tag:theconversation.com,2011:/global/topics/hacking-52169/articleshacking – The Conversation2023-07-02T16:10:01Ztag:theconversation.com,2011:article/2081182023-07-02T16:10:01Z2023-07-02T16:10:01ZObjets connectés : quels risques pour la protection de la vie privée, et que peut-on y faire ?<p>Il sera peut-être bientôt possible d’activer les appareils électroniques à distance en vue d’une captation de son d’image, notamment les téléphones portables. C’est en tout cas ce que propose l’article 3 du projet de loi et de programmation du ministère de la Justice 2023/2027 déposé au Sénat le 3 mai 2023.</p>
<p>Une <a href="https://www.avocatparis.org/communique-du-conseil-de-lordre">possibilité qui inquiète le Conseil de l’ordre du Barreau de Paris</a> : « Cette possibilité nouvelle de l’activation à distance de tout appareil électronique dont le téléphone portable de toute personne qui se trouve en tout lieu constitue une atteinte particulièrement grave au respect de la vie privée qui ne saurait être justifiée par la protection de l’ordre public » – cette possibilité est évoquée ici uniquement dans le cadre d’enquêtes judiciaires.</p>
<p>Des smartphones aux montres, des assistants vocaux aux réfrigérateurs, les objets de notre entourage sont de plus en plus « intelligents » et connectés. Ces objets connectés captent des informations dans leur environnement immédiat et peuvent les transmettre via des réseaux sans fil à Internet – ce que l’on appelle « internet(s) des objets ».</p>
<p>Ces objets sont une ressource importante de données sur notre vie privée. Difficile pour chacun d’entre nous d’imaginer la quantité d’informations qu’ils collectent : les smartphones connaissent par exemple nos géolocalisations, temps d’éveil, consommations électriques, nombres de pas quotidien, calories dépensées, niveaux de stress. Ils transmettent ces informations pour qu’elles soient exploitées, en théorie afin d’améliorer notre quotidien.</p>
<p>Mais pour améliorer notre quotidien, il doit être connu le mieux possible, et ce quotidien, c’est aussi notre vie privée. Par exemple, les trottinettes électriques donnent notre position et peuvent donner accès à notre <a href="https://theconversation.com/comment-maitriser-son-identite-numerique-117858">identité numérique</a> via l’abonnement qu’elles requièrent. Les données collectées par une voiture moderne peuvent renseigner sur <a href="https://www.numerama.com/vroom/1308260-votre-voiture-genere-des-tonnes-de-donnees-mais-ou-vont-elles.html">nos comportements de conducteur, qui peuvent en dire long sur nous</a>.</p>
<p>Si l’activation à distance d’un objet connecté est sur le devant de la scène aujourd’hui, c’est pourtant un <a href="https://docs.broadcom.com/doc/istr-24-2019-en">vecteur d’attaque déjà pointé du doigt par Symantec en 2019</a>. On connaissait par exemple la vulnérabilité « blueborne » qui <a href="https://www.futura-sciences.com/tech/actualites/securite-blueborne-bluetooth-serait-aubaine-pirates-68600/">permettait à un attaquant de prendre la main sur smartphone via la connexion Bluetooth, pour par exemple prendre et rapatrier des photos</a>.</p>
<p>Ainsi, non seulement les objets connectés collectent de nombreuses données, mais elles peuvent potentiellement être collectées et transmises à notre insu.</p>
<h2>Comment protéger sa vie privée à l’époque des objets connectés ?</h2>
<p>Une partie de la sécurisation des objets connectés dépend de nous, utilisateurs, si l’on prend le temps de paramétrer les informations collectées par ces objets connectés, par exemple en refusant aux applis de santé la remontée des données dans le cloud, en enlevant la géolocalisation par défaut ou en éteignant le Bluetooth dès que l’on n’en a plus besoin.</p>
<p>Mais une partie nous échappe et nous échappera toujours, car elle dépend uniquement des entreprises de l’internet des objets. En effet, le cœur des objets connectés et les réseaux qu’ils utilisent sont des boites noires, contrôlées par les fabricants. Par exemple, avant nous pouvions nous assurer du silence de notre smartphone en lui enlevant sa batterie, mais ce ce n’est plus le cas aujourd’hui, du moins plus de manière simple et accessible. C’est pour cela que les régulations sont si importantes.</p>
<p>C’est bien pour « veiller à ce que les fabricants améliorent la sécurité des produits comportant des éléments numériques depuis la phase de conception et de développement et tout au long du cycle de vie » que l’Union européenne a rédigé le <a href="https://digital-strategy.ec.europa.eu/fr/library/cyber-resilience-act"><em>Cyber Resilience Act</em></a> ; mais mettre en place ces exigences est compliqué, long et coûteux – notamment pour les PME, en raison des coûts de cette mise en œuvre.</p>
<p>[<em>Plus de 85 000 lecteurs font confiance aux newsletters de The Conversation pour mieux comprendre les grands enjeux du monde</em>. <a href="https://memberservices.theconversation.com/newsletters/?nl=france&region=fr">Abonnez-vous aujourd’hui</a>]</p>
<p>Des efforts sont également faits pour <a href="https://www.silicon.fr/att-ibm-nokia-et-symantec-sunissent-pour-securiser-iot-168622.html/amp">standardiser la sécurité en Internet des objets, par les entreprises</a> et les <a href="https://www.ssi.gouv.fr/uploads/2021/09/anssi-guide-securite_des_systemes_objets_connectes_iot-v1.0.pdf">institutions</a>, et les <a href="http://docnum.univ-lorraine.fr/public/DDOC_T_2023_0020_HEMMER.pdf">enjeux de sécurité restent un sujet de recherche permanent</a>.</p>
<p>Dans un sens, est-ce que protéger sa vie privée ne passerait pas aussi par plus de sobriété numérique ? Limiter l’usage du numérique aux cas où il est réellement pertinent, c’est faire preuve de sobriété numérique, mais c’est aussi faire preuve de sobriété de données (et donc aussi d’énergie)… et c’est donc ainsi protéger sa vie privée.</p>
<h2>Quels sont les risques de sécurité de l’internet des objets ?</h2>
<p>Pour comprendre les risques introduits par l’internet des objets, il faut se référer à l’<a href="https://www.iso.org/fr/standard/65695.html">architecture en quatre couches qui le caractérise</a> et qui sont chacune sujette à des <a href="https://theses.hal.science/tel-03529415">vulnérabilités de sécurité</a> : couche détection, couche réseau, couche service et couche application.</p>
<p>On isolera ici les menaces qui pèsent plus particulièrement sur les données qui relèvent de la vie privée, à savoir essentiellement la perte de confidentialité et la perte d’intégrité (donnée modifiée).</p>
<p>On pourrait penser que la vie privée est uniquement menacée par la perte de confidentialité, à savoir par le fait que certaines données vous appartiennent et ne devraient pas être accessibles à un tiers non autorisé – par exemple les données médicales (qui correspondent au niveau digital au principe du secret médical).</p>
<p>Mais la vie privée est aussi menacée par de fausses informations, comme les <a href="https://www.lebigdata.fr/deepfake-porno-trafic-dark-web">deepfakes dans lesquels des selfies sont utilisés pour créer des scènes pornographiques à des fins de chantage</a> par exemple.</p>
<p>Au final, si les données se revendent sur le dark web, c’est bien parce qu’elles permettent d’en savoir plus sur notre intimité et qu’au-delà de simplement nous dévoiler, elles deviennent un <a href="https://www.numerama.com/cyberguerre/1230714-combien-valent-encore-nos-donnees-personnelles-sur-le-darkweb.html">levier pour faire pression sur nous, extorquer des informations ou de l’argent</a>.</p>
<h2>D’où viennent ces risques ?</h2>
<p>Les risques qui pèsent sur la confidentialité et l’intégrité se retrouvent sur les quatre couches qui définissent l’internet des objets.</p>
<p>La <strong>couche détection</strong> correspond à l’interaction de l’objet avec le monde physique (l’objet lui-même, ses capteurs et actionneurs) : montre, pacemaker, pompe à insuline, ou téléphone notamment. Cette couche permet d’acquérir les données qui seront ensuite transmises pour être utilisées.</p>
<p>On pourrait comparer la couche suivante, la <strong>couche réseau</strong>, à un ensemble de moyens de locomotion (réseau ferré, avions, bus, voitures) dont les informations seraient les passagers. Nous comprenons tout de suite la complexité de synchroniser des milliards de passagers sur tous les transports disponibles pour les emmener de leur point de départ à leur point d’arrivée sans encombre, surtout s’ils changent de moyens de transport pendant leur voyage (à pieds jusqu’à la gare, puis le train, puis l’avion, puis encore le train). Cette couche permet de transmettre l’information de la couche détection vers la couche service où elle sera prise en charge.</p>
<p>Pour notre passager en voyage, la <strong>couche service</strong> est semblable à son hôtel de destination (stockage) et autour duquel il trouvera tous les services utiles : magasins, restaurants, cinémas, etc. Cette couche contient donc l’ensemble des services permettant l’extraction de l’information du trafic réseau, son prétraitement (nettoyage, lissage, complétion…) et son stockage.</p>
<p>Et finalement la <strong>couche application</strong> est la couche qui permet à l’utilisateur d’interagir avec les objets connectés. C’est par exemple l’application mobile ou le portail Internet qui permet de piloter sa domotique (éclairage, température, volets, etc.).</p>
<h2>Compromettre la confidentialité de données</h2>
<p>Rompre la confidentialité peut résulter du clonage d’un objet à la couche détection : sur le clone d’un smartphone, on voit tout ce qui se passe sur l’original et on accède à son contenu.</p>
<p>Il est également possible de détourner un trajet sur la couche réseau pour emmener l’information envoyée par l’objet vers un nouveau point, où l’on peut y accéder facilement (détournement de routage).</p>
<p>En accédant directement à du contenu stocké dans un serveur par la couche service, ou bien en usurpant un compte d’accès au niveau de la couche application, il est possible d’avoir directement accès aux données. On connaît de nombreux cas et <a href="https://www.lemagit.fr/conseil/Cyberattaques-ces-services-utilises-pour-voler-vos-donnees">techniques d’exfiltration de données depuis le cloud par exemple</a> – <a href="https://theses.hal.science/tel-04114471v1/file/These_Sadik_Sarah_2023.pdf">cloud dont le rapport à la donnée privée pose de nombreuses questions</a>.</p>
<h2>Plus subtile : la perte d’intégrité</h2>
<p>Au niveau de la couche détection, on cherche par exemple à tromper les capteurs, comme en <a href="https://www.silicon.fr/ia-des-voitures-autonomes-tombe-dans-le-panneau-modifie-182143.html">piégeant les IA embarquées dans des véhicules pour reconnaître les panneaux de signalisation</a> et plus largement <a href="https://hal.science/hal-00661898v1/file/mg08_np.pdf">on pourrait attaquer massivement les capteurs en réseau</a> qui se développent dans l’internet des objets.</p>
<p>Sur la couche réseau, transmettre de fausses informations est plus trivial, par exemple en volant l’identifiant unique de l’objet sur le réseau, et en l’attribuant à un autre objet – qui peut alors transmettre des informations en se faisant passer pour l’autre.</p>
<p>La couche service prend en charge la manipulation de l’information et son stockage, et on peut facilement introduire des comportements dans ces services qui nuisent à l’intégrité des données.</p>
<p>Enfin, au niveau de la couche application, avec un compte « à privilège », on peut accéder directement aux données et les modifier.</p>
<p>La sécurisation de l’internet des objets reste une tâche difficile, vu la complexité du système en question, en particulier <a href="https://www.zdnet.fr/actualites/quelle-securite-pour-les-reseaux-iot-39903421.htm%20et%20https://theses.hal.science/tel-03404156v1/file/these.pdf">celle de la couche réseau</a>.</p>
<p>Finalement, pour aider à protéger la vie privée actuellement, la meilleure solution reste l’information et la sensibilisation : il faut que chacun connaisse ce qu’il utilise, afin de le faire en toute conscience. Et bien sûr, suivre une politique de sobriété numérique ne peut être qu’un plus.</p><img src="https://counter.theconversation.com/content/208118/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Les auteurs ne travaillent pas, ne conseillent pas, ne possèdent pas de parts, ne reçoivent pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'ont déclaré aucune autre affiliation que leur organisme de recherche.</span></em></p>Perte de confidentialité, manipulation des données personnelles : la sécurité des objets connectés laisse à désirer.Bérengère Branchet, Enseignant Chercheur, Humain, Crise et Continuité, Pôle Léonard de VinciWalter Peretti, Responsable Campus Cyber - ESILV, Pôle Léonard de VinciLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1819112022-05-11T18:36:52Z2022-05-11T18:36:52ZLes cyberpirates nord-coréens à l’assaut des réseaux de cryptomonnaies<figure><img src="https://images.theconversation.com/files/462495/original/file-20220511-17-7hjb9k.jpg?ixlib=rb-1.1.0&rect=0%2C0%2C4000%2C2994&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">shutterstock</span> </figcaption></figure><p><a href="https://s3.us-east-1.amazonaws.com/files.cnas.org/documents/BlockchainAnalysisEES.pdf">Certains groupes cybercriminels</a> comme les groupes APT38 et le groupe Lazarus, affiliés à la Corée du Nord, se sont spécialisés dans les cyberattaques financières, car celles-ci sont en général extrêmement lucratives. Les plates-formes de change de cryptomonnaies (comme le bitcoin) font partie des cibles « naturelles » à haut potentiel pour les attaquants : elles concentrent d’importants flux financiers qui transitent via les technologies blockchain au gré de nombreux échanges tout en étant parfois très peu sécurisées. Ces technologies de stockage et de transmission d’informations se présentent sous la forme d’une base de données distribuée (non centralisée) dont la sécurité repose sur la cryptographie.</p>
<p>Les plates-formes de conversion de cryptomonnaies en dollars ou en euros demeurent le maillon faible dans la chaîne de sécurité du cycle financier des cryptos. Les attaquants le savent très bien et exploitent systématiquement les failles de sécurité qu’ils peuvent découvrir eux-mêmes en étudiant une plate-forme ou acheter à d’autres groupes cybercriminels sur les places de marché du dark web. Nous sommes entrés dans l’ère d’industrialisation des cyberattaques et d’optimisation des gains pour des groupes cybercriminels, mafias et cartels toujours plus professionnels et performants. La nature même des cryptomonnaies de par leur caractère décentralisé et anonymisé, des technologies blockchain et des réseaux qui les transportent ne pouvait qu’attirer les acteurs malveillants.</p>
<h2>Près de 600 millions d’euros dérobés</h2>
<p>La dernière cyberattaque imputable aux groupes APT38 et Lazarus a fait l’objet d’une <a href="https://www.fbi.gov/news/pressrel/press-releases/fbi-statement-on-attribution-of-malicious-cyber-activity-posed-by-the-democratic-peoples-republic-of-korea">déclaration du FBI</a> le 14 avril 2022. Les enquêteurs américains ont confirmé que les deux groupes agissant pour le compte de la République populaire de Corée du Nord, sont les responsables du vol (signalé le 29 mars) de 620 millions de dollars (573 millions d’euros) en cryptomonnaie Ethereum.</p>
<p>Le « cybercasse » résulte du piratage du jeu vidéo en ligne Axie Infinity basé sur la blockchain. Ce jeu très populaire a été créé en 2018 au Vietnam par Sky Mavis et a immédiatement rencontré le succès aux Philippines avec plusieurs millions d’utilisateurs. Il permet aux joueurs de gagner de l’argent sous la forme de NFT, des jetons numériques convertibles en cryptomonnaies. Les créateurs du jeu ont mis en place une blockchain rudimentaire, collatérale à la blockchain officielle Ethereum simplifiant et accélérant les transactions internes au jeu, mais au détriment de la sécurité de l’ensemble. Les attaquants d’APT38 et de Lazarus ont alors très logiquement détecté puis exploité les faiblesses de l’infrastructure du jeu pour ensuite détourner plus de 600 millions de dollars en cryptomonnaies. Le butin détourné alimente certainement les <a href="https://www.fbi.gov/news/press-releases/press-releases/fbi-statement-on-attribution-of-malicious-cyber-activity-posed-by-the-democratic-peoples-republic-of-korea">comptes du gouvernement nord-coréen</a>, et sert en particulier à financer son programme d’armement nucléaire.</p>
<p>Les groupes APT38 et Lazarus s’appuient sur des outils sophistiqués pour mener leurs attaques. Les deux groupes mis en cause par le FBI ont une longue expérience de hacking de haut niveau sur des cibles à très haute valeur ajoutée. Ils ont démontré leurs capacités offensives contre des systèmes disposant de bons niveaux de sécurité. Les attaques attribuées à l’APT38 et à Lazarus sont souvent sophistiquées. Elles s’appuient sur des malwares (logiciels malveillants) furtifs et parfois développés ou « customisés » en fonction des cibles financières envisagées. Comme le montre leur dernière attaque contre Axie Infinity et le réseau Ronin (protocole qui relie Ethereum à Axie Infinity), le retour sur investissement est important. Les gains gigantesques obtenus permettent d’acheter des vulnérabilités « zero day » (vulnérabilités inédites) de haut niveau, donc très coûteuses. Une vulnérabilité zero-day est une faille logicielle qui n’a pas fait l’objet d’un correctif.</p>
<p>Ils permettent aussi de recruter des talents parmi les meilleurs étudiants en informatique nord-coréens ou affiliés. Les hackers à haut potentiel seraient identifiés, recrutés et formés au hacking étatique dès le plus jeune âge. Ce dispositif doit être vu comme une composante à part entière de l’appareil militaro-industriel nord-coréen <a href="https://s3.us-east-1.amazonaws.com/files.cnas.org/documents/BlockchainAnalysisEES.pdf">comme le montre l’étude</a> du CNAS un centre d’analyse américain qui publie des rapports sur les groupes cyber.</p>
<h2>Un véritable effort de guerre</h2>
<p>La spécialisation vers des cibles financières contribue à l’effort de guerre nord-coréen. Les malwares opérés par APT38 et Lazarus se situent souvent à l’état de l’art des cyberattaques et nécessitent de fortes capacités de développement.</p>
<p>Comme pour toute cyberattaque sophistiquée, la phase préliminaire de sélection des cibles potentielles, de détection des vulnérabilités des systèmes d’information et de planification de l’attaque peut prendre beaucoup de temps.</p>
<p>Cette phase d’ingénierie sociale consiste en l’étude détaillée de l’organisation à cibler et de son système d’information. Les attaquants effectuent un repérage des maillons faibles de l’infrastructure au niveau des systèmes comme des utilisateurs humains. Ils recherchent ensuite les failles de sécurité qui pourront être exploitées à partir des logiciels malveillants dont ils disposent. Quand il n’existe pas de logiciel « sur étagère » efficace, des équipes de développement peuvent être constituées par les groupes cybercriminels pour produire des malwares sur mesure adaptés à la cible. Le haut niveau de furtivité des logiciels malveillants opérés caractérise les différents groupes APT. Parfois, les attaques s’effectuent en plusieurs étapes avec une phase consacrée au repérage des systèmes de défense de la cible. Une première attaque est lancée pour évaluer le niveau de détection et de remédiation opéré par le système ciblé. Dans d’autres cas, une charge malveillante est introduite dans le système sans être activée. Elle demeure dormante jusqu’au moment opportun de l’attaque qui peut intervenir plusieurs semaines après cette phase initiale. Dans tous les cas, les stratégies et tactiques offensives sont adaptatives à la cible et à la complexité de ses boucliers numériques.</p>
<p>La morphologie des groupes APT38 et Lazarus reste mal connue. La nature des cibles et la typologie des attaques permettent de les caractériser dans l’écosystème mondial des groupes APT. Leurs effectifs ne sont pas précisément connus. On sait que les hackers nord-coréens les plus talentueux sont recrutés en continu pour renforcer les équipes opérationnelles. Actif depuis 2014, le groupe APT38 a ciblé des banques, des institutions financières, des casinos, des bourses de cryptomonnaie, des points de terminaison du système Swift et des distributeurs automatiques de billets dans <a href="https://content.fireeye.com/apt/rpt-apt38">au moins 38 pays</a> à travers le monde.</p>
<h2>Des cibles multiples</h2>
<p>Les cyberopérations les plus importantes attribuées à APT38 concernent le braquage de la Banque du Bangladesh en 2016, au cours de laquelle le groupe a volé 81 millions de dollars. Il a mené des attaques contre Bancomext en 2018 et, la même année, contre Banco de Chile. On estime que les groupes cybercriminels liés à la Corée du Nord ont dérobé pour plus de <a href="https://content.fireeye.com/apt/rpt-apt38">400 millions de dollars</a> en cryptomonnaies par des cyberattaques en 2021.</p>
<p>Le groupe Lazarus (appelé aussi Guardians of Peace ou Whois Team) est un groupe cybercriminel dirigé par l’État nord-coréen. Entre 2010 et 2021, il a mené des nombreuses cyberattaques et est désormais considéré comme groupe APT (menace persistante avancée) en raison de la nature intentionnelle de la menace et du large éventail de méthodes utilisées lors de la conduite d’une opération. L’imprégnation idéologique d’APT38 et de Lazarus est celle du <a href="https://www.kaspersky.fr/about/press-releases/2021_apt-le-groupe-lazarus">pouvoir nord-coréen</a>, dans un mode de fonctionnement très proche de celui d’une unité militaire composante d’une cyberarmée moderne.</p>
<p>Il n’est pas possible d’évaluer avec précision la ventilation du butin récolté par les groupes APT nord-coréens. Cette donnée est par définition un secret militaire. On peut juste imaginer que sur un gain de 620 millions de dollars obtenus lors de la dernière attaque, une petite partie du magot est consacrée aux frais de fonctionnement et au budget du groupe APT38 : salaires des membres, recrutement de nouveaux membres, formation continue avant intégration opérationnelle, coût de développement des logiciels malveillants, achat de vulnérabilités informatiques et de ZeroDay sur les places de marché internationales, par exemple <a href="https://zerodium.com/">Zerodium</a>.</p>
<p>Même si les frais de fonctionnement des groupes APT38 et LAZARUS sont probablement assez élevés, ils restent négligeables par rapport aux sommes dérobées qui alimentent ensuite les comptes du pouvoir nord-coréen. Le programme nucléaire nord-coréen mobilise un budget conséquent dans un pays par ailleurs extrêmement pauvre. On comprend que la manne financière issue des cyberattaques sur les infrastructures de cryptomonnaies constitue une très belle opportunité pour financer ce qui coûte cher…</p>
<p>D’une manière générale, le volume mondial et l’intensité des cyberattaques augmente systémiquement partout avec la croissance des surfaces d’attaques : objets connectés, cloud computing, architectures blockchain et cryptomonnaies, edge computing, commerce en ligne, banques en ligne, télétravail… La Corée du Nord n’est donc pas une exception dans cette tendance mondiale. Par ailleurs, les infrastructures cyberoffensives nord-coréennes ayant prouvé leur efficacité, il y a fort à parier que des groupes comme APT38 et LAZARUS vont poursuivre leurs activités illicites et s’adapter aux nouveaux défis de cybersécurité : hacking de satellites, utilisation de l’intelligence artificielle dans la conception des futurs logiciels malveillants, ransomware, logiciels espions, attaques DDoS intégrant l’IA, attaques à la source contre les fermes de minages de cryptomonnaies… Plus la technologie se développe, plus les systèmes se déploient et plus les opportunités d’attaques et de gains apparaissent pour les attaquants. La Corée du Nord favorise l’émergence de talents chez les hackers, elle va poursuivre et intensifier cette montée en puissance. Par ailleurs, les crises géopolitiques internationales (guerre en Ukraine, tensions sino-américaines) contribuent à l’augmentation des cyberattaques et à l’apparition de nouveaux malwares destructeurs. La Russie, l’Iran, la Chine, la Turquie, la Syrie, l’Arabie saoudite, mais aussi un grand nombre d’autres pays disposent de groupes cyberoffensifs ou cybercriminels travaillant de près ou de loin avec les services de renseignements locaux qui peuvent les utiliser sur des missions ou prestations externalisées. Le modèle des groupes de cybermercenaires répond à un besoin opérationnel et permet à des pays comme la Russie de déléguer certaines attaques aux groupes APT russes. Le cas de la Corée du Nord est particulier puisque le pays est soumis à des sanctions internationales contraignantes en lien avec son programme d’armement nucléaire.</p>
