540/original/image-20170102-18679-1ibkx4t.png?ixlib=rb-1.1.0&q=45&auto=format&w=237&fit=clip" srcset="https://images.theconversation.com/files/151540/original/image-20170102-18679-1ibkx4t.png?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=448&fit=crop&dpr=1 600w, https://images.theconversation.com/files/151540/original/image-20170102-18679-1ibkx4t.png?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=448&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/151540/original/image-20170102-18679-1ibkx4t.png?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=448&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/151540/original/image-20170102-18679-1ibkx4t.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=563&fit=crop&dpr=1 754w, https://images.theconversation.com/files/151540/original/image-20170102-18679-1ibkx4t.png?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=563&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/151540/original/image-20170102-18679-1ibkx4t.png?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=563&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">Quand on parle de cookies :).</span>
<span class="attribution"><span class="source">universityofscrantonlibrary</span>, <a class="license" href="http://creativecommons.org/licenses/by/4.0/">CC BY</a></span>
</figcaption>
</figure>
<p>Mais quelle qu’en soit la raison, l’ensemble de ces sites tiers peut ainsi savoir, s’ils y font attention, que vous avez consulté cette page, et même faire le lien avec votre identité et les autres sites que vous consultez.</p>
<p>Quand vous naviguez sur le Web, vous procurez des données volontairement, par exemple en remplissant des formulaires. Mais le plus gros des données qui partent de chez vous vient de votre navigateur qui donne aux sites que vous visitez, et à l’ensemble des sites hébergeant des ressources annexes, des informations sur vos préférences, votre identité, votre historique de navigation. Et ce que vous devez savoir : ces données, beaucoup d’entreprises les récupèrent, les stockent, les analysent, les échangent, les vendent.</p>
<p>Bien sûr, une partie de cette information est échangée « pour mieux vous servir ». Par exemple, votre adresse IP est indispensable pour router vos données ; des informations techniques sur votre connexion Internet vous permettent de visualiser des vidéos dans de meilleures conditions, etc. Mais cette adresse IP permet également de vous localiser. Et c’est inévitable, sans cela Internet ne marcherait pas : comment fournir de l’information sans voir sous une forme ou une autre une adresse ? Mais cela permet de vous identifier partiellement aussi, du coup. Au final, toute cette information est utilisée pour déterminer votre profil. Et ce profil va être utilisé pour mieux capturer votre attention, par exemple en vous proposant des contenus dans la langue que vous maîtrisez. Il va surtout permettre de vendre cette attention plus cher en ciblant de la publicité.</p>
<figure class="align-right ">
<img alt="" src="https://images.theconversation.com/files/151541/original/image-20170102-18656-ka0cm1.png?ixlib=rb-1.1.0&q=45&auto=format&w=237&fit=clip" srcset="https://images.theconversation.com/files/151541/original/image-20170102-18656-ka0cm1.png?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=888&fit=crop&dpr=1 600w, https://images.theconversation.com/files/151541/original/image-20170102-18656-ka0cm1.png?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=888&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/151541/original/image-20170102-18656-ka0cm1.png?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=888&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/151541/original/image-20170102-18656-ka0cm1.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=1116&fit=crop&dpr=1 754w, https://images.theconversation.com/files/151541/original/image-20170102-18656-ka0cm1.png?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=1116&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/151541/original/image-20170102-18656-ka0cm1.png?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=1116&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">Surveillance.</span>
<span class="attribution"><span class="license">Author provided</span></span>
</figcaption>
</figure>