<p>Les groupes APT sont affiliés le plus souvent à La Chine, La Russie, La Corée du Nord, le Vietnam, l’Iran, La Syrie. Il existe des groupes cybercriminels du coté américains, mais ce ne sont pas des APT : des groupes associés aux Cartels mexicains, colombiens par exemple.</p>
<p>Le paiement en cryptomonnaies se généralise sur de nombreuses plates-formes numériques. Les réseaux sociaux à contenus payant les intègrent en les associant aux jetons NFT. Les maisons de vente aux enchères autorisent le paiement en Bitcoins. De plus en plus de jeux en ligne s’appuient sur des infrastructures blockchain avec des gains en cryptomonnaies et en NFT. Les bourses et plates-formes de change de cryptomonnaies se sont multipliées avec des flux de plus en plus importants. De nouvelles cryptomonnaies adossées à des matières premières ou minières apparaissent et transforment les marchés associés. Le déploiement de blockchains privées et publiques ouvre de nouvelles perspectives de croissance dans une économie décentralisée, mais offre aussi de nouvelles opportunités d’attaques et de gigantesques « Crypto-Magots » pour des groupes comme APT38 et LAZARUS.</p><img src="https://counter.theconversation.com/content/181911/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Thierry Berthier ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>Les plates-formes de conversion de cryptomonnaies en dollars ou en euros demeurent le maillon faible dans la chaîne de sécurité du cycle financier des cryptos.Thierry Berthier, Maitre de conférences en mathématiques, cybersécurité et cyberdéfense, chaire de cyberdéfense Saint-Cyr, Université de LimogesLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1710632021-12-01T18:55:21Z2021-12-01T18:55:21Z« Mr. Robot », le hacker et sa toile<figure><img src="https://images.theconversation.com/files/435077/original/file-20211201-25-3n76az.png?ixlib=rb-1.1.0&rect=3%2C0%2C1092%2C725&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Rami Malek dans Mr Robot. </span> <span class="attribution"><a class="source" href="https://www.ecranlarge.com/series/943705-mr-robot/photos">Ecran large</a></span></figcaption></figure><p>Diffusées sur <a href="https://www.usanetwork.com/">USA Network</a> de 2015 à 2019 et désormais disponibles sur <a href="https://www.netflix.com/fr/">Netflix</a>, les quatre saisons de <em>Mr. Robot</em>, série réalisée par <a href="https://www.premiere.fr/Star/Sam-Esmail">Sam Esmail</a>, retracent la lutte cyber-anarchiste menée par <a href="https://mrrobot.fandom.com/wiki/Fsociety">fsociety</a> (« f » comme « fuck society ») sous l’égide de « Mr. Robot » (interprété par <a href="https://www.premiere.fr/Star/Christian-Slater">Christian Slater</a>) contre l’oligarchie capitaliste des banques et le conglomérat des grandes entreprises. Ainsi s’esquisse la quête d’Elliot, qui emprunte les sentiers sinueux du monde virtuel pour soigner les maux du monde réel.</p>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/IQZ8LZUTfnk?wmode=transparent&start=0" frameborder="0" allowfullscreen=""></iframe>
</figure>
<p>Les critiques ne tarissent pas d’éloges à l’égard de <em>Mr. Robot</em>, série retentissante sur <a href="https://twitter.com/twitterfrance?lang=en">Twitter</a>, où le personnage d’Elliot prend vie en 2016 avec <a href="https://lexpansion.lexpress.fr/high-tech/ce-francais-qui-a-hacke-l-inde_1996627.html">Baptiste Robert</a>, développeur toulousain qui, sous couvert du pseudonyme « Elliot Alderson », dénonce le traitement frauduleux, dans l’application NaMo, des données personnelles des utilisateurs, avant de s’inspecter les enseignes OnePlus et Wiko. </p>
<p>Depuis quelques années, le nombre croissant de cyberattaques encourage les entreprises à briguer les services de <a href="https://start.lesechos.fr/travailler-mieux/metiers-reconversion/hackers-ethiques-ces-pirates-des-temps-modernes-encore-plus-courtises-avec-la-crise-1271604">hackers bienveillants</a> qui, bien que capables de prouesses criminelles en un claquement de doigts depuis leur salon (vols de carte de crédit, interception et contrôle des données mobiles, usurpations, etc.), choisissent de respecter l’<a href="https://www.larousse.fr/dictionnaires/francais/ethos/31434">ethos</a> régissant la société – leur rôle étant de porter secours aux compagnies victimes de piratage, moyennant une compensation financière.</p>
<h2>La figure du hacker : plus de réalisme, moins de stéréotypes</h2>
<p>C’est bien le personnage du hacker moderne, incarné par Elliot, qui fascine. Les véritables hackers ont maintes fois loué la <a href="https://www.youtube.com/watch?v=OxqHfYyr5mA">dimension réaliste des pirouettes informatiques réalisées par fsociety</a>, bien que plus réservés sur certaines opérations de piratage par Bluetooth plutôt destinées au grand public (saison 1, épisode 6, à titre d’exemple). Un hacker anonyme confirme à <a href="https://biiinge.konbini.com/series/mr-robot-vue-par-specialiste-hacking/%5e">Konbini</a> que le protagoniste de <em>Mr. Robot</em> offre une vision plus juste (<a href="https://biiinge.konbini.com/series/mr-robot-vue-par-specialiste-hacking/%5e">« assez réaliste »</a>) du hacker, jusqu’ici reléguée <a href="https://biiinge.konbini.com/series/mr-robot-vue-par-specialiste-hacking/%5e">davantage au stéréotype</a> :</p>
<blockquote>
<p>« Ils auraient pu aller plus loin dans le réalisme, mais ils auraient lâché des gens en route. Le but est de s’adresser aussi bien au geek débutant qu’au mec vraiment pointu. […] [Darlene] semble plus technique alors que lui [Elliot] décode les gens. […] Je considère que les vrais bons informaticiens sont un peu autistes. »</p>
</blockquote>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/OxqHfYyr5mA?wmode=transparent&start=0" frameborder="0" allowfullscreen=""></iframe>
</figure>
<p>Nous confirmons que si l’une des pierres angulaires de la série réside effectivement dans le dévoilement des coulisses du hacker, un autre enjeu aussi essentiel consiste à révéler les coulisses de diverses mentalités <a href="https://www.larousse.fr/dictionnaires/francais/postmodernisme/62936">postmodernes</a> dont les luttes convergent lorsque l’intrigue principale et l’intrigue secondaire, a priori non liées, se télescopent : le PDG capitaliste occidental au bras long (<a href="https://www.notrecinema.com/communaute/stars/stars.php3?staridx=28559">Michael Cristofer</a> alias Phillip Price), l’agente lesbienne du FBI qui préfère dialoguer avec son assistante vocale <a href="https://www.futura-sciences.com/tech/definitions/intelligence-artificielle-alexa-17306/">Alexa</a> plutôt qu’avec ses proches (<a href="https://www.allocine.fr/personne/fichepersonne-489485/biographie/">Grace Gummer</a> alias DiPierro), l’impitoyable ministre chinois transgenre chronométrant chacune de ses conversations par souci de productivité (<a href="https://www.hypnoweb.net/www/acteurs/bd-wong-biographie-carriere-et-filmographie.2.2028/">B.D. Wong</a> alias Whiterose), le cadre suédois « parvenu », banni et érigé en bouc émissaire (<a href="https://www.hypnoweb.net/www/acteurs/martin-wallstrom-biographie-carriere-et-filmographie.2.3081/">Martin Wallström</a> alias Tyrell Wellick), etc.</p>
<p>C’est plus particulièrement la routine nocturne du <a href="https://www.larousse.fr/dictionnaires/francais/geek/10910404">geek</a> asocial, celle d’Elliot, qui fait l’objet d’un portrait original, au même titre que les lieux secrets et interdits qui la jalonnent et où s’officient des rites marginaux voire décadents : prostitution, trafic de stupéfiants, falsifications, infiltrations, évasions carcérales ou encore piratages informatiques constituent autant d’édens de substitution auxquels les exclus de la série ont recours. En proie à des troubles exacerbés par les facteurs psycho-environnementaux de la ville de New York (entre autres, la dépression et l’anxiété sociale), le cyberjusticier, protagoniste et narrateur Elliot Alderson (<a href="https://www.allocine.fr/personne/fichepersonne-135438/biographie/">Rami Malek</a>) compte parmi les personnages de série les plus originaux et les mieux dessinés.</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"981172337578885120"}"></div></p>
<h2>Un langage et une bande-son cyberpunk</h2>
<p>Cultivant une esthétique <a href="https://www.cairn.info/revue-quaderni-2021-1-page-25.htm">cyberpunk</a>, <em>Mr. Robot</em> s’attache à brosser un portrait dystopique des métropoles, où l’indigence sociale est compensée par le culte des nouvelles technologies.</p>
<p>Sur le plan musical, des synthétiseurs analogiques chaleureux mais aux textures granuleuses (voire désaccordées et rembobinées) permettent au compositeur <a href="https://www.allmusic.com/artist/mac-quayle-mn0000812837/biography?1634909615041">Mac Quayle</a> de cultiver une atmosphère musicale nostalgique (voire rétro) et futuriste à la fois. La signature <a href="https://www.cairn.info/revue-quaderni-2021-1-page-25.htm">cyberpunk</a> du thème principal, <a href="https://www.youtube.com/watch?v=OaOiHVgP3Pw">« What’s your ask ? »</a>, ajoute à cette influence des tons de musique d’infiltration ou d’espionnage par le truchement de crescendos rythmiques ou d’<a href="https://www.larousse.fr/dictionnaires/francais/ostinato/56786">ostinatos</a> dramatiques, et ce, tout en restant fidèle au motif de l’identité fragmentée.</p>
<h2>Le masque : de l’identité individuelle à l’identité collective</h2>
<p>Dans <em>Mr. Robot</em>, l’anonymat du protagoniste est préservé au moyen de nombreux accessoires (capuches, masque, etc.). Le masque caractéristique de la <a href="https://mrrobot.fandom.com/wiki/Fsociety">fsociety</a>, s’il brouille l’identité individuelle de celui qui le porte, a toutefois valeur d’identité collective lorsque tous les personnages, y compris les figurants, le revêtent simultanément. Il est le symbole d’une idéologie commune, nommément, celle de la lutte pour la démocratie : la physionomie du masque de Mr. Robot est en effet inspirée de celle de <a href="https://muse.jhu.edu/article/494395">Guy Fawkes</a>, complotiste anglais ayant participé à la <a href="https://www.universalis.fr/encyclopedie/conspiration-des-poudres/">Conspiration des poudres</a> (1605). Derrière ce masque, le hacker se fait ainsi « hacktiviste » sociopolitique.</p>
<p>En outre, dans <em>Mr. Robot</em>, les rassemblements de personnes masquées devant l’entreprise E Corp sont directement inspirés de faits sociohistoriques américains, nommément le mouvement <a href="https://muse.jhu.edu/article/459206">« Occupy Wall Street »</a> qui apparaît en 2011 avec le slogan « Nous sommes les 99 % » pour réclamer une démocratie directe à la place de la démocratie représentative – d’où la référence directe à cet événement : <a href="https://www.vogue.com/article/mr-robot-new-inequality-entertainment">« Depuis quand peut-on être plus que 99 ? »</a>.</p>
<p>Puisqu’ils planifiaient de se réapproprier la ville par l’occupation de l’espace urbain, les militants d’Occupy Wall Street se sont inspirés des mobilisations visant à réaffirmer un « droit à la ville » comme le théorise Henri Lefebvre dans <a href="https://www.cairn.info/revue-espaces-et-societes-2010-1-page-177.htm">Le Droit à la Ville</a> (1968). <em>Mr. Robot</em> modernise ces revendications en transformant métaphoriquement ce « droit à la ville » en « droit aux données » : à l’épisode 3 de la saison 5, intitulé « 3rr3ur_d’3x3cuti0n.r00 », le flux de personnes (fuyant l’attaques de casseurs masqués) symbolise les flux de données dans le piratage informatique. Le masque uniformise ainsi les identités de ce peuple-hacker tandis que le hacker s’érige simultanément en allégorie du peuple (demos) et de la démocratie : « On a piraté notre démocratie ».</p>
<h2>Abolir les rigidités : l’avènement du « fluide »</h2>
<p>Il s’agirait donc pour le hacker d’abolir les systèmes de pouvoir et d’inaugurer une ère <a href="https://www.cairn.info/revue-cites-2010-2-page-127.htm">post-foucaldienne</a> et anticapitaliste (le projet de la <a href="https://mrrobot.fandom.com/wiki/Fsociety">fsociety</a>est en effet de redistribuer les richesses). Néanmoins, le personnage de Whiterose, à la tête de la Dark Army, complique la définition du hacker : ses projets hypercapitalistes font de ce personnage l’antagoniste d’Elliot.</p>
<p>Cette opposition entre les deux personnages rappelle une <a href="https://core.ac.uk/download/pdf/288307664.pdf">différentiation manichéenne</a> qui a longtemps perduré dans l’imaginaire collectif, nommément celle opposant <a href="https://www.cairn.info/revue-idees-economiques-et-sociales-2015-2-page-73.htm">« cracker » et « hacker »</a> désignant, respectivement, un criminel égoïste esclave du capitalisme et un justicier altruiste au service de la démocratie.</p>
<p>Néanmoins, peut-on vraiment considérer Elliot comme un justicier bienveillant alors même qu’il enfreint la loi et viole l’intimité d’autrui ? Inversement, les scènes évoquant le passé de Whiterose rappellent que derrière le criminel froid se cache l’humain. « Ce qui fait d’eux un contre-pouvoir face à la surveillance, c’est le fait qu’ils utilisent à la fois la désobéissance civile, les canaux légaux et les outils technologiques », comme le déclare l’anthropologue Gabrielle Coleman à <a href="https://www.liberation.fr/debats/2016/02/19/gabriella-coleman-les-hackers-se-debattent-entre-l-individu-et-le-collectif_1434607/">Libération</a> lors d’une interview réalisée le 19 février 2016.</p>
<p>Le hacker ne répond ainsi à aucun système de classification manichéen, il transcende les rigidités et a une identité fluide. C’est d’ailleurs ce que confirme les métamorphoses de Whiterose : plus « gender fluid » que transsexuel, l’apparence de ce personnage reflète les idées de simulacre et de société du spectacle évoquées par nombre de <a href="https://www.researchgate.net/publication/339412808_Mr_Robot_-_Part_One_%E2%80%99Our_Democracy_has_been_hacked%E2%80%99_-_Critiquing_Mr_Robot">critiques</a>.</p>
<h2><em>Mr. Robot</em> comme algorithme</h2>
<p>Ces simulacres permettent aux hackers de subvertir les normes sociales et de dissimuler, si ce n’est de coder leur identité. Le codage est d’ailleurs partie intégrante de la série <em>Mr. Robot</em>, qu’il soit identitaire, informatique ou encore linguistique. Si les lignes de codes informatiques constituent séparément des instructions, celles-ci doivent être mises bout à bout pour former un programme, être exécutées et prendre tout leur sens.</p>
<p>Peu étonnant, dès lors, que l’un des intertextes principaux de la série soit le poème <a href="https://www.poetryfoundation.org/poems/45502/the-red-wheelbarrow">« The Red Wheelbarrow »</a> (« La Brouette rouge ») (1923) de William Carlos Williams : c’est à la fois le nom du journal d’Elliot (épisode 1, saison 2) et celui du restaurant de grillades vu à diverses reprises, mais le poème est, de plus, récité par Tyrell (épisode 12, saison 2). Les words qua words employés par le poète (à savoir, ces mots et syntagmes qui prennent un sens différent lorsqu’ils sont complétés par le vers suivant) sont tout à fait comparables à un système de codage informatique configuré au fur et à mesure que s’ajoutent de nouvelles lignes de code.</p>
<p>La progression de la série s’organise suivant ce même modèle : la saison 2 laisse le spectateur penser qu’Elliot est chez sa mère avant de modifier le sens de ces scènes par la révélation de l’emprisonnement du protagoniste. Ainsi, comme pour une série de lignes de codes, ce n’est qu’en visionnant l’intégralité des épisodes (si ce n’est en les décodant tant la série est rendue interactive par la voix off) que l’algorithme Mr. Robot s’exécute.</p>
<p>Les 200 millions d’abonnés de Netflix permettront-ils aux fans de la série de voir, dans un avenir incertain, une <a href="https://serieophile.fr/mr-robot-saison-5-netflix/">cinquième saison</a> ? C’est certainement l’opportunité pour celles et ceux qui l’auraient déjà vue de se replonger dans la série sombre et pourtant lumineuse de <a href="https://www.premiere.fr/Star/Sam-Esmail">Sam Esmail</a>.</p><img src="https://counter.theconversation.com/content/171063/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Les auteurs ne travaillent pas, ne conseillent pas, ne possèdent pas de parts, ne reçoivent pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'ont déclaré aucune autre affiliation que leur organisme de recherche.</span></em></p>Les quatre saisons de « Mr Robot » retracent la lutte d’un groupe de hackers contre l’oligarchie capitaliste des banques et le conglomérat des grandes entreprises.Stéphane Sitayeb, Professeur agrégé et Docteur en littérature anglaise, Université d’Evry – Université Paris-SaclaySamantha Lemeunier, Doctorante, École normale supérieure (ENS) – PSLLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1710322021-11-24T11:24:00Z2021-11-24T11:24:00ZQue font les hackers de vos données volées ?<figure><img src="https://images.theconversation.com/files/432985/original/file-20211121-13-1uxvzx8.jpg?ixlib=rb-1.1.0&rect=74%2C67%2C4345%2C2829&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Rien que sur l'année 2020, 3950 fuites de données ont été détectées.</span> <span class="attribution"><a class="source" href="https://www.shutterstock.com/fr/image-photo/hands-typing-on-laptop-computer-table-1414373417">Shutterstock</a></span></figcaption></figure><p>Le piratage des données est devenu une problématique majeure, dont les exemples sont quotidiens. Rien que sur l’année 2020, 3 950 fuites de données ont été détectées, selon une <a href="https://enterprise.verizon.com/resources/executivebriefs/2020-dbir-executive-brief.pdf">vaste enquête</a> menée récemment par la société Verizon.</p>
<p>Le plus souvent, elles touchent de grandes plates-formes numériques (Facebook, LinkedIn, etc.) ou des acteurs socio-économiques importants – c’est le cas dans 72 % des cas recensés – et elles engendrent une fuite de données personnelles dans 58 % de l’ensemble des cas. Les données personnelles sont en effet une cible de choix et cette fuite affecte aussi bien l’opérateur de services que les utilisateurs eux-mêmes.</p>
<p>Une fuite de données peut donc concerner des données personnelles, qui sont en réalité des données de clients ou d’utilisateurs d’un service, mais également des données liées à l’organisation elle-même. Citons par exemple les informations de transactions d’une entreprise, les résultats de tests ou d’expérimentation de nouveaux produits ou services, etc.</p>
<p>La plate-forme <a href="https://gamergen.com/actualites/twitch-enorme-hack-fait-fuiter-revenus-streameurs-et-projet-vapor-concurrencer-steam-vos-donnees-personnelles-danger-324012-1">Twitch</a> a récemment été victime d’une telle attaque, au cours de laquelle le code source du réseau (qui explicite son mode de fonctionnement, ses règles internes, l’algorithme de valorisation des contenus publiés…), ainsi que des éléments liés à un projet interne concurrentiel, ont été piratés.</p>
<h2>Qu’est-ce qu’une « fuite de données » ?</h2>
<p>Les fuites de données d’entreprises ou d’organisations ont toujours existé. Le développement et l’usage démocratisé d’outils numériques les ont évidemment renforcées et facilitées. Globalement, la fuite de données correspond à tout incident au cours duquel des informations sensibles ou confidentielles liées ou appartenant à une organisation ont été consultées ou extraites sans autorisation.</p>
<p>Les méthodes utilisées pour y arriver sont variées et elles évoluent au fur et à mesure des avancées technologiques. <a href="https://www.economie.gouv.fr/entreprises/methodes-piratage">Le site du ministère de l’Économie, des Finances et de la Relance</a> présente de manière très claire les méthodes les plus courantes.</p>
<p>Certaines sont aujourd’hui relativement bien connues du grand public, comme le « phishing », le rançongiciel, ou encore les logiciels malveillants. Elles ont été mises en lumière depuis plusieurs années par des événements marquants, comme en février 2021, <a href="https://www.lemonde.fr/pixels/article/2021/02/15/apres-celui-de-dax-l-hopital-de-villefranche-paralyse-par-un-rancongiciel_6070049_4408996.html">l’attaque informatique</a> qui a paralysé les hôpitaux des villes de Dax et Villefranche.</p>
<p>Néanmoins, d’autres méthodes moins connues exposent tout autant les utilisateurs non sensibilisés ou imprudents.</p>
<h2>De nouvelles méthodes</h2>
<p>On peut notamment citer le faux réseau wifi, ou encore le piratage au travers d’une connexion à un réseau ouvert et libre d’accès, comme le <a href="https://www.kaspersky.fr/resource-center/preemptive-safety/public-wifi-risks">présente</a> Kaspersky, l’une des sociétés de renom de protection informatique.</p>
<p>Ces méthodes de piratage utilisent les failles que peut présenter tout système informatique, failles parmi lesquelles l’utilisateur du système est lui-même inclus, que cela soit par négligence ou méconnaissance.</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"1222383522742140928"}"></div></p>
<p>Pour autant, la fuite de données n’est pas systématiquement due à un acteur extérieur. Elle peut également être provoquée de manière volontaire par un employé pour son profit personnel ou par envie de nuire à l’image d’une entreprise.</p>
<p>À ce jour, la plus grosse fuite de données connue est <a href="https://www-statista-com.ezp.em-lyon.com/statistics/290525/cyber-crime-biggest-online-data-breaches-worldwide/">l’exemple de Yahoo dont en 2013</a>, il est estimé que 3 milliards de données ont été volées, contenant noms, adresses e-mail, dates de naissance, mots de passe, etc.</p>
<h2>Les tiers, chevaux de Troie des hackeurs</h2>
<p>Selon une <a href="https://www.egress.com/media/n0wi0s0q/egress-2021-data-loss-prevention-report.pdf">enquête</a> menée par l’entreprise anglaise Egress Software, représentativement parmi l’échantillon analysé, 30 % des incidents sont liés à un piratage externe, 24 % à une erreur interne, le même taux à une perte intentionnelle de données et 18 % liés à une faille de sécurité d’un fournisseur tiers.</p>
<p>En effet, la faille peut également provenir des solutions tierces que les entreprises et nous-mêmes individus utilisons tous les jours. <a href="https://www.lebigdata.fr/solarwinds-cyberattaque-historique-usa">L’une des plus récentes illustrations</a> concerne la cyberattaque subie par la société américaine SolarWinds, qui fournit notamment un logiciel de gestion informatique auprès d’acteurs économiques et gouvernementaux. Cette attaque a permis aux hackeurs un accès dérobé aux données de dizaines de milliers de leurs clients.</p>
<p>D’où l’importance des enjeux liés à la cybersécurité aujourd’hui. Il apparaît d’ailleurs que le travail à distance a renforcé les risques d’exposition aux failles notamment à travers l’explosion de l’utilisation de solutions numériques, comme les messages instantanés, l’envoi de courriels, ou la copie physique de données.</p>
<h2>Acteurs internes ou hackeurs externes</h2>
<p>Les fuites de données sont donc d’origines variées. Cela ne signifie pas que les enjeux liés à ces fuites sont toujours à fort impact. Difficile d’ailleurs d’évaluer quelle est la répartition du nombre de fuites de données selon leurs niveaux d’impact, puisqu’une partie d’entre elles ne sont jamais détectées, et une autre partie jamais révélée.</p>
<p>Comme nous l’avons vu précédemment, les fuites de données peuvent être dues à des acteurs multiples internes comme externes à une organisation spécifique. Les acteurs internes concernent ceux qui ont ou peuvent avoir accès (parfois par contournement) aux données cibles.</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"1453505099364503552"}"></div></p>
<p>Les acteurs externes constituent ce que l’on désigne plus communément aujourd’hui comme les « hackeurs ». Ce sont des profils à fortes compétences informatiques et en cybersécurité pour détourner les systèmes de sécurité informatique.</p>
<p>Ceux-ci travaillent aussi bien pour leur propre compte, que pour des structures diverses, incluant des entreprises, des organisations gouvernementales, etc., en fait, toute structure qui souhaiterait bénéficier de l’accès à des données ne lui appartenant pas.</p>
<h2>Déstabilisation, concurrence, monnaie d’échange</h2>
<p>La finalité de ces piratages ou fuites de données est également assez variée. Cela peut être pour déstabiliser (nuire à l’image, ou déstabiliser la position stratégique), pour espionner, ou encore <a href="https://www.ssi.gouv.fr/entreprise/principales-menaces/">saboter un projet, une organisation ou une personne spécifique</a>.</p>
<p>En effet, la fuite établie et rendue publique de données peut ainsi <a href="https://www.presse-citron.net/les-fuites-de-donnees-font-elles-peur-aux-consommateurs/">faire peur aux utilisateurs</a> de services et solutions en ligne (qu’ils soient des individus ou des organisations), ternir l’image d’un concurrent (potentiel ou existant), mais également rendre frileux de potentiels investisseurs financiers.</p>
<p>Les données sont donc ainsi soit réutilisées directement comme élément constituant un avantage concurrentiel, comme monnaie d’échange (sous la forme de chantage par exemple, c’est le cas du rançongiciel), ou revendues.</p>
<p>Dans ce dernier cas, un espace numérique sur le web désigné comme le <em>dark web</em>, permet d’échanger, vendre et acheter de multiples articles illégaux. Après utilisation initiale, certaines données se retrouvent même à circuler davantage et librement au travers des communautés de hackeurs, comme le décrit <a href="https://siecledigital.fr/2019/02/03/hackers-22-milliards-dadresses-piratees-en-quasi-libre-service/">ici l’article de Siècle digital datant de 2019</a>.</p>
<h2>Comment s’en protéger</h2>
<p>Les hackeurs individuels peuvent se regrouper en communautés et s’appliquer une éthique spécifique. Chacune des communautés défendant ainsi <a href="https://doi-org.ezp.em-lyon.com/10.1016/S1353-4858(11)70075-7">leur vision du monde</a>. Très récemment (octobre 2021), 12 « hackeurs » ont été arrêtés par Europol pour leurs méfaits en ligne.</p>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/0kK902-ZvNM?wmode=transparent&start=60" frameborder="0" allowfullscreen=""></iframe>
<figcaption><span class="caption">The Dangers of a Data Breach (Kaspersky Lab, 12 décembre 2017).</span></figcaption>
</figure>
<p>Certains chercheurs posent également des questions d’éthique liées aux méthodes de protection elles-mêmes, et proposent un cadre à suivre, comme récemment présenté <a href="https://doi-org.ezp.em-lyon.com/10.1016/j.cose.2021.102382">ici</a> par Formosa <em>et al</em>. en octobre dernier. Il s’agit notamment ici de discuter si la protection doit elle-même s’appuyer sur les mêmes outils et méthodes utilisées lors de piratages.</p>
<p>Le <a href="https://www.ssi.gouv.fr/en-cas-dincident/">site de l’Agence nationale de la sécurité des systèmes d’information</a> rappelle les bons gestes que ce soit en tant qu’individu ou organisation.</p>
<p>Des sites existent en outre pour tester si nos données personnelles individuelles <a href="https://start.lesechos.fr/innovations-start-up/tech-futur/ces-sites-qui-permettent-de-savoir-si-vous-votre-adresse-mail-et-votre-numero-de-telephone-avez-ete-pirate-1306177">ont été piratées</a> (et si ces données se retrouvent donc disponibles à travers le web).</p><img src="https://counter.theconversation.com/content/171032/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Benoit Loeillet est membre de l'association européenne MyData. </span></em></p>Les attaques de serveurs et avec elles le piratage de données explosent. Comment sont-elles menées, par qui, à quelles fins et comment s’en protéger ?Benoit Loeillet, Associate professor, EM Lyon Business SchoolLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1604272021-10-27T20:42:15Z2021-10-27T20:42:15ZLe machine learning, nouvelle porte d’entrée pour les attaquants d’objets connectés<p>Au cours des dernières années, les appareils connectés IoT (Internet des objets) ont continué de croître de manière exponentielle dans des domaines variés. D’après le rapport annuel de <a href="https://www.cisco.com/c/en/us/solutions/collateral/executive-perspectives/annual-internet-report/q-and-a-c67-482177.pdf">Cisco</a>, le nombre de connexions de ces dispositifs devrait représenter 50 % des 14,7 milliards de connexions prévues en 2023.</p>
<p>Présents dans de nombreux domaines tels que la médecine avec les pompes insulines connectées, l’industrie ou encore le transport avec les voitures connectées, ces dispositifs sont peu à peu devenus une véritable <a href="https://theconversation.com/appareils-connectes-et-cybersecurite-imaginer-des-attaques-pour-apprendre-a-se-defendre-160426">aire de jeu pour les cyberattaquants</a>.</p>
<p>À mesure que ces appareils évoluent, ils embarquent par ailleurs avec eux de nouvelles technologies, et intègrent notamment des algorithmes de <em>machine learning</em>. Une avancée qui résout certains problèmes mais ouvre aussi de nouvelles perspectives pour les attaquants.</p>
<h2>L’IoT dopé par le <em>machine learning</em></h2>
<p>Avec l’avancée de la technologie, les appareils IoT sont désormais bien plus que de simples capteurs aptes à récupérer des données. Une nouvelle aire combinant l’IoT et le <em>machine learning</em> commence à donner le jour à des dispositifs de plus en plus intelligents, capables de répondre à des besoins spécifiques pour chaque utilisateur.</p>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/opCgCvwulPo?wmode=transparent&start=0" frameborder="0" allowfullscreen=""></iframe>
<figcaption><span class="caption">Le business des objets connectés | Internet de tout et n’importe quoi (½) (Arte, 19 mai 2020).</span></figcaption>
</figure>
<p>C’est par exemple le cas de l’Amazon echo, qui intègre avec elle des composants supportant le <em>machine learning</em> et répond à des requêtes telles qu’allumer une lumière ou jouer une musique. Les voitures autonomes en sont une autre illustration : partant des données récoltées en temps réel, elles arrivent à analyser le trafic et à adapter leur comportement.</p>
<p>Le <em>machine learning</em> répond aussi à de nombreux problèmes liés aux appareils en eux-mêmes, en optimisant par exemple leur consommation énergétique ou en adaptant leur connectivité.</p>
<p>Des algorithmes de machines learning peuvent ainsi être utilisés dans les téléphones intelligents afin d’économiser <a href="https://hal.archives-ouvertes.fr/hal-01879172/document">leur énergie</a>. En récupérant des données comme la fréquence et la durée d’utilisation d’une application, il est alors possible de déduire des informations et d’adapter certains éléments en fonction, tels que la luminosité, et ainsi réduire la consommation énergétique de l’appareil.</p>
<h2><em>Machine learning</em> et cybersécurité</h2>
<p>Le développement de solutions de <em>machine learning</em> dédiées à la détection d’attaques peut par ailleurs améliorer la sécurité de l’IoT.</p>
<p>Les algorithmes d’apprentissage automatique constituent en effet de <a href="https://www.cisco.com/c/en/us/products/security/machine-learning-security.html">véritables assistants</a> dans différents domaines de la sécurité.</p>
<p>Ils servent par exemple à repérer des menaces sur un réseau en surveillant en continu le comportement de ce dernier, permettant de traiter une quantité de données en temps quasi réel. Ils représentent également un soutien essentiel pour les utilisateurs en déduisant et informant les utilisateurs des « mauvais comportements » d’un site web ou d’un mail.</p>
<p>Enfin, ils sont aussi capables de nous permettre de protéger nos données stockées en ligne, par l’analyse des activités de connexion suspectes aux applications Cloud, en se fondant sur les anomalies de localisation ou d’adresse IP.</p>
<p>Dans le cas de l’IoT, l’effet est néanmoins contrebalancé par la complexité et la variété croissantes des appareils connectés présents sur le marché, qui laissent encore place, au sein des algorithmes de <em>machine learning</em>, à de nombreux vecteurs d’attaques <a href="https://www.europol.europa.eu/newsroom/news/do-criminals-dream-of-electric-sheep-how-technology-shapes-future-of-crime-and-law-enforcement">qu’Europol</a> appréhende comme une menace réelle et importante.</p>
<h2>Concevoir un algorithme de <em>machine learning</em></h2>
<p>Avant de comprendre comment les attaquants s’y prennent pour déjouer un algorithme de <em>machine learning</em>, il est essentiel d’appréhender le fonctionnement de ce dernier.</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"1120823490167361537"}"></div></p>
<p>Dans la plupart des cas, la création se fait en plusieurs phases. La première consiste à entraîner un modèle de <em>machine learning</em> à partir de données prétraitées en amont. Vient ensuite la phase d’utilisation, qui ne commence réellement que lorsque le modèle est fiable. Celui-ci est alors utilisé avec de nouvelles données, dont la provenance dépend du problème à résoudre. Dans le cas d’Amazon Echo, par exemple, il s’agit des instructions fournies par l’utilisateur.</p>
<p>Cet éclaircissement fait, penchons-nous sur les <a href="https://www.wavestone.com/app/uploads/2019/09/IA-cyber-2019.pdf">trois principales types d’attaques</a> visant le <em>machine learning</em> et applicables sur nos objets de l’IoT.</p>
<h2>Attaque, mode d’emploi</h2>
<p>La première est nommée « l’empoisonnement » : elle a pour but de modifier le comportement de base de l’algorithme. L’attaquant cherche alors à altérer les données utilisées lors de la phase d’apprentissage.</p>
<p>Une autre attaque particulièrement répandue est « l’évasion » : il s’agit ici de jouer sur les données d’entrée du <em>machine learning</em> afin d’obtenir une décision différente de celle normalement attendue par l’application. Le but est d’introduire une donnée légèrement modifiée afin d’obtenir une décision différente tout en restant indétectable. L’attaquant tâche de créer l’équivalent d’une illusion d’optique pour l’algorithme.</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"1363909415607369729"}"></div></p>
<p>Les voitures autonomes constituent une cible de choix pour ce type d’attaques. Censées reconnaître, entre autres, les panneaux de signalisation routière, elles peuvent être trompées si une modification en apparence anodine pour l’homme est introduite. <a href="https://arxiv.org/pdf/1707.08945.pdf">Une étude</a> a ainsi montré que le simple ajout d’un autocollant sur un panneau « STOP » pouvait mettre l’algorithme en échec, approuvant alors à 97 % qu’il s’agissait d’un panneau de limitation de vitesse.</p>
<p>Enfin, il existe l’attaque par « inférence », le but ici étant de déduire le type d’algorithme utilisé, ainsi que les données. Un attaquant teste alors successivement différentes requêtes sur l’application et étudie l’évolution de son comportement afin de le déduire – il s’agit dans ce cas d’un vol de données.</p>
<p>Cette dernière attaque apparaît particulièrement efficace pour déterminer le comportement d’un système de détection fondé sur du <em>machine learning</em> dans les réseaux IoT.</p>
<h2>L’attaque, toujours la meilleure des défenses</h2>
<p>Face à leur augmentation constante et inexorable, la clé reste de découvrir et d’étudier en amont les différentes attaques possibles. Les entreprises, la recherche et l’innovation sont ainsi forcées d’anticiper les actions et d’utiliser les mêmes outils et les mêmes techniques que les attaquants afin d’évaluer la sécurité de leurs systèmes IoT ou d’y trouver de nouvelles vulnérabilités.</p>
<p>Se mettre à la place du hacker permet aussi de mieux comprendre le fonctionnement des appareils IoT, en les détournant de leur fonctionnalité première. L’un des objectifs est d’identifier les zones à risques les plus visibles afin de pouvoir créer des solutions le plus rapidement possible.</p>
<p>D’ailleurs, créer des attaques en laboratoire ne sert pas uniquement à prouver qu’elles sont réalisables. Cela donne aussi l’occasion de tester les solutions de sécurité existantes, de les améliorer et d’en concevoir de nouvelles.</p>
<p>Si la sécurisation des réseaux IoT est possible, ceux-ci présentent néanmoins encore d’importantes faiblesses, alors que le secteur est amené à occuper une place de plus en plus importante dans nos vies. À mesure que ces objets se développent, de nouvelles failles apparaissent et avec elles les menaces d’attaques, alertant toujours plus sur la nécessité de développer les recherches dans le domaine.</p><img src="https://counter.theconversation.com/content/160427/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Les auteurs ne travaillent pas, ne conseillent pas, ne possèdent pas de parts, ne reçoivent pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'ont déclaré aucune autre affiliation que leur organisme de recherche.</span></em></p>Les risques d’attaques se multiplient via l’Internet des objets. Pour les contrer au mieux, l’idéal est de comprendre les stratégies des hackers.Émilie Bout, Doctorante, InriaValeria Loscri, Associate research scientist, InriaLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1647422021-07-20T22:59:39Z2021-07-20T22:59:39ZDerrière Pegasus : le mode d’emploi d’un logiciel espion<p>Un consortium de médias, dont <em>Le Monde</em> et la cellule investigation de Radio France, coordonné par l’organisation <em>Forbidden Stories</em>, a eu accès à <a href="https://www.lemonde.fr/projet-pegasus/article/2021/07/18/projet-pegasus-revelations-sur-un-systeme-mondial-d-espionnage-de-telephones_6088652_6088648.html">plus de 50 000 numéros</a> de téléphone potentiellement ciblés et espionnés par une dizaine d’états, via le logiciel israélien Pegasus.</p>
<p>L’affaire fait grand bruit car on y retrouve, pêle-mêle, des journalistes, des chefs d’entreprise, des opposants politiques et autres figures de la vie publique.</p>
<p>Retour sur la technique derrière ce logiciel. Quand est né Pegasus ? Comment l’utilise-t-on ? Pourquoi a-t-il pris une telle ampleur ?</p>
<h2>Comment fonctionne Pegasus</h2>
<p>Le logiciel Pegasus est développé par l’entreprise israélienne NSO Group. C’est un logiciel espion (spyware) visant les smartphones dont l’objectif est de siphonner l’ensemble de ses données : coordonnées GPS, contenus des messages, écoute des appels, bref tout ce qui passe par votre téléphone est vu, lu et entendu par le logiciel et transmis à son utilisateur (l’attaquant). Ce logiciel espion évolue depuis plusieurs années et s’adapte aux évolutions de niveaux de sécurité des téléphones.</p>
<p>Dans ses précédentes versions, l’attaquant envoyait un message contenant un lien, qui, lorsque l’utilisateur cliquait dessus, déclenchait l’installation de Pegasus. Cette technique, un peu grossière, peut fonctionner avec des personnes peu habituées ou non formées à la cybersécurité. Mais qui, avec des cibles de haut niveau (publiques ou privées) est beaucoup plus hasardeuse. Ainsi NSO a développé une nouvelle version qui est capable d’installer le « mouchard » sans clic, ce que l’on appelle une attaque « zero click ».</p>
<p>Comment installer un logiciel à l’insu du propriétaire du téléphone ? La méthode la plus efficace, version film d’espionnage, est tout simplement de se saisir du téléphone, lors d’un moment d’inattention et de l’intégrer dans la machine.</p>
<p>Il existe également une méthode plus subtile, et plus technologique : utiliser une faille de sécurité de l’appareil pour prendre le contrôle du téléphone pendant un court laps de temps pour y installer le spyware à distance.</p>
<h2>L’exploitation des failles de sécurité</h2>
<p>Pour prendre le contrôle d’un smartphone à distance, il est indispensable d’exploiter une faille de sécurité. Cette dernière peut provenir du matériel (hardware), par exemple une puce électronique, ou logiciel (software) en passant par les systèmes d’exploitation iOS ou Android. Les clients de NSO, en général des états, n’ont pas à chercher les failles eux-mêmes, ils n’ont besoin que du numéro de téléphone de la cible et Pegasus s’occupe du piratage et de l’exfiltration des données. Pour chaque cible visée, le client paye une licence à NSO de quelques dizaines de milliers d’euros.</p>
<p>On va généralement cibler des failles « zero day » (jour 0), on les appelle comme cela car elles n’ont jamais été publiées ni exploitées. La plupart des logiciels vendus dans le commerce peuvent avoir des failles. D’ailleurs, leurs éditeurs organisent régulièrement des concours ouverts aux hackers pour les débusquer. Si une personne découvre une faille, elle peut la vendre sur des <a href="https://www.lemonde.fr/pixels/article/2015/09/23/le-business-des-zero-day-ces-failles-inconnues-des-fabricants-de-logiciel_4768638_4408996.html">« marchés zero day »</a>. Cela ressemble à une bourse internationale dans laquelle les produits sont des failles. En général, elles sont achetées par les éditeurs eux-mêmes qui ont intérêt à les corriger le plus rapidement possible. Une faille sur un système d’exploitation iOS peut se négocier à plusieurs millions de dollars. Ces marchés sont légaux. Le but est d’éviter qu’un hacker, ayant trouvé une faille aille la vendre à un groupe cybercriminel.</p>
<figure class="align-right zoomable">
<a href="https://images.theconversation.com/files/412135/original/file-20210720-27-1cxb345.png?ixlib=rb-1.1.0&q=45&auto=format&w=1000&fit=clip"><img alt="" src="https://images.theconversation.com/files/412135/original/file-20210720-27-1cxb345.png?ixlib=rb-1.1.0&q=45&auto=format&w=237&fit=clip" srcset="https://images.theconversation.com/files/412135/original/file-20210720-27-1cxb345.png?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=849&fit=crop&dpr=1 600w, https://images.theconversation.com/files/412135/original/file-20210720-27-1cxb345.png?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=849&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/412135/original/file-20210720-27-1cxb345.png?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=849&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/412135/original/file-20210720-27-1cxb345.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=1067&fit=crop&dpr=1 754w, https://images.theconversation.com/files/412135/original/file-20210720-27-1cxb345.png?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=1067&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/412135/original/file-20210720-27-1cxb345.png?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=1067&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px"></a>
<figcaption>
<span class="caption">Schéma de l’attaque du téléphone du journaliste Tamer Almisshal par Pegasus.</span>
<span class="attribution"><span class="source">Traduit du rapport « The Great iPwn »</span>, <a class="license" href="http://creativecommons.org/licenses/by/4.0/">CC BY</a></span>
</figcaption>
</figure>
<p>Un exemple concret a été reporté par <em>The Citizen Lab</em> (le laboratoire d’Amnesty International et de l’université de Toronto qui a travaillé sur le récent scandale) fin 2020. Le journaliste d’investigation travaillant pour Al Jazeera, Tamer Almisshal suspectait que son téléphone ait été piraté. Pour le prouver, le laboratoire a enregistré toutes ses métadonnées pour suivre à quoi il se connectait. Ils ont en effet trouvé des connexions très suspectes : son téléphone a visité plusieurs fois un site connu comme étant un mode d’installation de Pegasus. </p>
<p>Cette visite aurait été provoquée par les pirates en exploitant une faille du système de messagerie de l’iPhone (faille depuis corrigée), le journaliste n’a cliqué sur aucun lien suspect, c’est une attaque « zero click ». Il a aussi été démontré que des données ont été exfiltrées. La société NSO a nié toute participation.</p>
<h2>Un tunnel d’exfiltration de données</h2>
<p>Une fois que Pegasus est installé, il doit renvoyer les données vers le commanditaire. Comment s’y prend-il ? il va créer un tunnel. Si le « pirate » est physiquement proche de sa cible, il lui est possible de récupérer les données via des techniques « radiofréquence ». Le téléphone va émettre des informations, par exemple via wifi qui seront captées à l’aide d’une antenne.</p>
<p>Les failles de sécurité touchant les cartes SIM peuvent être exploitées par un attaquant pour prendre le contrôle du téléphone ou pour installer un logiciel espion. Par exemple, la faille SIMjacker concerne plus d’un milliard de téléphones. Elle permet à partir d’un simple SMS de prendre le contrôle total d’un smartphone et de collecter des données. Concrètement, l’attaquant envoie un SMS contenant un code spécifique qui ordonne à la carte SIM de prendre les commandes du téléphone et d’exécuter certaines commandes provoquant l’exfiltration de données.</p>
<p>Il est également possible d’utiliser les liaisons classiques 3G ou 4G. Même si le téléphone se trouve dans des zones où le débit est limité, la bande passante sera plus lente, et donc le transfert plus long, mais il sera quand même possible d’exfiltrer des données.</p>
<p>On pourrait se dire que des transferts massifs de données pourraient être détectés par l’utilisateur, en observant ses flux de données. C’est là où Pegasus est très performant, car il peut agir sans être détecté. Les données qu’il envoie à partir du téléphone sont chiffrées, on ne peut donc pas savoir ce qui a été envoyé. De plus il va mélanger ces envois au milieu de vos propres transferts de données, par exemple, vous effectuez un paiement en ligne, vous allez envoyer des données chiffrées à votre banque ou à votre vendeur, et à ce moment-là le logiciel en profite pour envoyer des informations à l’attaquant.</p>
<p>Il est donc très difficile de savoir, réellement, ce qui a été envoyé, une fois que l’on a été victime de l’attaque. D’autant plus qu’une fois que la mission a été remplie Pegasus peut s’autodétruire et ne laisser aucune trace, selon son éditeur.</p>
<p>Cette dernière information est <a href="https://www.amnesty.org/en/latest/research/2021/07/forensic-methodology-report-how-to-catch-nso-groups-pegasus/">contredite par Amnesty International</a> qui dit avoir détecté des traces du logiciel sur plusieurs téléphones analysés dans les journaux d’évènements qui enregistrent une partie de l’activité du système.</p>
<p>D’une manière générale, la rétro-analyse du fonctionnement d’un tel logiciel espion demeure toujours très complexe à réaliser. De la même façon, l’analyse fine de l’attaque demande d’importants moyens techniques, analytiques incluant de l’expertise humaine de très haut niveau et du temps.</p>
<p>Il convient de rester prudent sur les déclarations des uns et des autres attribuant l’origine d’une attaque ou affirmant qu’un téléphone a été compromis en particulier par un logiciel par nature furtif.</p><img src="https://counter.theconversation.com/content/164742/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Thierry Berthier ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>Comment est-il possible de prendre le contrôle d’un téléphone, de lui siphonner toutes ses données sans que son propriétaire se rende compte de quoi que ce soit ?Thierry Berthier, Maitre de conférences en mathématiques, cybersécurité et cyberdéfense, chaire de cyberdéfense Saint-Cyr, Université de LimogesLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1553842021-02-22T17:42:48Z2021-02-22T17:42:48ZCyberattaques et kidnapping des données : comment protéger les organisations des rançongiciels ?<figure><img src="https://images.theconversation.com/files/385562/original/file-20210222-17-16yu7f4.jpg?ixlib=rb-1.1.0&rect=9%2C9%2C1268%2C649&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Les nombreuses attaques sur données de collectivités ou entreprises inquiètent les autorités du fait de leur rapide évolution.</span> <span class="attribution"><a class="source" href="https://pixabay.com/fr/illustrations/bleu-%C3%A0-la-main-cyber-attaque-2228501/">BrownMantis/Pixabay </a>, <a class="license" href="http://creativecommons.org/licenses/by-sa/4.0/">CC BY-SA</a></span></figcaption></figure><p>Après Rouen en 2019, Dax dans les Landes puis <a href="https://www.lemonde.fr/pixels/article/2021/02/15/apres-celui-de-dax-l-hopital-de-villefranche-paralyse-par-un-rancongiciel_6070049_4408996.html">Villefranche</a> dans la Saône et désormais la <a href="https://www.sudouest.fr/france/une-cyberattaque-touche-la-ville-et-l-agglomeration-de-chalon-sur-saone-1397048.ph">ville de Chalon-sur-Saône</a> : ces centres hospitaliers ou leurs collectivités ont été victimes de logiciels malveillants, paralysant leur système informatique.</p>
<p>Entre <a href="https://www.lemonde.fr/pixels/article/2021/02/15/plusieurs-entites-francaises-ont-ete-touchees-par-une-cyberattaque-entre-2017-et-2020_6070057_4408996.html">2017 et 2020</a>, plusieurs collectivités et entreprises françaises ont été sujettes à des attaques, souvent suivies de demandes de rançon. Le kidnapping de données immobilise parfois des secteurs extrêmement périlleux, comme les hôpitaux, déjà bien affaiblis par la crise sanitaire.</p>