<p>Les schémas d’échange d’informations entre entreprises du Web peuvent être complexes et aller au-delà des sites contenant des ressources référencées sur un site que vous visitez. Supposons par exemple que vous demandez un contenu et vous vous retrouvez avec un <a href="http://www.definitions-marketing.com/definition/cookie/">« cookie »</a> d’une société, appelons-la <a href="http://www.definitions-marketing.com/definition/ssp/">SSP</a>, qui va gérer les pubs du site que vous visitez. Vous cliquez sur une des pubs proposées et vous êtes en contact avec une nouvelle entreprise. Rien de surprenant, vous l’avez choisie ! Mais pour savoir quelle pub vous présenter, SSP a mis, sur une place de marché, les informations vous concernant, permettant à un client de cette place de marché, appelons-le <a href="http://www.definitions-marketing.com/definition/dsp/">DSP</a>, de vous identifier et de vous proposer de la publicité correspondant à votre historique de navigation. Vous n’aviez pourtant aucun contact direct avec DSP. Que s’est-il passé ? Les cookies de SSP et de DSP se sont parlés. Vous êtes identifié…</p>
<p>Nous ne voulons pas encourager votre paranoïa. Après tout, il s’agit surtout de publicité plus ou moins anxiogène. Et il est des personnes qui trouvent intéressant de recevoir des publicités ciblées qui correspondent à leurs besoins, ce qui peut faire gagner du temps, ou affirment qu’elles ou ils n’ont rien à cacher. Mais, est-ce que ce sera toujours le cas quand notre santé pourrait avoir décliné sans qu’on veuille le faire savoir, ou que le régime politique se durcirait ? Si vous voulez vraiment vous protéger, quelques précautions :</p>
<ul>
<li><p>Commencez par mieux comprendre comment l’informatique fonctionne, suivez des MOOC, apprenez à programmer.</p></li>
<li><p>Utilisez un navigateur Web open source et hautement configurable comme Firefox, Chromium, ou Pale Moon.</p></li>
<li><p>Activez l’option « do not track » (même si sa définition est tout sauf claire).</p></li>
<li><p>Utilisez des plug-ins comme AdBlock Plus ou uBlock Origin pour bloquer des publicités tierces sur les sites que vous consultez.</p></li>
<li><p>Utilisez des plug-ins tels que Ghostery ou DoNotTrackMe pour bloquer les cookies qui vous tracent.</p></li>
<li><p>Utilisez des plug-ins tels que NoScript pour bloquer sélectivement les scripts…</p></li>
<li><p>Mettez vos données plutôt sur un Pims (système d’information personnelle) que sur des plateformes comme Apple ou Google.</p></li>
<li><p>Utilisez si vous le pouvez plutôt GnuSocial que Facebook (pas de chance, tous vos amis sont sur Facebook)…</p></li>
<li><p>Et pour allez plus loin, vous trouverez plus d’information dans l’excellent livre de <a href="https://fr.wikipedia.org/wiki/Tristan_Nitot">Tristan Nitot</a>, aux éditions C&F.</p></li>
</ul>
<p>Attention ! Certains sites Web ne fonctionneront plus pour vous. Après tout, nous nous sommes habitués à un Web gratuit et il faut bien que quelqu’un paye pour tout ça : la pub. Mais si seulement les systèmes étaient un peu moins opaques que ceux qui se sont mis en place… La loi et la réglementation devraient mettre un peu d’ordre dans tout cela. Mais quand ?</p>
<p>Un point quand même est réconfortant. Tous ces services Web qui pillent vos données ne reviennent pas si chers : quelques euros par mois par utilisateur pour les plus coûteux d’entre eux. Il faudrait juste passer à d’autres modèles commerciaux que celui des services Web actuels basés sur la publicité ciblée.</p>
<p>Et si vous devenez vraiment parano, disparaissez ! Masquez votre IP, par exemple, avec le <a href="https://fr.wikipedia.org/wiki/Tor_(r%C3%A9seau)">navigateur Tor</a>. Partez, peut-être, pour un village perdu où Internet n’arrive pas encore. Mais ce serait dommage car vous vous priveriez alors de tous les services super cool de l’informatique.</p><img src="https://counter.theconversation.com/content/70806/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Les auteurs ne travaillent pas, ne conseillent pas, ne possèdent pas de parts, ne reçoivent pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'ont déclaré aucune autre affiliation que leur organisme de recherche.</span></em></p>Nous le savons : les données personnelles égrenées au fil de nos navigations web sont l’objet d’un bon business – c’est vous, le produit, sur ce site gratuit… Mais au fait, comment ça se passe ?Serge Abiteboul, Directeur de recherche à Inria, membre de l'Académie des Sciences, professeur affilié, École Normale Supérieure Paris-Saclay – Université Paris-SaclayPierre Senellart, Professeur des Universités en informatique au Département Informatique de l'École normale supérieure, École normale supérieure (ENS) – PSLLicensed as Creative Commons – attribution, no derivatives.