<p>Ailleurs <a href="https://www.ictjournal.ch/news/2020-02-05/la-cyberattaque-contre-bouygues-construction-affecte-aussi-ses-filiales-suisses">Bouygues</a>, <a href="https://www.ictjournal.ch/news/2020-06-10/une-cyberattaque-paralyse-plusieurs-usines-de-honda">Honda</a>, <a href="https://www.ictjournal.ch/news/2020-06-02/piratage-de-stadler-rail-les-hackers-publient-les-premieres-donnees-update">Stadler rail</a> (une entreprise suisse), <a href="https://www.ictjournal.ch/news/2020-08-07/canon-aurait-ete-victime-dune-cyberattaque">Canon</a>, <a href="https://www.ictjournal.ch/news/2020-10-27/sopra-steria-lhypothese-dune-attaque-eclair-combinant-ryuk-et-zerologon">Sopra Steria</a> et tout récemment <a href="https://www.ouest-france.fr/societe/cyberattaque/plus-de-trois-milliards-de-logins-et-mots-de-passe-gmail-et-hotmail-voles-puis-mis-en-ligne-7152404">Gmail/Hotmail</a> ont aussi subi ce type d’attaques.</p>
<p>Une nouvelle modalité d’extorsion des données <a href="https://secure2.sophos.com/en-us/medialibrary/Gated-Assets/white-papers/sophos-the-state-of-ransomware-2020-wp.pdf">semble d’ailleurs</a> émerger. Il s’agit d’une forme d’extorsion numérique plus rapide, sans cryptage de données, mais toujours avec le paiement d’une rançon. Les <a href="https://secure2.sophos.com/en-us/medialibrary/Gated-Assets/white-papers/sophos-the-state-of-ransomware-2020-wp.pdf">pays les plus touchés</a> sont notamment le Nigéria, la Colombie, l’Afrique du Sud, la Chine, la Pologne, la Belgique et les Philippines.</p>
<p>D’après une étude récente de Xerfi cette forme de cybercriminalité aurait coûté aux entreprises dans le monde environ 350 milliards d’euros en 2017 et 885 milliards d’euros en <a href="https://www.xerfi.com/presentationetude/Le-marche-mondial-des-services-numeriques_20XSAE01">2020</a>.</p>
<p>Le cabinet <a href="https://www.accenture.com/_acnmedia/Thought-Leadership-Assets/PDF/Accenture-Securing-the-Digital-Economy-Reinventing-the-Internet-for-Trust.pdf">Accenture</a> évalue d’ailleurs, pour la projection de période 2019-2024, le coût de la cybercriminalité pour les entreprises à l’échelle mondiale à 4 600 milliards d’euros.</p>
<p>Alors comment fonctionne ce type d’attaques ? Et comment s’en prémunir ?</p>
<h2>Des modes opératoires proches des kidnappings de personnes</h2>
<p>Mes <a href="https://www.researchgate.net/publication/341042613_L%27organisation_face_au_kidnapping_Technologie_de_securite_et_interaction_humaine_en_milieu_hostile">recherches</a> sur le kidnapping et l’extorsion montrent des modes opératoires assez similaires entre le rançonnage « physique » impliquant directement des personnes et le kidnapping dit « virtuel » ou « immatériel ».</p>
<p><a href="https://dn.revuesonline.com/article.jsp?articleId=12664">L’instantanéité</a> des <a href="https://ebizzwatchblog.wordpress.com/2019/11/11/atawad-anytime-anywhere-any-device/">échanges d’informations</a> toujours plus rapides et volumineuses dans l’entreprise comme dans la société trouve un écho chez les <a href="http://europia.org/RIHM/V20N2/2-RIHM20(2)-Lollia.pdf">cybercriminels</a>.</p>
<p>Ces derniers utilisent des <a href="https://www.lemonde.fr/pixels/video/2021/02/17/comment-fonctionnent-les-cyberattaques-aux-rancongiciels-qui-ont-cible-des-hopitaux_6070246_4408996.html">logiciels</a> aux noms comme Darkside, Ryuk, Egregor, DoppelPaymer, REvil ou bien encore <a href="https://www.zataz.com/ransomware-un-operateur-de-ryuk-et-avaddon-raconte/">Avaddon</a>. Ils capturent les données en les cryptant, en échange d’une rançon plutôt sous forme de cryptomonnaie en contrepartie d’une clef de déchiffrement permettant de récupérer les données.</p>
<p>Certaines organisations commerciales ont ainsi dû verser jusqu’à un million de dollars pour une seule attaque, alors que d’autres ont subi des pertes de plusieurs <a href="https://link.springer.com/article/10.1007/s41125-019-00039-8">centaines de millions de dollars</a>.</p>
<p>Une <a href="https://link.springer.com/article/10.1007/s41125-019-00039-8">étude</a> récente montre l’impact économique des logiciels de rançon sur les entreprises, entre les sommes versées et la perte de revenus liée à l’arrêt de l’activité et de la production.</p>
<p>Depuis 2018, il est estimé que le coût de la cybercriminalité mondiale a atteint plus de <a href="https://www.mcafee.com/enterprise/en-us/assets/reports/rp-hidden-costs-of-cybercrime.pdf">1 000 milliards de dollars</a>. Le record actuel du montant du rançonnage est de <a href="https://www.lemonde.fr/pixels/article/2021/02/17/attaques-aux-rancongiciels-les-autorites-tentent-de-contenir-la-deferlante_6070220_4408996.html">34 millions de dollars</a>. Il est attribué à une entreprise dont l’identité est encore sous anonymat.</p>
<h2>Évolution du ransomware</h2>
<p><a href="https://www.researchgate.net/profile/Aws_Jaber/publication/320837526_A_Short_Review_for_Ransomware_Pros_and_Cons/links/5b7db174a6fdcc5f8b5c526b/A-Short-Review-for-Ransomware-Pros-and-Cons.pdf">Les recherches</a> montrent que le <em>ransomware</em> a connu une évolution importante et progressive. Nous sommes très rapidement passés des logiciels paralysant les données (<em>locker ransomware</em>) contre rançon aux logiciels capturant les données en les cryptant (<em>cryptoransomware</em>) en échange d’une rançon souvent sous forme de cryptomonnaie s’illustrant par le bitcoin.</p>
<p>On observe aujourd’hui une utilisation conjointe du cryptoransomware et du bitcoin, notamment pour le versement d’une rançon, car ce mode de paiement se veut indétectable et permet de faire des transferts d’argent sans passer par une <a href="https://doc.rero.ch/record/323720/files/Misini_Leutrim_TDB.pdf">autorité tierce</a>.</p>
<p>Dans le monde réel, le kidnapping contre rançon est tout aussi diversifié.</p>
<p>Il existe le <em>bossnapping</em>, (séquestration de patron) ou la « balade au millionnaire », le kidnapping express, le kidnapping terroriste ou le <a href="https://books.google.fr/books?hl=fr&lr=&id=JSjgDwAAQBAJ">kidnapping crapuleux</a>.</p>
<p>Le <a href="https://www.challenges.fr/entreprise/sequestration-de-patron-ou-bossnapping-a-chaque-pays-sa-methode_44979">bossnapping</a> est une pratique qui consiste à ne kidnapper que des chefs d’entreprises notamment par des employés en échange du retour d’une cause demandée par une organisation telle que les syndicats. Pensons ici au cas de <a href="http://www.wk-rh.fr/actualites/upload/CDRH153_sequestration.pdf">Fernando Ruzza</a>, directeur général de la filière de la filiale Omnia Network SPA. Ce dernier avait été séquestré par ses employés suite à leurs licenciements alors que l’entreprise avait augmenté ses profits.</p>
<p>Le kidnapping express, qui consiste à kidnapper une personne devant un distributeur de billets de banque est par exemple très répandu en <a href="https://www.lapresse.ca/international/amerique-latine/2019-11-28/le-kidnapping-une-plaie-mexicaine">Amérique latine</a>.</p>
<h2>Quelles conséquences pour les auteurs et l’entreprise ?</h2>
<p>Le fait d’introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu’il contient, est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende (art. 121-3 du CP). Ensuite, concernant l’atteinte au système le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de cinq ans d’emprisonnement et de 150 000 euros d’amende.</p>
<p>Même si juridiquement l’infraction est bien caractérisée par la législation française (art. 121-3 du CP), on note, selon Europol, une certaine inefficacité à les appliquer. Par exemple, en France un seul mis en cause a été jugé dans une affaire en octobre. S’il a été condamné pour des faits de blanchiment, il a en revanche était relaxé pour les <a href="https://www.lemonde.fr/pixels/article/2021/02/17/attaques-aux-rancongiciels-les-autorites-tentent-de-contenir-la-deferlante_6070220_4408996.html">faits liés aux affaires de rançongiciel</a>.</p>
<p>Comme le confirme dans le journal <a href="https://www.lemonde.fr/pixels/article/2021/02/17/une-operation-de-police-vise-des-pirates-lies-au-rancongiciel-egregor_6070329_4408996.html"><em>Le Monde</em></a>, <a href="https://cybercercle.com/bios/catherine-chambon/">Catherine Chambon</a>, sous-directrice de la lutte contre la cybercriminalité à la Direction centrale de la police judiciaire (DCPJ), les interpellations pour des faits liés aux rançongiciels demeurent très rares.</p>
<p>En effet, les rançongiciels ont pris de vitesse les autorités, impuissantes à juguler le phénomène. C’est donc, selon elle, extrêmement compliqué de trouver les auteurs. D’autant plus que contrairement au monde réel, il n’est pas possible de compter sur les informations des services de renseignements contrairement au terrorisme.</p>
<p>Ce qui donne plus d’envergure au travail effectué par les services d’Europol dans le <a href="https://www.lemondeinformatique.fr/actualites/lire-europol-casse-le-redoutable-botnet-emotet-avec-un-appui-policier-81784.html">démantèlement d’Emotet</a>, l’un des plus grands réseaux d’ordinateurs infectés et utilisés par certains rançongiciels pour faire des victimes.</p>
<p>Mais également de l’équipe à l’origine du rançongiciel Egregor <a href="https://www.zdnet.fr/actualites/ransomware-des-operateurs-d-egregor-interpelles-en-ukraine-39917907.htm">interpellée</a> récemment en Ukraine par les mêmes services.</p>
<p></p>
<p>Selon les <a href="https://www.lesechos.fr/pme-regions/pays-de-la-loire/les-cyberattaques-doublent-le-risque-de-defaillance-pour-les-entreprises-1280251">études</a>, il ressort que le risque de défaillance (répercussions et risques d’atteintes à l’entreprise) peut augmenter de 50 % dans les trois mois qui suivent l’annonce de l’incident.</p>
<p>Ce risque peut aller jusqu’à 80 % pour les entreprises françaises. À cela s’ajoute une perte de valorisation de 8 à 10 % après l’annonce, sans compter des dommages immatériels liés à la réputation de l’entreprise. Tout ceci s’effectue dans un contexte où la progression des attaques de rançongiciels est de <a href="https://www.franceinter.fr/amp/justice/cybersecurite-des-pirates-egregor-a-l-origine-de-l-attaque-contre-ouest-france-interpelles-en-ukraine">255 %</a> en 2020.</p>
<h2>Le ransomware comme « service commercial »</h2>
<p>Le marché noir du ransomware fonctionne « as a service » c’est-à-dire comme une offre de service. Les logiciels ransomware sont fabriqués par des opérateurs qui recrutent ce que le jargon nomme des « affiliés », des opérationnels, qui vont hacker et ensuite partager le magot en pourcentage avec les opérateurs (créateurs du logiciel).</p>
<p>Ce sont ces affiliés qui vont infiltrer le réseau des victimes via le rançongiciel. La rançon qui sera obtenue fera ensuite l’objet d’un partage entre les affiliés et le vendeur du logiciel à des taux variables selon des critères qui peuvent dépendre de l’appartenance au groupe par exemple.</p>
<p>Il est d’ailleurs d’usage que certains affiliés décident de ne pas travailler avec certains opérateurs dans la mesure où il estime que le pourcentage de <a href="https://www.lemonde.fr/pixels/article/2021/02/17/le-business-du-ransomware-comment-s-organise-la-vente-des-attaques-aux-rancongiciels_6070264_4408996.html">rétrocession</a> est trop important.</p>
<p>Ce processus est à comparer avec le kidnapping contre rançon dans le monde réel, situation que Dorothée Moisan, journaliste d’investigation décrit dans son ouvrage <a href="https://booknode.com/rancons_enquete_sur_le_business_des_otages_01084844"><em>Le business des otages</em></a></p>
<h2>Qui sont ces cyber-extorsionnistes ?</h2>
<p>Le processus repose par ailleurs sur un triptyque récurrent : crypter les données empêchant leur utilisation par l’usager, obtenir le paiement et décrypter les données.</p>
<p><a href="https://secure2.sophos.com/en-us/medialibrary/Gated-Assets/white-papers/sophos-the-state-of-ransomware-2020-wp.pdf">Les résultats des études menées à l’échelle mondiale</a> au niveau des organisations montrent que dans 73 % des cas, les cybercriminels ont réussi à crypter les données, alors que dans 24 % des cas, l’attaque a échoué, empêchant le cryptage des données. Plus particulièrement en France, on observe que 17 % des attaques ont été stoppées avant que les données ne soient attaquées au sein des organisations.</p>
<p>Concernant la localisation géographique on observe que la plupart des hackers proviennent de pays tels que la <a href="https://www.lemonde.fr/pixels/article/2021/02/17/attaques-aux-rancongiciels-les-autorites-tentent-de-contenir-la-deferlante_6070220_4408996.html">Russie et ceux de l’Europe de l’Est comme l’Ukraine</a> dans la mesure où le codage se fait le plus souvent sur les créneaux horaires de ces pays avec des écritures en alphabet cyrillique.</p>
<h2>Les failles de l’usager</h2>
<p>Les <a href="https://doc.rero.ch/record/323720/files/Misini_Leutrim_TDB.pdf">recherches</a> à ce sujet montrent par ailleurs que la plupart des particuliers manquent de rigueur et de connaissances informatiques. Il s’agit là d’une faille importante, car les hackers se servent de cette négligence pour injecter le virus dans le système informatique via un mail en général ou tout autre moyen d’ingénierie sociale.</p>
<p>Le particulier a tendance à utiliser des antivirus gratuits moins performants, et à négliger la mise à jour de son logiciel ou les protections de base telles que le proxy ou le pare-feu. On constate la transmission du virus par l’introduction d’une manière innocente de clef USB au sein d’un des ordinateurs de l’entreprise.</p>
<p>Aussi, deux types d’attaques sont constatées : les <a href="https://www.lemonde.fr/pixels/video/2021/02/17/comment-fonctionnent-les-cyberattaques-aux-rancongiciels-qui-ont-cible-des-hopitaux_6070246_4408996.html">attaques à l’aveugle et les attaques ciblées</a>.</p>
<ul>
<li><p>Les attaques opportunistes ou aveugles correspondent aux attaques en volumes sans cible fixe. Leur objectif serait de ramener plusieurs rançons (généralement de faibles quantités).</p></li>
<li><p>Les attaques ciblées, quant à elles, visent une cible particulière ayant les moyens de payer une rançon conséquente. Il s’agit en général de personne morale telle que les entreprises, les banques et les organisations.</p></li>
</ul>
<h2>Le problème du paiement de la rançon</h2>
<p>Qu’il s’agisse d’un kidnapping d’un humain ou de données, la question primordiale est de savoir si, finalement, la rançon doit être payée.</p>
<p>C’est une question complexe qui fait débat et dont la réponse diffère selon les cas. Dans le monde physique, les recherches montrent que la solution dépend du type de kidnapping. Par exemple, dans le cas d’un kidnapping terroriste, certains États paient la rançon, alors que d’autres, comme les États-Unis <a href="https://www.amazon.fr/Lentreprise-risque-denlevement-risques-securitaires-ebook/dp/B00PDTSKL4">refusent catégoriquement</a> de le faire.</p>
<p>D’autres encore affirment publiquement qu’ils ne céderont pas, mais versent quand même la rançon par <a href="https://www.amazon.fr/Lentreprise-risque-denlevement-risques-securitaires-ebook/dp/B00PDTSKL4">l’intermédiaire</a> d’ONG.</p>
<p>Dans le monde des cyberattaques, là encore les <a href="https://discovery.ucl.ac.uk/id/eprint/1541227/1/Stringhini_defense %20against %20cryptographic %20ransomeware.pdf">recherches</a> montrent des avis divergents sur la question.</p>
<h2>Quelles solutions ?</h2>
<p>De nombreuses entreprises victimes tentent d’éviter d’évoquer publiquement les affaires de cyberattaque, pour ne pas détériorer leur image et la confiance de leurs clients, fournisseurs et partenaires. Mais depuis quelque temps on <a href="https://www.silicon.fr/hub/hpe-intel-hub/limpact-du-vol-de-donnees-sur-limage-de-lentreprise">observe</a> une évolution.</p>
<p>Les entreprises privilégient davantage la communication et la transparence auprès de leurs clients et partenaires afin justement de ne pas perdre leur confiance tout en tentant d’expliquer comment l’organisation a fait face et a réussi à gérer la situation.</p>
<p>Reste que les principales techniques utilisées par les hackers reposent sur les failles de l’usager et sa méconnaissance des <a href="https://doi.org/10.5539/mas.v14n3p68">courriers électroniques et des liens malveillants</a>. Il est ainsi préconisé de faire des sauvegardes régulières des données en les conservant dans un espace non connecté à l’infrastructure de l’entreprise afin d’éviter tout chiffrage en cas d’attaques.</p>
<p>Comme le montrent les <a href="http://www.ccsenet.org/journal/index.php/mas/article/view/0/42123">recherches scientifiques</a>, les meilleures solutions pour lutter contre le kidnapping par ransomware peuvent se résumer en trois points : l’éducation des utilisateurs, une politique de sécurité stricte, et des procédures et stratégies de sauvegarde.</p>
<p>Enfin, il est essentiel de déposer plainte auprès des services de police nationale ou gendarmerie et de s’adresser aux services spécialisés notamment le service cybermalveillance, le portail NoMoreRansom et les recommandations de <a href="https://www.ssi.gouv.fr/entreprise/principales-menaces/comment-se-premunir-de-ces-menaces/">l’Agence Nationale de la Sécurité des Systèmes d’Information</a>.</p><img src="https://counter.theconversation.com/content/155384/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Parallèlement à son activité de chercheur, Fabrice LOLLIA est fonctionnaire de police dans un service spécialisé de protection des personnes.</span></em></p>Plusieurs organismes ont été sujettes à des demandes de rançon par kidnapping de données. Comment les assaillants procèdent-ils et comment s’en prémunir ?Fabrice Lollia, Docteur en sciences de l'information et de la communication, chercheur associé laboratoire DICEN Ile de France, Université Gustave EiffelLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1418042020-07-01T17:50:14Z2020-07-01T17:50:14ZTikTok et la question de l'influence chinoise aux Etats-Unis<p><a href="https://www.tiktok.com/fr/">TikTok</a> est une application de médias sociaux, propriété de l’entreprise chinoise <a href="https://www.bytedance.com/en/">ByteDance</a>. Née en septembre 2016 sous le nom de <a href="https://www.douyin.com/">Douyin</a>, elle a été adaptée aux marchés occidentaux en 2017 tout en conservant des réseaux indépendants afin de se conformer aux restrictions et exigences de la censure chinoise. </p>
<p>L’application semble d’apparence on ne peut plus inoffensive ; pourtant, selon le gouvernement américain, elle pose un problème de sécurité nationale. Au point que Donald Trump vient d'annoncer son intention de l'interdire. </p>
<p>Le principe de TikTok repose sur le partage de courtes vidéos. Elle <a href="https://www.tiktok.com/about?lang=fr">définit sa mission</a> de façon très sympathique :</p>
<blockquote>
<p>« TikTok est la destination incontournable pour les vidéos mobiles au format court. Nous avons pour mission de développer la créativité et d’apporter de la gaieté. »</p>
</blockquote>
<p>Avec <a href="https://www.blogdumoderateur.com/tiktok-2-milliards-telechargements/">2 milliards de téléchargements</a> sur les stores d’Apple et de Google, d’après une étude de <a href="https://sensortower.com/blog/tiktok-downloads-2-billion">Sensor Tower</a>, et un nombre d’utilisateurs actifs avoisinant le milliard (un nombre qui a <a href="https://www.rtl.fr/actu/futur/confinement-le-nombre-d-utilisateurs-de-tiktok-explose-7800370477">explosé durant le confinement mondial</a>), c’est un succès mémorable de l’Internet contemporain.</p>
<p>Selon des estimations du cabinet d’études eMarketer, le nombre d’Américains utilisant TikTok devrait <a href="https://www.emarketer.com/content/podcast-tiktok-is-apparently-future">dépasser la barre des 50 millions dès 2021</a>. Or 41 % des utilisateurs ont entre 16 et 24 ans. La propagation fulgurante de cette application « sous tutelle » du pouvoir chinois, sorte de <a href="https://fr.wikipedia.org/wiki/Cheval_de_Troie_(informatique)">cheval de Troie</a> intellectuel apte à « formater » un public influençable en distillant insidieusement – outre la censure assumée – des croyances et des valeurs bien éloignées de celle de l’oncle Sam provoque une grande inquiétude de l’administration américaine, qui a identifié <a href="https://thepostmillennial.com/china-owned-tiktok-is-a-national-security-threat-and-we-should-all-delete-it">cinq risques potentiels liés à TikTok</a>.</p>
<h2>Les risques « géopolitiques »</h2>
<p><em>Risques 1 et 2 : La collecte de données par les autorités chinoises</em></p>
<p>1 : La collecte de données sur les employés du gouvernement américain.</p>
<p>Ce premier risque a amené le sénateur Josh Hawley à présenter le 12 mars 2020 au Sénat un projet de loi <a href="https://www.hawley.senate.gov/senators-hawley-scott-introduce-legislation-ban-tiktok-government-devices">interdisant le téléchargement et l’utilisation de TikTok</a> sur les appareils du gouvernement fédéral. Hawley prévoit des exceptions pour des activités telles que les enquêtes des forces de l’ordre et la collecte de renseignements, mais si son texte était adopté, « aucun employé des États-Unis, officier des États-Unis, membre du Congrès, employé du Congrès, ou officier ou employé d’une société d’État » ne pourra télécharger ou utiliser TikTok ou toute autre application développée par ByteDance ou toute entité appartenant à ByteDance.</p>
<p>2 : La collecte de données sur les personnes américaines non employées par le gouvernement.</p>
<p><em>Risques 3 et 4 : La censure</em></p>
<p>3 : TikTok censure les informations émanant de Chine, à la demande de Pékin.</p>
<p>4 : TikTok censure les informations extérieures à la Chine, et ce à la demande de Pékin.</p>
<p><em>Risque 5 : La désinformation</em></p>
<p>5 : Les usagers peuvent diffuser de fausses informations fournies par le pouvoir chinois.</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"1220979369469935617"}"></div></p>
<p>Zynn, le clone de TikTok </p>
<p>Une autre application fait dernièrement parler d’elle outre-Atlantique. Elle s’appelle Zynn, elle ressemble à s’y méprendre à TikTok et, depuis le 27 mai 2020, <a href="https://sensortower.com/ios/rankings/top/iphone/us/all-categories?date=2020-05-27">elle est numéro un des applications gratuites sur l’AppStore</a> avec pas moins de trois millions de téléchargements en un mois… </p>
<p>Notons que cette application qui, aux yeux des autorités américaines, présente les mêmes problématiques que TikTok, a été, elle, retirée du Google PlayStore le mercredi 10 juin pour plagiats avérés. Il est vrai que son approche audacieuse du <a href="https://fr.wikipedia.org/wiki/Growth_hacking">growth hacking</a> – pour doper son lancement, elle a copié les <a href="https://www.ladn.eu/media-mutants/reseaux-sociaux/classement-10-plus-gros-influenceurs-francais-tiktok/">profils de stars de TikTok</a> comme <a href="https://www.tiktok.com/@addisonre?lang=fr">Addison Rae</a>, une personnalité suivie par près de 48,2 millions de personnes à ce jour – aura été assez difficile à camoufler…</p>
<p>S’agit-il d’une victoire pour TikTok contre son clone ? Le clone n’est-il qu’un leurre ? De toute façon, la problématique reste inchangée pour Washington et les autres États – qui ne semblent pas à ce jour s’émouvoir du succès de l’application chinoise. Ce qui est sûr, c’est que la grossièreté du plagiat de Zynn ne peut qu’interroger.</p>
<h2>Des failles réparées, et après ?</h2>
<p>En janvier 2020, une importante faille de sécurité de TikTok avait été détectée par les chercheurs en sécurité de <a href="https://research.checkpoint.com/2020/tik-or-tok-is-tiktok-secure-enough/">Check Point Research</a>. La faille offrait quatre possibilités d’actions malveillantes loin d’être anodines. Elle permettait à ceux qui sauraient l’utiliser :</p>
<ul>
<li><p>d’accéder au gestionnaire de vidéos des utilisateurs de TikTok ;</p></li>
<li><p>de publier des contenus à la place des usagers ;</p></li>
<li><p>de diffuser sur l’application des vidéos enregistrées en privé par les usagers ;</p></li>
<li><p>d’accéder au profil des membres du réseau et de récupérer leurs données personnelles.</p></li>
</ul>
<p>De quoi renforcer les craintes des autorités américaines sur le potentiel de nuisance de l’application, quand bien même le réseau social a corrigé la faille dans sa dernière version mise à jour. <a href="https://www.linkedin.com/in/luke-deshotels-b2313511/">Luke Deshotels</a>, ingénieur en sécurité au sein de TikTok, avait alors déclaré dans un communiqué relayé par <a href="https://www.theverge.com/2020/1/8/21050589/tiktok-patched-vulnerability-hackers-videos-china-bytedance-checkpoint">The Verge</a> :</p>
<blockquote>
<p>« TikTok s’est engagé à protéger les données de ses utilisateurs. Nous encourageons les chercheurs en sécurité à nous faire part en privé des <a href="https://www.panoptinet.com/cybersecurite-decryptee/cest-quoi-une-faille-zero-day.html">failles zéro-day</a>. […] Avant même la divulgation publique, Check Point avait reconnu que tous les problèmes signalés avaient été corrigés dans la dernière version de notre application. Nous espérons que cette résolution réussie encouragera une future collaboration avec les chercheurs en sécurité. »</p>
</blockquote>
<p>Cela pouvait-il pour autant rassurer les autorités américaines ? La réponse est clairement non. Les failles sont une chose. Le fait que l’application les a corrigées aussi rapidement donne certes une impression de transparence mais celle-ci ne change en rien la mainmise (censure, etc.) d’un régime autoritaire sur un réseau social qu’il laisse se distiller dans le monde « libre » selon ses règles. Ce réseau – d’une autre façon, mais au même titre que le site d’informations multilingue russe « Sputnik » – demeure une arme insidieuse d’influence massive…</p>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/_5DruVUcfyw?wmode=transparent&start=0" frameborder="0" allowfullscreen=""></iframe>
</figure>
<p>Les failles ne sont-elles pas, in fine, que des détails dont l’élimination ne résout nullement la réalité de deux mondes qui s’affrontent ? Rappelons-nous, pour mettre les choses en perspective, qu’en 2018 c’est une <a href="https://usbeketrica.com/article/version-censuree-google-chine-salaries-indignent-direction-recule">levée de boucliers des salariés de Google</a> qui avait contraint la firme à revenir sur sa proposition de se conformer aux exigences de censure du pouvoir chinoise. « La méthode TikTok » ne contourne-t-elle pas de fait, cette problématique pour, sans violence et subrepticement, se doter des moyens d’imposer une certaine vision du monde à l’Occident ?</p>
<p>La problématique demeure : celle d’un outil à la solde d’un régime autoritaire qui ne joue pas selon les mêmes règles du jeu que les régimes à prétention démocratique…</p>
<h2>La tentation d’un mésusage de TikTok, fantasme ou réalité ?</h2>
<p>« Le seul moyen de se délivrer d’une tentation, c’est d’y céder. Résistez et votre âme se rend malade à force de languir ce qu’elle s’interdit », avertissait Oscar Wilde.</p>
<p>La tentation de détournement d’usage d’un outil aussi fortement implanté dans le camp de la jeunesse « ennemie » est nécessairement élevée à Pékin. Ne faudrait-il pas être bien naïf de croire qu’un régime autoritaire n’en fasse pas un usage plus… actif ? À vous de juger.</p><img src="https://counter.theconversation.com/content/141804/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Yannick Chatelain ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>Dans quelle mesure l’application chinoise TikTok, extraordinairement populaire chez les jeunes, spécialement aux États-Unis, offre-t-elle à Pékin un moyen d’influencer l’opinion américaine ?Yannick Chatelain, Enseignant Chercheur. Head of Development. Digital I IT, Grenoble École de Management (GEM)Licensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1385782020-06-02T17:35:45Z2020-06-02T17:35:45ZLes cyberattaques ont changé de nature pendant le Covid-19<figure><img src="https://images.theconversation.com/files/338281/original/file-20200528-51509-1259zoy.jpg?ixlib=rb-1.1.0&rect=6%2C9%2C2026%2C1220&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Cours sur les cyberattaques, US Air Force, 2018.</span> <span class="attribution"><a class="source" href="https://www.flickr.com/photos/airmanmagazine/42103591411/">Al Bright/US Air Force</a>, <a class="license" href="http://creativecommons.org/licenses/by-nc/4.0/">CC BY-NC</a></span></figcaption></figure><p>Si les crises, en tant que vecteurs de destruction de valeur ou de cohésion sociale constituent souvent des opportunités de profits supplémentaires pour des délinquants habiles, l’avènement d’un monde hyperconnecté constitue un vecteur d’impact incomparable pour les cybercriminels. </p>
<p>Ces derniers tirent parti de l’ensemble des vulnérabilités offertes par l’utilisation des « systèmes d’information » (SI) par l’ensemble des organisations modernes. Toutefois, la crise actuelle du Covid-19 semble engendrer une rupture de paradigme dans ce domaine, non seulement par l’ampleur des attaques menées, mais surtout eu égard aux cibles choisies. Ainsi, même des organisations épargnées jusqu’alors en période de crise font dorénavant l’objet d’attaques massives et ce phénomène inédit conduit à s’interroger sur une nécessaire adaptation du management stratégique.</p>
<h2>Des crises comme catalyseurs d’attaques</h2>
<p>La crise de 2008 a constitué un tournant en tant qu’elle a induit de nombreuses cyberattaques contre des institutions (Dexia, Nasdaq) ou des particuliers (fausses opportunités d’investissements prenant prétexte des faillites, phishings visant à pirater des comptes…), toutefois celles-ci <a href="https://www.journaldunet.com/solutions/dsi/1020408-le-phishing-exploite-la-crise-financiere-americaine/">visaient principalement</a> le secteur financier.</p>
<p>Une deuxième étape fut ensuite franchie à l’occasion des attentats terroristes de 2015, dans la mesure où immédiatement après les attaques contre <em>Charlie Hebdo</em> et l’Hypercacher, plus de 20 000 sites de collectivités territoriales et d’entreprises furent touchés principalement par du « défaçage » (technique consistant à modifier la page de garde d’un site Web). À cela se sont ajoutées fausses <a href="https://www.generation-nt.com/on-est-tous-pars-faux-mail-canular-malware-psychose-actualite-1921692.html">rumeurs</a> et <a href="http://cybersecurite.over-blog.com/2015/01/risque-d-infection-virale-avec-le-hashtag-jesuischarlie.html">prises de contrôle à distance de smartphones</a>. C’était la première fois qu’une crise civile autre qu’économique était utilisée par des cybercriminels.</p>
<p>Bien plus qu’une étape supplémentaire, la crise liée au coronavirus constitue une véritable rupture en matière de cyberdélinquance. Comme l’indique le <a href="https://www.europol.europa.eu/publications-documents/pandemic-profiteering-how-criminals-exploit-covid-19-crisis">rapport de mars 2020 d’Europol</a>, jamais le nombre de cyberattaques n’a été aussi élevé : « L’impact de la pandémie Covid-19 sur la cybercriminalité a été le plus visible et le plus frappant par rapport à d’autres activités criminelles », sachant que le succès de ces arnaques repose en partie sur l’angoisse ressentie par de nombreuses personnes face au virus et qui se trouve exacerbé par le fait d’être confiné dans un espace clos. Les cyber-escroqueries se sont ainsi multipliées, à l’image de <a href="https://fr.euronews.com/2020/03/28/covid-19-la-cybercriminalite-et-les-arnaques-en-hausse-d-apres-europol">sites de vente de produits contrefaits (tests d’infection, masques, flacons de gel hydroalcoolique…)</a>.</p>
<p>Mais, au-delà des menaces pesant sur les individus, le travail à distance constitue une autre source majeure de vulnérabilité pour les organisations, étant donné que de nombreux salariés confinés utilisent souvent – que ce soit du fait de l’absence de matériel professionnel dédié ou par confort – leurs propres outils informatiques pour travailler à distance. Or ceux-ci ne faisant pas partie du système d’information de l’organisation, ils ne disposent pas des mêmes mesures de sécurisation que les matériels internes et leur usage est de nature à induire une pénétration du SI interne de l’entreprise. Le piratage de ces périphériques extérieur peut donc aller jusqu’à la destruction ou le vol de données à caractère stratégique ou personnel.</p>
<p>À cela s’ajoutent les vulnérabilités exploitées par les cyberpirates dans les outils de travail à distance à l’image du <a href="https://www.zdnet.fr/actualites/l-internet-regorge-desormais-d-endroits-ou-vous-pouvez-organiser-des-raids-sur-zoom-39901729.htm">« Zoom bombing »</a>, procédé permettant de perturber le bon fonctionnement des téléconférences au travers notamment de messages injurieux et qui a fortement perturbé les cours à distance et les examens de plusieurs universités américaines (Oakland, Berkeley et Duke). La capacité offerte par cette faille de fausser les informations échangées a même conduit à l’émission, par l’agence américaine pour la cybersécurité et la protection des infrastructures (CISA), d’un <a href="https://www.us-cert.gov/ncas/alerts/aa20-099a">bulletin d’alerte</a> appelant à n’utiliser que des logiciels disposant d’un haut niveau de sécurité.</p>
<h2>La crise du Covid-19 : un changement de paradigme</h2>
<p>Mais, au-delà ce ces différents types d’attaques, force est de constater qu’avec la crise du coronavirus une barrière invisible est tombée en matière de cybercriminalité : jusqu’alors – vraisemblablement du fait de leur rôle d’acteurs majeurs de santé publique –, les établissements de soins constituaient des infrastructures bien moins soumises aux cyberattaques en temps de crise que d’autres organisations publiques ou du secteur marchand, attaquées quant à elles quasi-quotidiennement.</p>
<p>Depuis le début de la pandémie, les exemples d’attaques contre les systèmes d’information des hôpitaux et établissements de santé se multiplient <a href="https://www.coe.int/fr/web/cybercrime/-/cybercrime-and-covid-19">dans de nombreux pays</a>, alors même que personne ne peut dorénavant ignorer que de nombreuses vies sont en jeu. Ces intrusions constituent donc une évolution majeure en ce sens que désormais, même la vie humaine n’est plus respectée par certains groupes de hackers, <em>a contrario</em>, du « Maze Team ransomware gang » qui a <a href="https://securityboulevard.com/2020/03/maze-other-ransomware-groups-say-they-wont-attack-hospitals-during-covid-19-outbreak-but-how-trustworthy-is-their-word/">annoncé officiellement</a> renoncer à toutes attaques de type Randsomware contre des hôpitaux durant toute la crise du Covid-19, mais quel crédit apporter à cette promesse ?</p>
<p>Alors que leurs personnels luttent chaque jour vaillamment pour sauver le maximum de vies, de <a href="https://www.usine-digitale.fr/article/en-pleine-pandemie-de-covid-19-l-ap-hp-est-victime-d-une-attaque-par-deni-de-service.N944741">nombreux hôpitaux</a> ont été attaqués dans différents pays, tout comme des <a href="https://healthitsecurity.com/news/another-covid-19-research-firm-targeted-by-ransomware-attack?">laboratoires spécialisés</a> dans la recherche sur les vaccins. Mais à cela s’ajoute un autre phénomène nouveau : les atteintes aux organisations nationales et internationales de santé publique. Ainsi, le département en charge de la lutte contre le Covid-19 de l’agence fédérale américaine de santé (HSS) a été <a href="https://www.reuters.com/article/us-healthcare-coronavirus-usa-cyberattac/cyberattack-hits-u-s-health-department-amid-coronavirus-crisis-idUSKBN21320V">victime d’une cyberattaque</a> en mars dernier, tout comme la <a href="https://ici.radio-canada.ca/nouvelle/1690510/inps-italia-italie-pirate-aide-financiere-covid-19-coronavirus-confinement-gouvernement">sécurité sociale italienne (INPS)</a>, alors même que ces deux pays sont parmi les plus touchés au monde par l’épidémie.</p>
<p>Des hackers ont même cherché à utiliser le nom de l’Organisation mondiale de la Santé (OMS) pour <a href="https://www.who.int/about/communications/cyber-security">tenter d’extorquer</a> des informations personnelles à leurs victimes. Et tout pourrait n’être que marginal par rapport à ce qu’engendreraient des cyberattaques contre les systèmes d’information industriels des secteurs concernés.</p>
<h2>Un nouveau cadre stratégique</h2>
<p>Jamais l’analogie entre virus biologique et informatique n’a semblé aussi pertinente. Le concept de risque se jouant des frontières entre les disciplines, il nous semble indispensable d’analyser ce changement de paradigme du point de vue des sciences de gestion. En effet, s’il apparaît clairement qu’une organisation moderne peut difficilement faire l’économie de se positionner vis-à-vis des risques numériques et d’intégrer ces derniers dans sa réflexion stratégique, il apparaît que c’est encore très peu souvent le cas. L’augmentation spectaculaire des cyberattaques durant la crise du Covid-19 nous paraît de nature à induire une nécessaire réflexion sur la nécessité de mieux prendre en compte les organisations de hackers en matière de management stratégique au sein des organisations. Cette prise en compte structurelle des hackers par les décideurs constituerait une étape importante susceptible de favoriser la résilience numérique de l’ensemble des organisations publiques et privées et non plus seulement des <a href="https://fr.wikipedia.org/wiki/Op%C3%A9rateur_d%27importance_vitale">opérateurs d’importance vitale</a>.</p>
<hr>
<p><em>Cet article a été rédigé à la suite d’un appel à contributions flash de la Revue française de gestion dans le contexte de la crise sanitaire engendré par le virus responsable de l’épidémie de Covid-19.</em></p><img src="https://counter.theconversation.com/content/138578/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Rémy Février ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>Des attaques contre des hôpitaux, systèmes de santé et l’OMS montrent un changement de paradigme, qui nécessite une évolution du management stratégique.Rémy Février, Maître de Conférences en Sciences de Gestion - EESD, Conservatoire national des arts et métiers (CNAM)Licensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1295722020-01-28T17:32:02Z2020-01-28T17:32:02ZCybercriminalité : les coûts des dégâts sous-estimés<figure><img src="https://images.theconversation.com/files/309018/original/file-20200108-107243-1xcv8z9.jpg?ixlib=rb-1.1.0&rect=0%2C8%2C5815%2C3871&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Phénomène désormais ancré sur le marché mondial, la cybercriminalité sous toutes ces formes s'industrialise véritablement.</span> <span class="attribution"><a class="source" href="https://image.shutterstock.com/image-photo/abstract-image-hacker-reach-hand-600w-1044059527.jpg">Preechar Bowonkitwanchai / Shutterstock</a></span></figcaption></figure><p>L’évaluation de l’ampleur de l’économie du piratage, qui s’est largement <a href="https://www.amf-france.org/Actualites/Communiques-de-presse/AMF/annee-2019?docId=workspace%3A%2F%2FSpacesStore%2F473f5539-a26c-45a6-8c9f-f237212b64fa">industrialisée</a> ces dernières années, se structure aujourd’hui autour de trois grandeurs principales, à savoir :</p>
<ul>
<li><p>Le coût pour les victimes, qui correspond à un préjudice ou encore une destruction de valeur, une sorte de destruction intérieure brute (DIB, ou PIB négatif).</p></li>
<li><p>Le revenu brut, c’est-à-dire les rentrées d’argent pour les pirates, autrement dit leur chiffre d’affaires.</p></li>
<li><p>Le revenu net, en d’autres termes le bénéfice qu’ils en retirent, frais déduits.</p></li>
</ul>
<p>Une quatrième grandeur s’ajoute, qui concerne le revenu net par tête – par pirate –, et qui oblige à tenir compte de leur organisation et des clés de répartition des bénéfices entre membres. Tenir compte donc du nombre de membres, exercice qui conduit à dépasser les descriptions fantasmées du petit génie de l’informatique solitaire – pour les cryptovirus – ou de l’escroc au beau parler – pour les <a href="https://www.police-nationale.interieur.gouv.fr/Actualites/Dossiers/Cybercrime/L-arnaque-au-president-ou-escroquerie-aux-faux-ordres-de-virement-FOVI">fraudes au président</a> (qui consistent à se faire passer pour le dirigeant d’une entreprise afin d’obtenir un paiement indu).</p>
<h2>80 à 100 millions d’euros volés par an</h2>
<p>Une confusion usuelle entre ces indicateurs empêche de comprendre le coût réel de ces piratages et escroqueries. Prenons l’exemple des fraudes au président pour lesquelles l’Office central de la répression de la grande délinquance financière donnait une estimation de <a href="https://www.police-nationale.interieur.gouv.fr/Actualites/Dossiers/Cybercrime/L-arnaque-au-president-ou-escroquerie-aux-faux-ordres-de-virement-FOVI">485 millions sur cinq ans</a>, soit une fourchette plancher de 80 à 100 millions volés annuellement aux entreprises françaises.</p>
<p>Ces minimas, sur un sujet où l’omerta reste forte, laissent entrevoir un montant réel entre 100 et 200 millions, que l’on espère en baisse désormais par l’effet pédagogique des cas advenus.</p>
<figure class="align-center ">
<img alt="" src="https://images.theconversation.com/files/309031/original/file-20200108-107249-3pvcjr.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/309031/original/file-20200108-107249-3pvcjr.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=397&fit=crop&dpr=1 600w, https://images.theconversation.com/files/309031/original/file-20200108-107249-3pvcjr.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=397&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/309031/original/file-20200108-107249-3pvcjr.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=397&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/309031/original/file-20200108-107249-3pvcjr.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=499&fit=crop&dpr=1 754w, https://images.theconversation.com/files/309031/original/file-20200108-107249-3pvcjr.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=499&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/309031/original/file-20200108-107249-3pvcjr.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=499&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">Les montants dérobés par la technique de la fraude au président se chiffreraient entre 100 et 200 millions d’euros.</span>
<span class="attribution"><a class="source" href="https://image.shutterstock.com/image-photo/internet-theft-gloved-hand-reaching-600w-115174897.jpg">David Evison/Shutterstock</a></span>
</figcaption>
</figure>
<p>Or ces montants seraient à tort interprétés comme étant le coût total pour les victimes, quant à lui différent ; ainsi pour cette société française ayant déposé son bilan après avoir subi une ponction sur ses comptes de 1,3 million d’euros, mais qui laisse un coût bien supérieur pour l’actionnaire, pour les employés mis au chômage et pour les collectivités locales.</p>
<p>Les 100 à 200 millions volés sur des comptes bancaires correspondent en fait au revenu brut des pirates, somme bientôt amputée lors d’une succession de transferts bancaires parcourant la planète. Ces étapes de noircissement puis blanchiment d’argent ne sont en effet pas gratuites. Les prestataires qui manient l’argent sale captent une part du gâteau, et l’achat des protections politiques ou mafieuses dans des pays où la spécialisation criminelle informatique tend vers son industrialisation reste également à prendre en compte.</p>
<h2>Des rançons aux effets sur l’économie réelle</h2>
<p>Cette cascade de chiffres allant du préjudice pour le piraté au bénéfice dépensable par le pirate, est de surcroît l’objet d’erreurs méthodologiques : au niveau des victimes, outre l’habituelle confusion entre perte de chiffre d’affaires et coût effectif de l’attaque, une erreur fréquente tient dans le fait d’additionner des coûts individuels pour croire obtenir des coûts collectifs.</p>
<p>De manière prudente, l’évaluation chez les entreprises françaises des dégâts dus au chiffrement de données par des cryptovirus, parvient à un plancher annuel d’environ <a href="https://www.irt-systemx.fr/wp-content/uploads/2017/10/ISX-IC-Cyber-Risque.pdf">2 milliards d’euros</a>, dont une moitié provient des petites entreprises.</p>
<p>Toutefois ce chiffre compilateur de dégâts individuels ne prétend pas exprimer celui que subit la collectivité, car telle usine fermée deux semaines suite à attaque (y causant une perte) fera parfois le bonheur de son concurrent (lui procurant un gain), telle dépense de restauration du système d’information sera facturée par un prestataire informatique quant à lui bénéficiaire de l’évènement.</p>
<p>Se dévoile ainsi le paradoxe de ces piratages, qui à la fois attestent de l’imperfection de notre environnement numérique, mais procurent des <a href="https://www.confiance-numerique.fr/wp-content/uploads/2017/07/Observatoire-ACN-filiere-Confiance-numerique-Septembre2017.pdf">revenus aux acteurs de cet environnement</a> : le monde des informaticiens ne souffre pas directement des failles dont il est l’auteur. Il serait d’ailleurs intéressant de calculer si le revenu légal tiré de la correction de ces dysfonctionnements est ou non inférieur au revenu illégal des pirates utilisateurs de ces failles.</p>
<figure class="align-center ">
<img alt="" src="https://images.theconversation.com/files/309112/original/file-20200108-107235-1headsv.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/309112/original/file-20200108-107235-1headsv.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=443&fit=crop&dpr=1 600w, https://images.theconversation.com/files/309112/original/file-20200108-107235-1headsv.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=443&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/309112/original/file-20200108-107235-1headsv.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=443&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/309112/original/file-20200108-107235-1headsv.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=557&fit=crop&dpr=1 754w, https://images.theconversation.com/files/309112/original/file-20200108-107235-1headsv.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=557&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/309112/original/file-20200108-107235-1headsv.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=557&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">La restauration du système après une attaque a aussi un coût.</span>
<span class="attribution"><a class="source" href="https://image.shutterstock.com/image-photo/digital-crime-by-anonymous-hacker-600w-1095422036.jpg">Rawpixel/Shutterstock</a></span>
</figcaption>
</figure>
<h2>Des recettes faramineuses</h2>
<p>Au niveau des revenus bruts issus des cryptovirus, une estimation faite pour les petites entreprises de moins de 50 personnes aboutit à une trentaine de millions d’euros versés sous forme de rançons, par an et sur la France, souvent par la collecte de petites sommes, typiquement de l’ordre de 3 000 euros.</p>
<p>La mesure des versements effectués par les grandes entreprises est plus ardue. L’estimation se heurte à un mur de silence du fait notamment d’enjeux de réputation. Avec les réserves inhérentes à ces rétentions d’information, il est envisageable que le total des rançons approche la centaine de millions. S’y ajoutent les saisies effectuées par les fraudes au président – entre 100 et 200 millions comme on l’a vu – et celles d’un ordre de grandeur vraisemblablement voisin occasionnées par les <a href="https://www.la-croix.com/France/Securite/arnaques-sentiments-fleurissent-Internet-2019-01-22-1200997095">fraudes aux sentiments</a> actives sur les réseaux sociaux au détriment des personnes seules, âgées ou influençables.</p>
<p>Une réalité surprenante se découvre, qui hisse le revenu brut des diverses formes de piratage en centaines de millions d’euros par an, très probablement au-dessus de 500 millions si l’on y incorpore les autres formes de nuisance que sont le hameçonnage ou encore la fraude dite nigériane, laquelle sollicite de l’argent via des courriels trompeurs.</p>
<p>Une comparaison instructive sera fournie par les vins de Bourgogne, dont le volume d’exportation oscille lui aussi entre 500 et 900 millions d’euros selon les années ; avec pour distinguo que ce revenu brut des viticulteurs est amputé par des coûts de production conséquents, alors que celui des pirates l’est dans une ampleur moindre.</p>
<figure class="align-center ">
<img alt="" src="https://images.theconversation.com/files/309123/original/file-20200108-107209-5xysrc.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/309123/original/file-20200108-107209-5xysrc.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=400&fit=crop&dpr=1 600w, https://images.theconversation.com/files/309123/original/file-20200108-107209-5xysrc.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=400&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/309123/original/file-20200108-107209-5xysrc.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=400&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/309123/original/file-20200108-107209-5xysrc.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=503&fit=crop&dpr=1 754w, https://images.theconversation.com/files/309123/original/file-20200108-107209-5xysrc.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=503&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/309123/original/file-20200108-107209-5xysrc.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=503&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">Les vins de Bourgogne, dont le montant des exportations oscille lui aussi entre 500 et 900 millions d’euros selon les années.</span>
<span class="attribution"><a class="source" href="https://www.shutterstock.com/fr/image-photo/bottle-red-wine-glass-money-on-439947496">Georgii Shipin/Shutterstock</a></span>
</figcaption>
</figure>
<h2>Des sorties d’argent sans contrepartie</h2>
<p>Une sixième grandeur s’intègre ici au tableau, plus parlante même à l’échelle collective que les précédentes, en ce que la grande majorité de ces flux volés quitte la France. Ils constituent une sortie d’argent sans contrepartie. En quelque sorte, nous « achetons » des escroqueries, intégrables à nos importations dans la balance des échanges.</p>
<p>Économiquement, le territoire français se voit vidé d’une somme qui ne participe plus à la construction de notre PIB, ni à la taxe sur le PIB qu’est la TVA, et fait défaut pour les rentrées fiscales. Prenons conscience qu’à l’échelle d’une décennie, plusieurs milliards d’euros seront ainsi exfiltrés de l’espace national.</p>
<p>Ce facteur de paupérisation est d’autant plus néfaste que cette confiscation se fait au sein des entreprises, qui seront alors tentées de compenser ce choc par une réduction des investissements dans leurs projets d’avenir (postes budgétaires faisant aisément office de variable d’ajustement lors de coups du sort).</p>
<p>Inversement, les pays de transit ou de destination de cette manne accroîent leur masse monétaire. Gilbert Chikli, condamné en 2015 par le tribunal correctionnel de Paris pour <a href="http://www.leparisien.fr/faits-divers/escroquerie-au-faux-president-sept-ans-de-prison-pour-gilbert-chikli-20-05-2015-4787199.php">7,9 millions d’euros de fraudes au président</a> mais à l’époque installé à Ashdod en Israël, déclara l’année suivante que 90 % de ces revenus passaient par la Chine ou Hongkong, qualifiés par lui de « plaque tournante universelle pour toute forme de fraudes ». De tels montants irriguent leur économie et concourent à la croissance économique, favorisant à la fois les rentrées fiscales et la corruption du tissu social local.</p>
<p>À l’image de la spécialisation sur les fraudes aux sentiments connue par une ville (Bouaké) d’une région (celle de Gbèkè) d’un pays (la Côte d’Ivoire), le piratage affiche dès lors un autre visage : multiniveaux. L’échelon individuel s’interpénètre avec un réseau local de protection de la cybercriminalité. Cette implantation des pirates localement bénéficie d’un écosystème de soutien national. Mécaniquement la protection devient diplomatique. Enfin la nécessité de blanchir les sommes favorise la création d’un réseau international. En cela, le piratage est devenu un système.</p><img src="https://counter.theconversation.com/content/129572/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Philippe Laurier a reçu des financements : les organismes pour lesquels je travaille (une dizaine d'universités, écoles d'ingénieurs et centres de recherche) reçoivent tous des financements à la fois publics (notamment ministère de la Défense pour l'Ecole Polytechnique ou SGDN -via le Grand emprunt- pour SystemX) et privés (notamment Airbus sur la compréhension des conséquences d'attaques informatiques sur les supply chains industrielles).</span></em></p>Des erreurs méthodologiques et des confusions dans les définitions compliquent les estimations.Philippe Laurier, Responsable du séminaire intelligence économique, École polytechniqueLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1256052019-11-25T19:40:11Z2019-11-25T19:40:11ZComment la gendarmerie a contré un virus informatique mondial : le Retadup<figure><img src="https://images.theconversation.com/files/303217/original/file-20191122-74576-3orw8e.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Ordinateur portable affichant un drapeau pirate, symbole d'un logiciel malveillant, de pirates informatiques ou d'un autre problème informatique.</span> <span class="attribution"><a class="source" href="https://unsplash.com/photos/JJPqavJBy_k">michael geiger/unsplash</a>, <a class="license" href="http://creativecommons.org/licenses/by-sa/4.0/">CC BY-SA</a></span></figcaption></figure><p>Contraction des termes <em>bot</em>, et <em>net</em>, c’est-à-dire robot et réseau, le <a href="https://fr.wikipedia.org/wiki/Botnet">« botnet »</a> correspond à un ensemble de postes de travail et de serveurs, pouvant être répartis sur de vastes espaces et sur de multiples réseaux, et qui ont été contaminés par un logiciel malveillant, aussi qualifié de <a href="https://fr.wiktionary.org/wiki/maliciel">maliciel</a>. Cet agent logiciel automatique ou semi-automatique, ce <a href="https://fr.wikipedia.org/wiki/Bot_informatique">bot informatique</a> a généralement fait irruption dans un ordinateur via une clé USB infectée, ou après que l’utilisateur ait « cliqué » sur un fichier compromis.</p>
<p>Le bot ouvre un canal pour se connecter périodiquement à un serveur, dit de « commande et contrôle » (serveur C&C). Les postes contaminés interrogent ainsi le serveur pour lui demander les actions à exécuter, travail qui se fait à l’insu bien sûr des utilisateurs. On qualifie dès lors ces postes piégés de zombies, quant au serveur C&C, il est géré par un « maître » du botnet.</p>
<p>Créé en 2015, l’un de ces botnets a rapidement sévi avec force dans le cyberespace : considéré comme l’un des dix plus gros botnets au monde, il porte le nom de Retadup et a infecté quelque 1,25 million d’ordinateurs fonctionnant sur Windows. Chacun de ses bots embarque vingt <a href="https://fr.wikipedia.org/wiki/Nom_de_domaine">noms de domaine</a>, ce qui lui permet, si l’un des domaines ne répond pas, de s’adresser à un autre.</p>
<h2>Retadup, un botnet identifié</h2>
<p>Dès 2016, Retadup a été utilisé pour mener des attaques dans des hôpitaux en Israël, voler les données personnelles de patients, ou encore faire du ransomware, c’est-à-dire chiffrer les fichiers contenus sur un ordinateur, et demander une rançon en échange d’une clé permettant de les déchiffrer. Enfin, grâce au réseau de machines infestées, Retadup a permis aux pirates informatiques de cumuler la puissance de ces ordinateurs pour miner la cryptomonnaie <a href="https://fr.wikipedia.org/wiki/Monero">Monero</a>.</p>
<p>Naturellement, un tel piratage devait sérieusement ralentir le fonctionnement des ordinateurs infectés. Tant et si bien qu’un éditeur tchèque d’<a href="https://fr.wikipedia.org/wiki/Logiciel_antivirus">antivirus</a>, Avast, a fini par repérer ces agissements. Mieux, il s’est aperçu non seulement que plusieurs centaines de milliers d’ordinateurs étaient déjà infectés – principalement en Amérique latine – mais aussi que le serveur C&C qui semblait commander Retadup se situait en Région parisienne.</p>
<p>Le serveur C&C étant situé en France, le parquet de Paris a alors ouvert une procédure judiciaire et chargé un groupe de la gendarmerie nationale, le Centre de lutte contre les criminalités numériques (C3N) de mener des investigations.</p>
<h2>Rendu inopérant par une commande vide</h2>
<p>Début juillet 2019, opérant en toute discrétion pour ne pas se faire repérer par les cybercriminels, la gendarmerie fait une copie du disque du serveur C&C chez l’hébergeur. Puis elle en a fait l’examen. Onze versions de Retadup, une active, les autres plus anciennes, sont alors découvertes. Mais surtout, Avast et la gendarmerie repèrent une faille dans le code malveillant. La parade devient alors possible…
Pour désactiver les bots, un serveur de la gendarmerie a pris la place du serveur d’origine. Le groupe C3N avait en effet remarqué que les ordinateurs contaminés interrogeaient toutes les 30 secondes le serveur C&C, pour recevoir l’ordre d’exécuter une commande. Le trafic engendré par plus d’un million d’ordinateurs se connectant ainsi au serveur était évidemment considérable. La parade a consisté à envoyer l’ordre d’exécuter une commande vide, qui causait la désactivation automatique des effets délétères du botnet Retadup.</p>
<p>En peu de temps, 1,26 million d’ordinateurs ont ainsi désactivé leur bot, et ne pouvaient plus interroger le serveur, lequel était rappelons-le celui de la gendarmerie, et non plus le « vrai » serveur C&C dont il avait pris la place. Le serveur, de moins en moins sollicité, fonctionne désormais de mieux en mieux, mais avec de moins en moins d’utilité. Aujourd’hui, 6 000 ordinateurs interrogent encore en moyenne chaque jour le serveur C&C de la gendarmerie, téléchargent ainsi la fameuse commande vide, et ne peuvent dès lors plus se connecter, s’excluant ainsi du botnet Retadup. Combien restent encore contaminés dans le botnet Retadup ? Difficile à évaluer, peut-être plusieurs millions.</p>
<h2>Questions judiciaires…</h2>
<p>Naturellement, sur le plan judiciaire, se pose une question : même si c’est pour une juste cause, la gendarmerie avait-elle le droit de perturber le fonctionnement de centaines de milliers d’ordinateurs, la plupart étant de plus situés à l’étranger, car environ 165 pays furent touchés ? Évidemment, il ne s’agissait que de proposer une commande vide aux ordinateurs contaminés quand ils venaient la charger. Mais n’était-ce pas violer la <a href="https://fr.wikipedia.org/wiki/Loi_Godfrain">loi Godfrain</a> qui punit l’introduction, le maintien et la perturbation par une personne non autorisée du système d’information d’autrui ?</p>
<p>Dans cette formidable intervention de la gendarmerie, aucun contact direct n’a été effectué sur les ordinateurs contaminés. Ces derniers se connectaient, à l’insu du plein gré de leurs propriétaires, à ce qu’ils croyaient être le serveur C&C. Le faux serveur C&C de la gendarmerie, qui l’avait remplacé, leur servait une commande vide, à la place d’une autre qui aurait pu causer un déni de services, c’est-à-dire que les ordinateurs contaminés auraient pu envoyer de multiples requêtes vers des serveurs cibles pour les saturer et les mettre hors d’usage. Une commande non vide aurait pu aussi causer l’envoi de SPAM ou un minage de cryptomonnaie. Il ne s’agit donc pas d’une contre-attaque menée par la gendarmerie, mais de la simple attente que les ordinateurs se décontaminent tout seuls, en utilisant la faille d’un logiciel malveillant.</p>
<p>Quels modes opératoires peut-on légalement tolérer, et quels partenariats public/privé peut-on admettre comme légaux ? Jusqu’à quelles limites peut-on intervenir au-delà de nos frontières ? L’hébergeur de serveur C&C a-t-il sa part de responsabilité ?</p>
<h2>Qui est le maître du botnet Retadup ?</h2>
<p>In fine le coupable, bien entendu, est le maître du botnet Retadup ainsi que ceux qui le paient pour utiliser ses services. Mais qui est ce maître du botnet ? Pour l’heure, on ne le sait pas encore. La gendarmerie nationale poursuit ses investigations. De nombreux ordinateurs situés aux États Unis ayant été infectés, et des noms de domaines utilisés par les bots étant américains, le FBI est entré dans la danse et coopère étroitement avec la gendarmerie française. Quoi qu’il en soit, remercions la gendarmerie nationale, son groupe C3N et la société Avast. Leur contre-offensive contre ce botnet restera dans les annales.</p><img src="https://counter.theconversation.com/content/125605/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Gérard Peliks ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>En prenant la place du centre de commande et contrôle mis en place par des pirates informatiques, la gendarmerie nationale a récemment réussi à désamorcer un botnet créé en 2015 : Retadup.Gérard Peliks, Adjunct professor, Pôle Léonard de VinciLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1241372019-10-08T20:36:42Z2019-10-08T20:36:42ZLa guerre froide 2.0 entre Chine et États-Unis est tout sauf « virtuelle »<p>Alors que le Président Xi Jinping fêtait les 70 ans de la République Populaire de Chine par un <a href="https://www.huffingtonpost.fr/entry/70-ans-chine-defile-militaire-xi-jinping_fr_5d92dea3e4b0e9e76051e942">défilé militaire massif</a>, les États-Unis menaçaient toujours d’augmenter les <a href="https://www.reuters.com/article/us-usa-trade-china/china-us-kick-off-new-round-of-tariffs-in-trade-war-idUSKCN1VM0V9">taxes sur les produits chinois</a>.</p>
<p>À l’image de la lutte entre la Chine et les États-Unis, des actes plus ou moins belliqueux surviennent dans le monde numérique qui font craindre le pire : une guerre conventionnelle.</p>
<p>Chaque jour les médias et les déclarations des dirigeants américains et chinois révèlent l’ampleur du fossé idéologique et politique entre les USA et la Chine dans un contexte de rivalités économiques et militaires.</p>
<p>L’histoire nous enseigne comment se termine le plus souvent ce type d’affrontement. En parlant de la rivalité entre Sparte et Athènes, <a href="https://daily.jstor.org/can-the-u-s-and-china-avoid-the-thucydides-trap/">Thucydide</a> avait prédit qu’une nation dominante voyant sa suprématie remise en question par une puissance montante, réglerait ce différend par la guerre. Le piège de Thucydide fait redouter le pire pour la guerre froide américano-chinoise, qui concerne aussi le cyberespace.</p>
<h2>Armes cybers et attaques unitaires</h2>
<p>En effet, <a href="https://www.bbc.com/news/39655415">depuis l’attaque russe sur l’Estonie de 2007</a>, les États ont pris conscience des potentiels belliqueux du cyberespace. À l’époque, des hackers russes avaient réussi à paralyser le pays avec un protocole simple d’attaque par déni de service, en rendant inaccessibles des serveurs par la multiplication des requêtes. Gouvernement, ministères, banques, hôpitaux, entreprises de télécommunications, médias estoniens furent à genoux en quelques jours.</p>
<p>Avant et après cette attaque massive, des armes cybers comme des attaques unitaires (pour soutirer des informations) ou l’utilisation de vulnérabilité (pour pénétrer des réseaux et des ordinateurs) ont été utilisées à moindre échelle, mais de manière très efficace. Par exemple, les Américains et les Israéliens ont développé l’opération <a href="https://www.wired.com/2014/11/countdown-to-zero-day-stuxnet/">Stuxnet</a> pour ralentir le programme nucléaire iranien, en faisant exploser à distance des centrifugeuses d’enrichissement d’uranium, par le biais d’une attaque complexe impliquant, notamment, un virus informatique.</p>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/rjHSKUyKQyw?wmode=transparent&start=0" frameborder="0" allowfullscreen=""></iframe>
<figcaption><span class="caption">Stuxnet, outil de la cyberguerre, Agence nationale de la sécurité informatique.</span></figcaption>
</figure>
<h2>De nouvelles doctrines de « cyber » guerre</h2>
<p>Conscient du potentiel grandissant reflété par l’affaire estonienne, les USA et la Chine ont progressivement élaboré leurs <a href="https://www.whitehouse.gov/wp-content/uploads/2018/09/National-Cyber-Strategy.pdf/">doctrines de cyber guerre</a>, mais aussi des organisations, procédures et armes particulières.</p>
<p>A l’origine, la stratégie cyber américaine de l’administration Obama était défensive. <a href="https://www.whitehouse.gov/wp-content/uploads/2018/09/National-Cyber-Strategy.pdf">La posture américaine a changé sous Donald Trump avec une visée de suprématie</a>, prônant des actions pro-actives, quasi offensives vis-à-vis de ses adversaires. La différence de ton dans les stratégies militaires cybers entre les administrations Obama et Trump reflète à l’identique la montée des tensions entre les USA et la Chine.</p>
<p>Cette guerre froide 2.0 repose sur le développement de moyens techniques et humains, la collecte de renseignements, des sabotages et des opérations d’influence.</p>
<h2>Budgets décuplés</h2>
<p>Ainsi, les moyens mis en œuvre dans des actions de cyber guerre sont en augmentation chez les deux protagonistes.</p>
<p>Avec le <a href="https://www.sipri.org/databases/milex">premier budget militaire au monde</a> et de remarquables entreprises du numérique, les USA ont indéniablement une grande puissance de feu cyber. Washington décida en 2009, de créer un centre de commandement militaire : <a href="https://www.cybercom.mil/">US Cyber Command</a> (opérationnel en 2010). Inexistant voilà 10 ans, le centre de cyber commandement américain a maintenant plus de <a href="https://www.fifthdomain.com/dod/cybercom/2018/05/17/cyber-commands-cyber-warriors-hit-key-milestone/">6 000 experts</a>.</p>
<p>Du côté chinois, le pays peut compter sur le <a href="https://media.defense.gov/2019/May/02/2002127082/-1/-1/1/2019_CHINA_MILITARY_POWER_REPORT.pdf">troisième département de l’armée populaire</a>, les forces spécialisées de sécurité intérieure dans le cyber et certaines entreprises. En 2015, Pékin a créé l’équivalent de l’US Cyber Command : le <a href="https://www.dia.mil/Portals/27/Documents/News/Military%20Power%20Publications/China_Military_Power_FINAL_5MB_20190103.pdf">Strategic Support Force</a>, pour regrouper les moyens de l’armée populaire dans le domaine de la guerre cyber, spatiale et électronique.</p>
<p>Les cas d’espionnage entre les deux pays se sont multipliés comme, par exemple, le <a href="https://thediplomat.com/2015/01/new-snowden-documents-reveal-chinese-behind-f-35-hack/">vol des plans de l’avion militaire américain F-35</a>, devenu par « miracle » le J-31 de l’armée populaire de Chine, des espions chinois ayant dérobé les plans américains.</p>
<p>Au-delà du domaine, militaire, la guerre froide 2.0 vise aussi les intérêts économiques. L’ancien directeur du FBI a, d’ailleurs remarqué qu’il existait deux types d’entreprises américaines, celles qui savent avoir été hackées par la Chine et celles qui ne le savent pas. Depuis 2012, plus <a href="https://www.cnbc.com/2019/09/23/chinese-theft-of-trade-secrets-is-on-the-rise-us-doj-warns.html">80 % des affaires d’espionnage économique</a> contre les USA seraient liées à la Chine. Par exemple, des hackers liés au ministère chinois de la Sécurité d’État, ont hacké le groupe Marriott pendant quatre ans afin de voler les données personnelles de <a href="https://theconversation.com/marriott-data-breach-500-million-times-concerned-109063">500 millions de clients </a>.</p>
<h2>Sabotages et influence</h2>
<p>Les sabotages sont aussi opérés dans le monde cyber. Ils concernent parfois des alliés des 2 protagonistes. Ainsi, grâce à leur arsenal numérique, les <a href="https://www.businessinsider.com/us-hack-north-korea-missile-system-2017-4">Américains ont réussi à faire échouer des tirs de missiles nord-coréens, alliés fidèles des Chinois</a>.</p>
<p>Selon la conjecture de Cartwright (du nom d’un général américain qui a pensé cette doctrine), la stratégie cyber, pour être efficace, doit avoir un volet opérationnel suivi dans certains cas de communication pour avertir les adversaires des risques encourus et dévoiler les <a href="https://www.wsj.com/articles/cyberespionage-experts-want-to-know-whos-exposing-chinas-hacking-army-1538478001">menaces ennemies</a>.</p>
<p>L’influence et la déstabilisation sont donc des objectifs importants de la guerre froide 2.0. Ainsi, lors de l’<a href="https://www.wired.com/2010/01/operation-aurora/">opération cyber Aurora</a>, la Chine a visé en 2009-2010, 34 entreprises américaines, déstabilisant du même coup des fleurons américains comme Northtrop Grumman, Dow Chemical ou Google.</p>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/8Y5Vbp6qQRI?wmode=transparent&start=0" frameborder="0" allowfullscreen=""></iframe>
<figcaption><span class="caption">Opération « Aurora » décryptée sur CNNet.</span></figcaption>
</figure>
<h2>Propagande numérique chinoise</h2>
<p>Le pire est-il à venir ? La prochaine étape ne sera-t-elle pas une action de <a href="https://comprop.oii.ox.ac.uk/wp-content/uploads/sites/93/2019/09/CyberTroop-Report19.pdf">propagande numérique chinoise</a> lors des élections américaines ou dans d’autres démocraties alliées ?</p>
<p>Les Chinois ont déjà montré leurs capacités de piratage de comptes ou de désinformation dans les médias, lors des <a href="https://www.independent.co.uk/life-style/gadgets-and-tech/news/telegram-down-hack-china-hong-kong-protests-messaging-app-a8956691.html">récentes émeutes de Hongkong</a>.</p>
<p>Sans être une guerre conventionnelle, la guerre froide 2.0 est une guérilla marquée par un harcèlement numérique permanent entre les USA et la Chine avec une multiplication menaçante d’activités de renseignement, sabotage et influence. Il faut maintenant que ces puissances évitent le piège de l’escalade selon Thucydide, d’autant plus périlleux qu’une confrontation pourrait être aussi nucléaire.</p><img src="https://counter.theconversation.com/content/124137/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Bertrand Venard professeur à Audencia Business School (Nantes) et à l'Université d'Oxford (Grande-Bretagne) mène un important projet de recherche sur les comportements humains en matière de cybersécurité, financé par l'Union européenne (numéro de projet : 792137).</span></em></p>Les conflits entre la Chine et les USA passent par la collecte de renseignements, le sabotage, le travail d’influence prenant appui sur les faiblesses et les possibilités du cyberespace.Bertrand Venard, Professor, AudenciaLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1229082019-09-08T18:38:06Z2019-09-08T18:38:06ZPourquoi les appareils à commande vocale nous enregistrent-ils ? Quels en sont les risques ?<figure><img src="https://images.theconversation.com/files/290987/original/file-20190904-175705-kr1r86.png?ixlib=rb-1.1.0&rect=13%2C6%2C691%2C433&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Assistant à commande vocale.</span> <span class="attribution"><a class="source" href="https://unsplash.com/photos/KwG8KpT6gbQ">Photo by Niclas Illg on Unsplash</a></span></figcaption></figure><p>Alors que le déploiement sécurisé des réseaux 5G vient d’être adopté par la France (<a href="https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000038864094&dateTexte=&categorieLien=id">loi « anti-Huawei »</a>), les polémiques fleurissent autour des assistants vocaux (sans oublier votre Xbox) convertis en véritables « mouchards ». A la suite de lanceurs d’alerte, plusieurs médias ont ainsi révélé l’étendue des enregistrements accidentels (non déclenchés par l’utilisateur) et surtout l’envoi de tous les enregistrements à des sous-traitants dont les salariés écoutent vos moments les plus intimes.</p>
<p><a href="https://www.vrt.be/vrtnws/en/2019/07/10/google-employees-are-eavesdropping-even-in-flemish-living-rooms/">Google Home</a>, <a href="https://www.lemondeinformatique.fr/actualites/lire-plus-d-ecoute-de-siri-sans-accord-de-l-utilisateur-promet-apple-76256.html">Apple Siri</a>, <a href="https://www.bloomberg.com/news/articles/2019-04-10/is-anyone-listening-to-you-on-alexa-a-global-team-reviews-audio">Amazon Echo</a> et <a href="https://www.phonandroid.com/microsoft-a-aussi-espionne-les-joueurs-xbox.html">Xbox</a>, fabricants de ces dispositifs reposant sur l’intelligence artificielle ont en effet recours à des sociétés extérieures pour analyser les requêtes. C’est acceptable, mais là où cela devient glissant, c’est que les salariés peuvent écouter les enregistrements des voix des membres du foyer et des personnes qui les visitent et sont à portée de voix.</p>
<p>La commande vocale est en réalité profondément infiltrée dans votre vie privée. Au-delà des assistants vocaux ce sont bien sûr le téléphone, un casque audio, les équipements ménagers, jusqu’à <a href="https://www.professionvoyages.com/commande-vocale-dans-votre-chambre-dhotel/">votre chambre d’hôtel</a>, et demain les véhicules autonomes qui fonctionnent grâce à cette technologie. Il est donc temps de découvrir ce que les fabricants enregistrent, pourquoi, et quels sont les risques pour les utilisateurs.</p>
<h2>Espion du quotidien</h2>
<p>Contrôler des objets connectés, utiliser des services de divertissement tels sont les fonctions des assistants personnels à commande vocale : répondre à une question, jouer un morceau de musique, donner la météo, descendre les stores, diminuer la température… un vrai valet à votre service !</p>
<p>Tous les appareils connectés se trouvent dans le foyer ou sont portés par leurs utilisateurs. Le volume des données qu’ils génèrent est donc très important et reflète parfaitement le mode de vie de la famille depuis l’heure du lever. Réglage du chauffage, goûts culturels, achats passés, centres d’intérêt… rien de leur échappe. Le profil commercial de chaque membre de la famille est affiné en toute discrétion puisque la voix qui commande l’appareil ne laisse aucune « trace ». En effet, vous souvenez-vous des requêtes formulées hier ? La semaine dernière ? Ou depuis l’achat de cet assistant ? Et qu’en est-il des interactions de vos enfants ou de leurs amis avec cette machine ? L’appareil lui, ne perd pas une miette du moindre mot et s’empresse de l’analyser pour peaufiner la technologie de reconnaissance vocale et, au passage, la publicité ciblée.</p>
<p>Le fonctionnement est tellement simple que l’appareil se déclenche au bruit d’une simple fermeture éclair ! Siri s’est aussi déclenché en plein discours du Secrétaire à la Défense <a href="https://www.bbc.com/news/av/uk-politics-44701007/gavin-williamson-interrupted-by-siri-during-commons-statement">Gavin Williamson</a> qui s’adressait aux députés au sujet de la Syrie. Le même assistant s’active aussi en concordance avec l’Apple Watch. Or, le taux de déclenchement accidentel de cette montre connectée est très élevé et il peut enregistrer jusqu’à 30 secondes de son. Des négociations d’affaires aux rapports sexuels, en passant par des transactions illicites et des consultations médicales, l’objet des enregistrements est identifiable en un rien de temps.</p>
<p>Le motif invoqué par les fabricants pour justifier ces enregistrements est l’amélioration de la technologie de reconnaissance vocale : « améliorer la qualité langagière » selon Amazon et Google. Les sociétés précisent qu’elles permettent à l’utilisateur de s’opposer à certaines utilisations de ces enregistrements par une option d’« opt-out » (pour ce faire, il faudra vous immerger dans les paramètres de votre appareil…). Apple a pour sa part expliqué que l’analyse porte sur moins de 1 % des requêtes et qu’elle se fait moyennant des garanties : les données sont anonymisées (elles ne peuvent pas être rattachées à l’identifiant d’un client) et les personnes chargées de l’analyse ont signé un engagement de confidentialité. Devant le tollé provoqué par ces révélations, la firme a décidé d’introduire une option de consentement pour les utilisateurs.</p>
<h2>Données personnelles</h2>
<p>Si ces enregistrements « accidentels » et leur envoi pour analyse et écoute à des sous-traitants alimentent la polémique, c’est parce que les utilisateurs n’en étaient pas informés par les fabricants. Leur manque de loyauté et de transparence vis-à-vis de leurs clients est donc condamnable, sans compter l’absence de sécurité et de confidentialité s’agissant des enregistrements communiqués aux médias. Ces enregistrements comprennent l’historique des requêtes audio et la transcription des requêtes. Ils sont accompagnés de données de localisation, données de contacts et détails des applications qui servent à vérifier si la réponse à une requête a été donnée, plus les méta-données (date, heure, utilisateur…).</p>
<p>De surcroît, d’innombrables cas d’enregistrements portent sur des <a href="https://www.theguardian.com/technology/2019/jul/26/apple-contractors-regularly-hear-confidential-details-on-siri-recordings">discussions privées</a> entre médecins et patients, des négociations commerciales, des transactions apparemment criminelles, ou encore de rencontres sexuelles, etc.</p>
<p>Or, les données contenues par ces enregistrements sont des données à caractère personnel puisqu’il s’agit d’informations se rapportant à une personne physique identifiée ou identifiable. Rappelons que la personne physique peut être identifiée indirectement par référence à un identifiant (nom, numéro d’identification, données de localisation) ou à un ou plusieurs éléments spécifiques propres à son identité qu’elle soit physique, économique, culturelle ou sociale.</p>
<p>Nombre de ces données sont qualifiées de sensibles : celles révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses, l’appartenance syndicale, les données de santé ou celles concernant la vie sexuelle ou l’orientation sexuelle d’une personne. Le RGPD interdit le traitement de ces données sauf consentement explicite de la personne et dans certaines hypothèses strictement définies (art. 9). Or, dans de tels cas, les équipes qui analysent les enregistrements ont pour toute consigne de rapporter un « incident technique », sans plus. Aucune procédure n’est mise en place pour ces données très sensibles !</p>
<p>Au-delà de la publicité ciblée, les risques sont le partage ou la commercialisation des données, le piratage et l’utilisation par des tiers non autorisés (usurpation d’identité, arnaques, <em>ransomware</em>, etc.). Ces risques sont bien réels car la détection de la voix humaine n’est pas infaillible. Lors du Super Bowl 2017, une publicité TV sur Google Home avait déclenché les appareils des téléspectateurs car les personnages lançaient le fameux « OK Google ». De nombreux utilisateurs d’Amazon Echo ont reçu à leur domicile une maison de poupée qu’ils n’avaient pas commandée ! La commande vocale est donc la grande vulnérabilité de ces nouvelles technologies.</p>
<h2>Paroles… paroles… paroles…</h2>
<p>L’utilisation des assistants à commande vocale se révèle donc à haut risque pour la vie privée de ses utilisateurs. Leurs propriétaires sont en premier lieu affectés ainsi que toute personne se trouvant à portée de voix de l’appareil, même s’il n’en a pas forcément conscience. Plusieurs principes du RGDP ne sont sans doute pas observés. Celui de licéité, loyauté et transparence tout d’abord, puisque ces enregistrements et leur envoi à des sous-traitants ont eu lieu en dehors de toute information des personnes aisément accessible, facile à comprendre et formulée en termes clairs et simples. La minimisation de l’usage des données est aussi mise à mal car ces sociétés traitent des données qui ne sont ni adéquates, ni pertinentes au regard des requêtes des usagers.</p>
<p>Ensuite, rappelons qu’en vertu du principe de limitation des finalités, la ou les finalités doivent répondre à trois qualités. Être « déterminées » préalablement ce qui signifie qu’il est interdit de collecter des données à des fins préventives. Ces finalités doivent être « explicites », c’est-à-dire communiquées à la personne concernée (droit à l’information) et enfin, être légitimes par rapport à l’activité du responsable de traitement.</p>
<p>Quant à la limitation de la conservation, aucune durée n’est spécifiée par les CGU de Google si ce n’est que les enregistrements sont conservés <a href="https://support.google.com/googlenest/answer/7072285?hl=en">jusqu’à ce que les utilisateurs les suppriment</a>. Comment faire ? Ici encore, tout repose sur la vigilance de la personne et sa persévérance, à défaut de protection par défaut et dès la conception de la part de Google (accédez <a href="https://myactivity.google.com/">ici</a> à votre activité sur la page de Google pour tenter de supprimer vos enregistrements).</p>
<p>Sur certains produits, il est possible de paramétrer plusieurs profils d’utilisateurs, dans ce cas les enregistrements permettent l’identification de la personne (biométrie vocale) et les données sont rattachées à chaque profil. S’agissant de données biométriques, elles sont qualifiées de sensibles au sens du RGPD et ne peuvent être traitées que sur la base d’un consentement explicite.</p>
<h2>Détournements</h2>
<p>En cas d’utilisation des données pour une finalité autre que celles spécifiées dans les conditions d’utilisation de ces services, les sociétés peuvent voir leur responsabilité engagée pour détournement de finalité. La CNIL a récemment mis en demeure des sociétés des groupes <a href="https://www.cnil.fr/fr/mise-en-demeure-de-cinq-societes-dassurance-pour-detournement-de-finalite-des-donnees-des-assures">Humanis et Malakoff-Médéric</a> de cesser d’utiliser pour de la prospection commerciale des données personnelles collectées exclusivement afin de payer les allocations retraite.</p>
<p>Avec l’entrée en application du RGPD, les amendes administratives pour violation des principes de base d’un traitement, y compris les conditions applicables au consentement, peuvent atteindre vingt millions d’euros ou jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent (le montant le plus élevé étant retenu).</p>
<p><a href="https://datenschutz-hamburg.de/assets/pdf/2019-08-01_press-release-Google_Assistant.pdf">L’autorité de protection des données allemande</a> a justement ouvert une procédure d’enquête en août dernier enjoignant Google de cesser ses analyses des enregistrements pour une durée de 3 mois dans l’Union européenne.</p>
<h2>Que faire ?</h2>
<p>Les détenteurs de ces assistants peuvent tout d’abord exercer leurs droits d’accès à leurs données à caractère personnel pour savoir quelles écoutes ont été faites, et ensuite en demander la suppression. En attendant que des sanctions soient prises, les conseils de la <a href="https://www.cnil.fr/fr/enceintes-intelligentes-des-assistants-vocaux-connectes-votre-vie-privee">CNIL</a> sont les suivants :</p>
<ul>
<li><p>Privilégier l’utilisation d’enceintes équipées d’un bouton de désactivation du microphone.</p></li>
<li><p>Couper le micro/éteindre/débrancher l’appareil lorsque vous ne souhaitez pas être écouté. Certains dispositifs n’ont pas de bouton on/off et doivent être débranchés.</p></li>
<li><p>Avertir les tiers/invités de l’enregistrement potentiel des conversations (ou couper le micro lorsqu’il y a des invités).</p></li>
<li><p>Encadrer les interactions des enfants avec ce type d’appareils (rester dans la pièce, éteindre le dispositif lorsqu’on n’est pas avec eux).</p></li>
<li><p>Vérifier qu’il est bien réglé par défaut pour filtrer les informations à destination des enfants.</p></li>
</ul>
<p>Enfin, si vous possédez l’appareil Alexa d’Amazon, il est possible de désactiver l’option d’enregistrement dans : Paramètres > Alexa et vos informations personnelles > Gérer comment vos données contribuent à améliorer Alexa > Contribuer à améliorer les services Amazon et à développer de nouvelles fonctionnalités.</p><img src="https://counter.theconversation.com/content/122908/count.gif" alt="The Conversation" width="1" height="1" />
Les assistants personnels à commande vocale sont à la mode. Sait-on qu’ils enregistrent nos conversations et diffusent nos données ?Nathalie Devillier, Professeur de droit, Grenoble École de Management (GEM)Licensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1179302019-05-30T21:26:54Z2019-05-30T21:26:54ZCybersécurité : la piqûre de rappel de l’attaque contre la ville de Baltimore<figure><img src="https://images.theconversation.com/files/277023/original/file-20190529-192339-1wq8dqm.jpg?ixlib=rb-1.1.0&rect=31%2C17%2C967%2C648&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">La ville américaine est victime d'une attaque de hackers depuis le 7 mai dernier.</span> <span class="attribution"><span class="source">Remitski Ivan/Shutterstock</span></span></figcaption></figure><p>La cybersécurité est l’un des thèmes favoris des scénaristes d’Hollywood (<a href="http://www.allocine.fr/film/fichefilm_gen_cfilm=51719.html"><em>Wargames</em></a>, <a href="http://www.allocine.fr/film/fichefilm_gen_cfilm=50575.html"><em>Die Hard 4</em></a>, <a href="http://www.allocine.fr/film/fichefilm_gen_cfilm=145646.html"><em>Skyfall</em></a>, <a href="http://www.allocine.fr/film/fichefilm_gen_cfilm=59809.html"><em>La vengeance dans la peau</em></a>). Les habitants de la ville de Baltimore pourraient donc être au cœur d’une prochaine superproduction. En effet, des pirates informatiques paralysent, depuis le 7 mai dernier, tous les services administratifs de la ville. Les règlements des factures d’eau, des amendes, ou des impôts sont en conséquence impossibles et quelque 1 500 ventes immobilières ont par ailleurs été suspendues.</p>
<p>Les hackers réclament une rançon de 13 bitcoins, soit près de <a href="https://www.nytimes.com/2019/05/22/us/baltimore-ransomware.html?searchResultPosition=2">105 000 dollars</a> au cours actuel, mettre fin à l’attaque. Pour le moment, la mairie refuse de céder au chantage.</p>
<p>Cet évènement est l’occasion de rappeler plus largement que la cybersécurité va au-delà des questions techniques et juridiques traditionnelles. Les États-Unis disposent en effet d’un arsenal conséquent en matière de cyberdéfense qui n’a cessé de se renforcer depuis 1998 et la signature par le président Bill Clinton d’un premier <a href="http://www.senat.fr/rap/r11-681/r11-68110.html">décret présidentiel</a> visant à notamment éliminer les vulnérabilités des systèmes informatiques gouvernementaux. En 2017, le président Donald Trump a signé un nouveau décret visant à mieux protéger les systèmes informatiques dans les secteurs stratégiques (banques, électricité et transports).</p>
<figure class="align-center ">
<img alt="" src="https://images.theconversation.com/files/277024/original/file-20190529-192428-bd4xqn.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/277024/original/file-20190529-192428-bd4xqn.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=400&fit=crop&dpr=1 600w, https://images.theconversation.com/files/277024/original/file-20190529-192428-bd4xqn.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=400&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/277024/original/file-20190529-192428-bd4xqn.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=400&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/277024/original/file-20190529-192428-bd4xqn.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=503&fit=crop&dpr=1 754w, https://images.theconversation.com/files/277024/original/file-20190529-192428-bd4xqn.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=503&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/277024/original/file-20190529-192428-bd4xqn.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=503&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">Le maire de Baltimore refuse pour le moment de céder au chantage.</span>
<span class="attribution"><span class="source">Sergey Novikov/Shutterstock</span></span>
</figcaption>
</figure>
<h2>Une meilleure cyberdéfense, mais plus d’attaques</h2>
<p>De l’autre côté de l’Atlantique, l’arsenal s’est également considérablement développé ces dernières années. En France, la Loi de programmation militaire (LPM) <a href="https://www.defense.gouv.fr/dgris/politique-de-defense/la-loi-de-programmation-militaire-2014-2019-et-son-actualisation/la-lpm-2014-2019-et-son-actualisation">2014/2109</a>, qui fait suite aux deux livres blancs de 2008 et 2013, a installé un appareil législatif visant à défendre les OIV (opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont l’indisponibilité risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation).</p>
<p>L’Union européenne a de son côté adopté en 2016 une directive sur la sécurité des réseaux et des systèmes d’information connue sous l’appellation <a href="https://www.ssi.gouv.fr/actualite/adoption-de-la-directive-network-and-information-security-nis-lanssi-pilote-de-la-transposition-en-france/">« directive NIS »</a>. Ce texte ayant vocation à s’appliquer immédiatement et sans besoin de transposition dans tous les États membres a créé une nouvelle catégorie d’opérateurs : les Opérateurs de services essentiels (<a href="https://www.ssi.gouv.fr/actualite/directive-nis-lanssi-accompagne-les-premiers-operateurs-de-services-essentiels/">OSE</a>). Trois critères permettent de définir un OSE : le service rendu est essentiel au maintien d’activité économiques critiques ; la fourniture du service est tributaire de réseaux informatiques ; un incident sur ces réseaux aurait un effet perturbateur pour la fourniture du service. Tout comme pour les OIV, le fait pour une entreprise d’être désignée OSE va lui créer des obligations.</p>
<p>Mais, contrairement aux nuages radioactifs de Tchernobyl, la cybercriminalité ne s’arrête pas aux frontières. Une action internationale est donc nécessaire. C’est pourquoi la <a href="http://www.europarl.europa.eu/meetdocs/2014_2019/documents/libe/dv/7_conv_budapest_/7_conv_budapest_fr.pdf">Convention de Budapest</a> du 23 novembre 2001 a été proposée par le Conseil de l’Europe. Tous les 18 mois, une grande réunion internationale (du nom d’<a href="https://www.coe.int/en/web/cybercrime/cybercrime-octopus">Octopus</a>) se tient avec tous les acteurs concernés. Ces conférences permettent de faire le point sur les nouvelles problématiques qui apparaissent.</p>
<p>Malgré ces dispositifs, la cybercriminalité – crimes sur Internet, piratages, vols d’identité – pèsent de plus en plus sur l’économie mondiale. Son coût a été évalué à près de <a href="http://www.rfi.fr/technologies/20180223-cout-cybercriminalite-600-milliards-dollars-mcafee-rapport">600 milliards de dollars pour l’année 2017</a> selon une étude réalisée par McAfee, entreprise de logiciels et notamment d’antivirus, avec un cercle de réflexion américain (CSIS), 200 milliards de plus qu’en 2014.</p>
<figure class="align-left ">
<img alt="" src="https://images.theconversation.com/files/277079/original/file-20190529-192451-1i9txrc.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=237&fit=clip" srcset="https://images.theconversation.com/files/277079/original/file-20190529-192451-1i9txrc.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=896&fit=crop&dpr=1 600w, https://images.theconversation.com/files/277079/original/file-20190529-192451-1i9txrc.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=896&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/277079/original/file-20190529-192451-1i9txrc.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=896&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/277079/original/file-20190529-192451-1i9txrc.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=1125&fit=crop&dpr=1 754w, https://images.theconversation.com/files/277079/original/file-20190529-192451-1i9txrc.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=1125&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/277079/original/file-20190529-192451-1i9txrc.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=1125&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption"></span>
</figcaption>
</figure>
<p>Ces chiffres et le récent hacking de la ville de Baltimore illustre encore une fois que la cybersécurité n’est plus uniquement une affaire d’informaticiens et de juristes, mais de culture, de sensibilisation, de formation… bref, de management. Cet évènement rappelle par ailleurs que les organisations locales de gouvernance sont en première ligne face aux risques. Un chercheur du CNAM, <a href="https://www.decitre.fr/livres/les-collectivites-territoriales-face-a-la-cybercriminalite-9782747222952.html">Rémy Février</a>, avait été à ce sujet le premier à le souligner, en 2014, dans son livre « Les collectivités territoriales face à la cybercriminalité ».</p>
<p>Rappelons donc quelques bonnes pratiques car, si les attaques tendent à devenir de plus en plus sophistiqueés, les méthodes plus « classiques » restent très employées par les pirates. Par exemple, les <em>ransomware attacks</em> (ou attaques par rançongiciel), qui consistent en l’installation d’un logiciel pour « prendre en otage » les données via l’ouverture d’un e-mail frauduleux, ont <a href="https://www.industryweek.com/technology-and-iiot/cyberattacks-skyrocketed-2018-are-you-ready-2019">augmenté de 350 %</a> entre 2017 et 2018. C’est d’ailleurs cette méthode qui a été utilisée par les pirates à Baltimore.</p>
<h2>Manager la cybersécurité</h2>
<p>Alors, comment poser les bases d’une cyberstratégie efficace ? La première étape est de prendre conscience que nul n’est à l’abri d’une cyberattaque. Toute information, quelle que soit son importance, peut être monnayée auprès de son propriétaire. Tout système informatique peut être paralysé (<a href="https://www.economie.gouv.fr/entreprises/attaque-par-deni-service-ddos">attaque par déni de service</a>). Personne n’est « en dessous des radars ». Le cas de la ville de Baltimore, dans le malheur des habitants, pourra au moins participer à cette prise de conscience et donc favoriser cette nécessaire acculturation.</p>
<p>La deuxième étape consiste en l’élaboration d’une « cyber-hygiène ». Cela consiste à changer de comportements, tant collectifs qu’individuels. Les entreprises, comme les collectivités, doivent mettre en place une véritable politique de management de la cybersécurité. Cela peut passer par des chartes d’utilisation des outils informatiques. Cette politique managériale devra être complétée par un <a href="https://www.cybermalveillance.gouv.fr/inscription-sensibilisation/">accompagnement des salariés</a>.</p>
<p>Une fois cette sensibilisation effectuée, il s’agira de passer à l’étape de la formation. Son objectif n’est pas de former les salariés au codage mais d’échanger les <a href="https://www.ssi.gouv.fr/guide/guide-des-bonnes-pratiques-de-linformatique/">bonnes pratiques</a> en s’appuyant sur les spécialistes (en France, l’<a href="https://www.ssi.gouv.fr">ANSSI</a> ou la <a href="https://www.cnil.fr">CNIL</a>). La difficulté rencontrée par les entreprises, comme les collectivités, est l’isolement. En effet, encore trop souvent, faire appel à des spécialistes et témoigner est perçu comme une preuve de faiblesse en la matière.</p>
<p>Le cas de Baltimore, comme ceux des milliers d’<a href="https://www.hiscox.fr/courtage/sites/courtage/files/2018-09/rapport-hiscox-cyber-sinistres-2018.pdf">entreprises rançonnées</a>, confirme que la cybersécurité est avant tout une question comportements, de prise de conscience. Et, au-delà, il rappelle la nécessité d’analyser la cybersécurité comme une arme de guerre économique nécessitant une véritable <a href="http://www.cyberstrategie.org/">cyberstratégie</a> du tissu économique, en France comme ailleurs.</p><img src="https://counter.theconversation.com/content/117930/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Olivier Lasmoles est auditeur de l'IHEDN et membre de la Commission Cyberstratégie. </span></em></p>L’attaque contre le système de la municipalité américaine montre que les dispositifs techniques et juridiques resteront insuffisants tant qu’une culture de la cybersécurité ne se sera pas développée.Olivier Lasmoles, Professeur associé de droit - Laboratoire Metis EM Normandie, EM NormandieLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1174662019-05-28T23:44:23Z2019-05-28T23:44:23Z« Black Mirror » ou le côté obscur de la technologie<figure><img src="https://images.theconversation.com/files/276447/original/file-20190525-187169-15wjk1r.jpg?ixlib=rb-1.1.0&rect=5%2C5%2C1911%2C1072&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">le smiley inquiétant de Black Mirror</span> <span class="attribution"><span class="source">Netflix</span></span></figcaption></figure><p>Si <em>Black Mirror</em> est l’une des séries les plus fascinantes et les plus inquiétantes des dix dernières années, c’est en raison de son personnage principal : la technologie. Fascinante car le spectateur peut s’identifier facilement à la plupart des situations. <a href="https://theinnersane.com/2019/05/05/these-haunting-episodes-of-black-mirror-are-still-giving-us-the-worst-nightmares/">Inquiétante car la technologie y est hostile</a> : addictive, invasive, espionne, aliénante, psychopathe, apocalyptique… Alors que la <a href="https://www.youtube.com/watch?v=2bVik34nWws">bande-annonce de la saison 5</a> de <em>Black Mirror</em> a été diffusée par Netflix le 15 mai pour une sortie le 5 juin, l’attente est très forte pour cette série qui, en très peu d’épisodes, a eu une influence considérable sur le public et sur de nombreux autres shows.</p>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/2bVik34nWws?wmode=transparent&start=0" frameborder="0" allowfullscreen=""></iframe>
<figcaption><span class="caption">Bande Annonce officielle de la saison 5 de <em>Black Mirror</em>.</span></figcaption>
</figure>
<h2>Un concept original au service d’un message puissant</h2>
<p>Depuis 2011, la vocation de <em>Black Mirror</em> n’est pas seulement d’être divertissante : la série britannique propose de réfléchir à la manière dont un <a href="https://urj.uccs.edu/index.php/urj/article/view/181">dispositif technologique peut influencer négativement la société et modifier profondément le comportement des individus</a>. Chaque épisode est centré sur une technologie qui existe déjà, et montre comment celle-ci pourrait évoluer dans un futur proche, pour le meilleur et surtout pour le pire. Si la technologie est parfois dangereuse en elle-même, ce sont ses concepteurs ou ses utilisateurs mal intentionnés qui l’emploient pour manipuler, humilier, contraindre, asservir ou tuer.</p>
<p>Dans <em>Black Mirror</em>, les situations sont familières, mais poussées à l’extrême, <a href="https://medium.com/@galencro/whats-up-with-car-accidents-and-black-mirror-season-4-24bcf967d5d7">elles dégénèrent de manière imprévisible et incontrôlable</a> pour devenir anxiogènes, destructrices et souvent fatales. Chaque épisode est indépendant avec un univers et un style spécifique, même si <a href="https://screenrant.com/hints-black-mirror-shared-universe/">quelques indices permettent d’en connecter certains</a>. Les thèmes abordés sont par exemple l’addiction aux news people, à la télé-réalité, aux <a href="https://www.mdpi.com/1660-4601/14/3/311">réseaux sociaux</a>, aux <a href="https://www.childpsych.theclinics.com/article/S1056-4993(17)30139-6/abstract">jeux vidéo</a>, au <a href="https://www.ingentaconnect.com/content/prin/csj/2015/00000049/00000002/art00014">smartphone</a> ou à la <a href="https://www.tandfonline.com/doi/abs/10.1080/10720162.2019.1567411">pornographie</a> ; la fin de la vie privée ; les <a href="https://www.taylorfrancis.com/books/9781317109129">robots et les androïdes</a> ; le profiling social et commercial ; les <a href="https://ora.ox.ac.uk/objects/uuid:cef7e8d9-27bf-4ea5-9fd6-855209b3e1f6">fake news et la manipulation de l’opinion</a> ; les sites de rencontres et les systèmes d’appariement ; la <a href="https://link.springer.com/chapter/10.1007/978-3-319-90059-9_7">réalité augmentée immersive</a> ; la <a href="https://ieeexplore.ieee.org/abstract/document/8203709">cybersécurité et le cyberharcèlement</a> ; le transfert de la mémoire ou de la conscience dans une machine ; et le <a href="https://books.google.fr/books?hl=fr&lr=&id=FQSLCwAAQBAJ&oi=fnd&pg=PA1&dq=transhumanism+dangers&ots=IrtBCXlUqk&sig=JvzNz8gJBXzGvuvD23r7KvfTvpg#v=onepage&q=transhumanism%20dangers&f=false">transhumanisme</a>.</p>
<p>L’un des épisodes les plus emblématiques de <em>Black Mirror</em> est le deuxième de la première saison, <a href="https://www.youtube.com/watch?v=MIVg1qgC_sk">« Fifteen Million Merits »</a>. Il présente un monde proche de ce que décrit le <a href="https://books.google.fr/books?hl=fr&lr=&id=WoKGAgAAQBAJ&oi=fnd&pg=PP1&dq=herbert+marcuse&ots=UsUcVhPix2&sig=nmstbkqVC-6IxuZgcYu8bfF7CRc#v=onepage&q=herbert%20marcuse&f=false">philosophe Herbert Marcuse</a> dans lequel l’<a href="https://www.pdcnet.org/philnow/content/philnow_2013_0097_0042_0044">humanité est asservie par les médias de masse, la publicité et l’industrie</a>. Le personnage principal, Bing, passe ses journées à pédaler sur un vélo d’appartement devant un écran de télévision comme tous les membres de la classe moyenne. Il gagne ainsi des crédits, appelés <em>merits</em>, pour acheter des produits ou des services. Dans cette société matérialiste où la <a href="https://gohighbrow.com/black-mirror-has-technology-corrupted-us-what-are-the-dangers-of-technology/">technologie domine et corrompt</a>, chacun est filmé en permanence. La téléréalité et le gaming sont les seuls divertissements et la quête de la célébrité la seule ambition. Ne pas consommer de pornographie est pénalisé. Si Bing veut se révolter et dénoncer le système qui l’opprime, il finira par accepter d’en devenir lui-même un élément et abandonnera sa morale pour plus de confort.</p>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/MIVg1qgC_sk?wmode=transparent&start=0" frameborder="0" allowfullscreen=""></iframe>
<figcaption><span class="caption">Les meilleurs moments de l’épisode « Fifteen Million Merits » de <em>Black Mirror</em>.</span></figcaption>
</figure>
<h2>De la science-fiction horrifique proche d’une réalité tragique</h2>
<p>Si <em>Black Mirror</em> semble se dérouler dans un futur proche, le <a href="https://digitalcommons.fiu.edu/classracecorporatepower/vol5/iss1/4/">show dépeint le présent et ses tendances préoccupantes</a>. Un des talents de <a href="https://www.imdb.com/name/nm0111765/?ref_=nv_sr_1?ref_=nv_sr_1">Charlie Brooker</a>, créateur de la série, est de surfer sur l’actualité technologique, et parfois de l’anticiper, pour l’intégrer dans des scénarios terrifiants. Si ces histoires fantastiques peuvent <a href="https://identity-mag.com/black-mirror-exaggeration/">paraître exagérées</a>, c’est un fait que la technologie en général, et le numérique en particulier, est <a href="https://www.taylorfrancis.com/books/9781315575667">utilisée dans dans un nombre croissant de crimes</a>, est <a href="https://journals.sagepub.com/doi/abs/10.1177/0165551508095781">responsable de multiples pathologies</a>, mais aussi <a href="https://kops.uni-konstanz.de/bitstream/handle/123456789/30972/Weidmann_0-289398.pdf?sequence=1">à l’origine de conflits géopolitiques</a>, de <a href="https://muse.jhu.edu/article/427159/summary">dérives autoritaires</a> et de régressions sociales. <a href="https://www.thedailybeast.com/black-mirror-is-tvs-magic-8-ball">Les prophéties de <em>Black Mirror</em> qui se sont réalisées</a> font l’objet de discussions passionnées.</p>
<p>Les comportements haineux et pervers observés sur les réseaux sociaux et mis en scène dans plusieurs épisodes de <em>Black Mirror</em> sont bien réels. Le 15 mai, une <a href="https://www.theguardian.com/world/2019/may/15/teenage-girl-kills-herself-after-instagram-poll-in-malaysia">adolescente malaisienne de 16 ans s’est suicidée après avoir demandé à ses followers sur Instagram si elle devait vivre ou mourir</a>. Résultat : 69 % ont répondu qu’elle devait mettre fin à ses jours. Facebook a aussi été mis en cause pour avoir <a href="http://time.com/5589478/facebook-tightens-live-stream-rules-in-response-to-the-christchurch-massacre/">diffusé en live 17 minutes des attentats de Christchurch</a> en Nouvelle-Zélande qui ont fait 51 morts le 15 mars. Ces images ont été visionnées, téléchargées et mises en ligne sur plusieurs autres médias numériques. <em>Black Mirror</em> illustre à plusieurs reprises le goût pour le morbide et le sordide des spectateurs anonymes online, comme dans le <a href="https://www.youtube.com/watch?v=JiFE84i1N_c">tout premier épisode</a>.</p>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/JiFE84i1N_c?wmode=transparent&start=0" frameborder="0" allowfullscreen=""></iframe>
<figcaption><span class="caption">Extraits du premier épisode de <em>Black Mirror</em>, « National Anthem ».</span></figcaption>
</figure>
<h2>Une série futuriste qui questionne le présent</h2>
<p>Le premier épisode de la saison 3, <a href="https://www.youtube.com/watch?v=epI5r0_T_lE">« Nosedive »</a>, décrit une société extrêmement oppressante où tout le monde note en permanence les paroles, les actions et les pubilcations des autres sur une échelle de cinq étoiles. Chaque individu est équipé d’implants oculaires qui lui permettent de voir les notes de ceux qui l’entourent. Cette <a href="https://www.youtube.com/watch?v=R32qWdOWrTo">satire d’une société où chacun essaie de donner une certaine image de soi-même</a> critique les comportements de façade et expose le personnage que l’on est amené à jouer pour faire bonne impression et être approuvé par cette société. L’épisode illustre parfaitement les conséquences de la <a href="https://theconversation.com/le-credit-social-ou-le-big-brother-a-la-sauce-chinoise-98200">mise en œuvre du crédit social chinois</a>, qui consiste à surveiller et à noter en temps réel l’ensemble de la population pour en améliorer le comportement et renforcer l’emprise du régime.</p>
<p>Dans l’<a href="https://www.youtube.com/watch?v=RUM_evdCl4I">épisode 2 de la saison 3, intitulé « Playtest »</a>, un gamer essaie un jeu vidéo expérimental qui le tue en quelques dixièmes de seconde. Le cobaye est muni d’un visiocasque de réalité virtuelle ainsi que d’un implant neural dans les locaux de la société SaitoGemu. <a href="https://ora.ox.ac.uk/objects/uuid:426d61fb-deab-411c-8778-ca7271e53ead">Cet implant va hacker son cerveau</a> et générer des images à partir de ses peurs et de ses données physiologiques. C’est une sérieuse <a href="https://www.theverge.com/2016/10/25/13401020/black-mirror-season-3-episode-2-playtest-recap">mise en garde contre l’idée de laisser le contrôle de ses sens à des développeurs</a>, et au sujet <a href="https://www.globalme.net/blog/black-mirror-virtual-reality-playtest">des technologies immersives et invasives qui sont le futur du jeu vidéo</a>. La première diffusion de « Playtest » sur Netflix le 21 octobre 2016 a suivi de quelques mois la sortie du <a href="https://www.oculus.com/">casque Oculus Rift de Facebook</a> le 28 mars 2016.</p>
<p>L’épisode 5 de la saison 4, « Metalhead », décrit un <a href="https://www.youtube.com/watch?v=xejjA2AFO5I">monde post-apocalyptique où des chiens robots tueurs particulièrement intelligents chassent les humains pour les exécuter</a>. C’est une référence directe aux <a href="https://www.bostondynamics.com/spot">chiens robots</a> de la société <a href="https://www.bostondynamics.com/">Boston Dynamics</a> que Google a <a href="http://nymag.com/intelligencer/2017/06/google-sells-boston-dynamics-to-softbank.html">vendue en 2017 au groupe japonais Softbank car elle avait une image trop anxiogène</a>. Si ces <em>dogbots</em> ont été présentés <a href="https://www.youtube.com/watch?v=wND9goxDVrY">sur des chantiers et dans des usages civils</a>, le projet était initialement mené en <a href="https://sputniknews.com/science/201811181069917338-autonomous-al-threat-of-killer-robots/">partenariat avec la DARPA</a> (<em>Defense Advanced Research Projects Agency</em>), une agence de R&D militaire américaine.</p>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/9EcY6VDgz1M?wmode=transparent&start=0" frameborder="0" allowfullscreen=""></iframe>
<figcaption><span class="caption">La fiction : Effets spéciaux de l’épisode « Metalhead » de <em>Black Mirror</em>.</span></figcaption>
</figure>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/wND9goxDVrY?wmode=transparent&start=0" frameborder="0" allowfullscreen=""></iframe>
<figcaption><span class="caption">La réalité : Test du Spot Robot de Boston Dynamics sur un chantier de construction.</span></figcaption>
</figure>
<h2>Un succès imité mais jamais égalé</h2>
<p>La campagne de promotion de la saison 5 rappelle que cette série a changé la vision du monde des spectateurs et a reçu de multiples récompenses dont <a href="https://www.independent.co.uk/arts-entertainment/tv/news/emmys-2017-winners-black-mirror-san-junipero-charlie-brooker-outstanding-writing-tv-movie-a7952266.html">des Emmys</a> et des BAFTA Awards. Les critiques sont excellentes, avec un score global de <a href="https://www.imdb.com/title/tt2085059/ratings?ref_=tt_ov_rt">8,9/10 sur IMDb</a>, et des taux de satisfaction de <a href="https://www.rottentomatoes.com/tv/black_mirror">84 % à 97 % selon les saisons sur Rotten Tomatoes</a>.</p>
<p>D’autres shows du même genre ont essayé de surfer sur ce succès, comme la mini-série <a href="https://www.youtube.com/watch?v=rvwS1bo0fu4"><em>Philip K. Dick’s Electric Dreams</em></a>, basée sur les nouvelles de l’auteur de science-fiction dont de <a href="https://www.senscritique.com/top/resultats/Les_meilleures_adaptations_de_Philip_K_Dick/1712116">nombreuses œuvres ont été adaptées à l’écran</a>. Considérée comme un <a href="http://www.premiere.fr/Series/Philip-K-Dick-s-Electric-Dreams-est-un-tres-bon-clone-de-Black-Mirror-critique">clone de <em>Black Mirror</em></a>, <em>Electric Dreams</em> a été diffusée pour la première fois sur Channel 4 en Grande Bretagne, comme son modèle. Puis c’est Amazon Video qui a acquis les droits pour les US. Portée par <a href="https://www.imdb.com/name/nm0186505/?ref_=nv_sr_1?ref_=nv_sr_1">Bryan Cranston</a> comme producteur exécutif, et un <a href="https://www.express.co.uk/showbiz/tv-radio/923855/Electric-Dreams-cast-Philip-K-Dick-Channel-4-Amazon-Bryan-Cranston-Richard-Madden">casting de stars</a> dans les rôles principaux, cette série a connu un certain succès, mais sans atteindre le statut culte de <em>Black Mirror</em>.</p>
<p>La série <a href="https://www.youtube.com/watch?v=9BqKiZhEFFw"><em>Westworld</em></a>, dont la <a href="https://www.youtube.com/watch?v=deSUQ7mZfWk">bande-annonce de la saison 3</a> prévue pour 2020 vient d’être diffusé par HBO, semble elle aussi fortement avoir été influencée par <em>Black Mirror</em>. Si les deux premières saisons étaient centrées sur la robotique et le transhumanisme, un nouveau personnage, incarné par <a href="https://www.imdb.com/name/nm0666739/?ref_=nv_sr_1?ref_=nv_sr_1">Aaron Paul</a> – acteur révélé grâce au rôle de Jesse Pinkman dans <a href="https://www.youtube.com/watch?v=HhesaQXLuRY"><em>Breaking Bad</em></a> et dont <a href="https://www.youtube.com/watch?v=RffKB_xJojo">on entend la voix dans un épisode de <em>Black Mirror</em></a> – dénonce le mensonge du monde meilleur promis pour justifier le développement technologique et la commercialisation de dispositifs d’asservissement.</p>
<p>Si <em>Black Mirror</em> a souvent été comparée à la série <a href="https://www.imdb.com/title/tt0052520/"><em>The Twilight Zone</em></a> des années 60, elle est aussi probablement à l’origine de son <a href="https://www.imdb.com/title/tt2583620/">reboot</a>, bien que le showrunner <a href="https://www.imdb.com/name/nm1443502/">Jordan Peele</a>, auteur, réalisateur et producteur des thrillers <a href="https://www.youtube.com/watch?v=sRfnevzM9kQ"><em>Get Out</em></a> et <a href="https://www.youtube.com/watch?v=hNCmb-4oXJA"><em>Us</em></a>, réfute cette similitude. Jordan Peele est aussi le co-auteur du « <em>Black Mirror</em> comique », la série <a href="https://www.youtube.com/watch?v=raJJbbiKtlY"><em>Weird City</em></a>, sortie le 13 février 2019 sur YouTube Premium. Si elle est centrée sur la technologie, elle présente ses dangers d’une manière hilarante grâce à des <a href="https://heavy.com/entertainment/2019/02/weird-city-episode-1-cast-special-guests/">guest-stars de choix</a>.</p>
<p>La chaîne AMC, à laquelle on doit la diffusion de séries culte comme <em>Mad Men</em>, <em>Breaking Bad</em> et <em>The Walking Dead</em>, <a href="https://variety.com/2019/tv/news/amc-orders-sc-fi-anthology-series-from-black-mirror-writer-1203217531/">a commandé à Will Bridges</a>, l’un des auteurs de <em>Black Mirror</em>, une série centrée sur une technologie qui permet de rencontrer l’âme sœur, et dont la sortie est prévue pour 2020. L’original étant souvent meilleur que ses copies, il faut espérer que Netflix produise encore de nombreuses saisons de <em>Black Mirror</em>.</p><img src="https://counter.theconversation.com/content/117466/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Oihab Allal-Chérif ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>Si « Black Mirror » est l’une des séries les plus fascinantes et les plus inquiétantes des dix dernières années, c’est en raison de son personnage principal : la technologie.Oihab Allal-Chérif, Full Professor, Information Systems, Purchasing and Supply Chain Management, Neoma Business SchoolLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1151702019-04-09T20:22:27Z2019-04-09T20:22:27ZTrois facteurs clés de succès pour favoriser l’adoption des objets connectés<figure><img src="https://images.theconversation.com/files/268351/original/file-20190409-2931-y11jb7.jpg?ixlib=rb-1.1.0&rect=0%2C4%2C1000%2C661&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Le développement de l'IoT dépendra de la capacité des fabricants à lever certaines appréhensions chez le consommateurs. </span> <span class="attribution"><span class="source">Aslysun / Shutterstock</span></span></figcaption></figure><p><em>Cette contribution est tirée d’un <a href="https://management-datascience.org/2018/09/09/comment-accelerer-ladoption-des-objets-connectes/#gartner">article</a> publié initialement dans la revue <a href="https://management-datascience.org">« Management and Data Science »</a>.</em></p>
<hr>
<p>Avec un nombre d’objets connectés estimé entre <a href="https://www.gartner.com/en/newsroom/press-releases/2017-02-07-gartner-says-8-billion-connected-things-will-be-in-use-in-2017-up-31-percent-from-2016">quatre à six par personne</a> dans les cinq ans, l’Internet des objets (<em>Internet of things</em>, IoT) fait rêver les entreprises. Mais comment inciter les usagers à adopter ces objets ? La question se pose d’autant plus que leur adoption pourrait être freinée par les peurs qu’ils suscitent, comme l’exploitation abusive des données ou le développement d’une intelligence artificielle dépourvue d’éthique et sur lequel l’humain n’aurait pas de contrôle. </p>
<p>Les <a href="https://medium.com/essentiels/un-avertissement-de-bill-gates-elon-musk-et-stephen-hawking-dda70d73440">propos d’Elon Musk</a>, le patron de Tesla (entre autres) sur la destruction de l’emploi par l’intelligence artificielle, le futur destructeur décrit dans des séries comme <em>RealHumans</em> ou la médiatisation des <a href="http://www.leparisien.fr/faits-divers/etats-unis-nouvel-accident-d-une-tesla-en-mode-semi-autonome-30-05-2018-7743180.php">accidents</a> mortels causés par des voitures autonomes suscitent une technophobie, comme le montre une étude menée par IFOP pour la société Hiscox (2015) selon laquelle <a href="https://blog.hiscox.fr/les-francais-sont-ils-autant-connectes-que-leurs-objets/">76 % des consommateurs</a> refuseraient de partager leurs données lorsqu’il s’agit d’objets connectés.</p>
<figure class="align-center zoomable">
<a href="https://images.theconversation.com/files/268344/original/file-20190409-2935-vo70kv.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=1000&fit=clip"><img alt="" src="https://images.theconversation.com/files/268344/original/file-20190409-2935-vo70kv.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/268344/original/file-20190409-2935-vo70kv.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=768&fit=crop&dpr=1 600w, https://images.theconversation.com/files/268344/original/file-20190409-2935-vo70kv.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=768&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/268344/original/file-20190409-2935-vo70kv.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=768&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/268344/original/file-20190409-2935-vo70kv.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=965&fit=crop&dpr=1 754w, https://images.theconversation.com/files/268344/original/file-20190409-2935-vo70kv.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=965&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/268344/original/file-20190409-2935-vo70kv.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=965&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px"></a>
<figcaption>
<span class="caption">« Les Français sont-ils autant connectés que leurs objets ? », étude Hiscox en collaboration avec l’institut IFOP.</span>
<span class="attribution"><a class="source" href="https://blog.hiscox.fr/les-francais-sont-ils-autant-connectes-que-leurs-objets/">Infographie Hiscox.</a></span>
</figcaption>
</figure>
<p>Ce contexte paradoxal d’un objet connecté qui attire autant qu’il repousse s’explique par la puissance de la connectivité de l’objet : collecte massive de données, algorithmes qui produisent de la connaissance au service du client, décisions et actions exécutées par l’objet à l’issue du traitement des données, interface conversationnelle entre l’objet et l’utilisateur et avec d’autres objets et enfin « connexion » avec la société. L’objet connecté promet au client des services de grande qualité mais il inquiète par sa dimension intangible, invisible et bien souvent inconnue de l’utilisateur, ou alors perçue comme intrusive dans la vie de l’usager. De ce fait, on ne peut pas dissocier la décision d’adopter un objet connecté du questionnement sur le niveau de dévoilement de soi que le client est prêt à concéder et donc de la relation de confiance entre l’entreprise, le client et l’objet connecté.</p>
<p>Comment les entreprises peuvent-elles créer une relation de confiance avec leurs clients lorsqu’il s’agit d’IoT ? La confiance provient avant tout d’une relation avec l’entreprise que l’usager doit considérer comme équitable et juste. Pour identifier des pistes à explorer par les entreprises pour susciter la confiance en l’objet connecté et donc son adoption, nous nous sommes appuyées sur la théorie de la justice (<a href="https://link.springer.com/article/10.1007/s10551-006-9007-7">Ashworth & Free, 2006</a>) selon laquelle le sentiment de justice ou d’équité repose sur trois types de justice : la justice distributive, la justice procédurale et la justice interactionnelle (<a href="https://pdfs.semanticscholar.org/b1ad/2a08dc6b9c598f2ac101b22c2de8cd23e47f.pdf">Colquitt et coll., 2001</a> ; <a href="https://www.scirp.org/(S(i43dyn45teexjx455qlt3d2q)/reference/ReferencesPapers.aspx?ReferenceID=1656025) ;%20%5BGreenberg,%201993%5D(https://onlinelibrary.wiley.com/doi/abs/10.1111/j.1460-2466.1993.tb01252.x)">Bies and Moag, 1986</a>.</p>
<h2>1. Un partage de valeur équitable</h2>
<p>L’entreprise commercialisant des objets connectés doit s’assurer que le client reçoit des bénéfices à dévoiler ses données (justice distributive). Les bénéfices peuvent être utilitaires (par exemple, la promesse – <a href="https://theconversation.com/linky-les-compteurs-intelligents-aident-ils-vraiment-a-reduire-la-consommation-delectricite-100198">critiquée</a> – de réduire sa facture grâce aux données captées par le compteur communiquant Linky), hédonistes (partager ses données de performance sportive avec sa communauté grâce à une <a href="https://www.latribune.fr/opinions/tribunes/montres-connectees-l-heure-de-la-revolution-n-a-pas-encore-sonne-813071.html">montre connectée</a>) ou éthiques (faire <a href="http://www.patientlikeme.com">progresser la recherche</a> en partageant ses données de santé).</p>
<figure class="align-center ">
<img alt="" src="https://images.theconversation.com/files/268352/original/file-20190409-2912-1eexg6v.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/268352/original/file-20190409-2912-1eexg6v.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=353&fit=crop&dpr=1 600w, https://images.theconversation.com/files/268352/original/file-20190409-2912-1eexg6v.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=353&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/268352/original/file-20190409-2912-1eexg6v.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=353&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/268352/original/file-20190409-2912-1eexg6v.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=443&fit=crop&dpr=1 754w, https://images.theconversation.com/files/268352/original/file-20190409-2912-1eexg6v.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=443&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/268352/original/file-20190409-2912-1eexg6v.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=443&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">Selon les estimations, une personne possèdera entre quatre et six objets connectés d’ici cinq ans.</span>
<span class="attribution"><span class="source">One photo/Shutterstock</span></span>
</figcaption>
</figure>
<p>Ils doivent être supérieurs aux coûts liés au dévoilement de soi, à savoir le risque perçu de piratage de données sensibles, l’exploitation abusive des données personnelles (l’annonce d’une vente potentielle des données collectées par leurs <a href="https://www.lesnumeriques.com/aspirateur-robot/doit-on-craindre-qu-irobot-revende-cartographies-roomba-n65181.html">aspirateurs iRobot</a> aux GAFA en 2017 avait par exemple jeté un trouble) ou le risque opérationnel (comme les erreurs de pilotage des voitures autonomes). C’est donc dès la conception de l’objet que doivent être intégrées des réflexions sur le « privacy by design », à savoir les bénéfices pour le client à dévoiler ses données et l’assurance d’une sécurité informatique.</p>
<h2>2. Vitesse et simplicité des procédures</h2>
<p>La justice procédurale implique que les entreprises s’assurent que les programmes d’IoT permettent au client de contrôler la connectivité de l’objet (par exemple, des interfaces permettant au client de suspendre la collecte de données, d’effacer ses dernières ou de les enrichir), le rassurer sur la fiabilité de l’architecture technique (via notamment des labels et des certifications garantissant la sécurisation des données personnelles et l’éthique des algorithmes embarqués dans l’objet) et lui permettre de donner son avis.</p>
<h2>3. Des relations respectueuses et empathiques</h2>
<p>L’entreprise doit s’assurer (justice interactionnelle) que ses relations avec les clients sont dominées par la transparence (en expliquant par exemple au client comment les algorithmes sont utilisés, avertir le client quand il parle avec un chatbot) et la pédagogie (en s’assurant que les décisions algorithmiques sont bien comprises).</p>
<figure class="align-center ">
<img alt="" src="https://images.theconversation.com/files/268350/original/file-20190409-2935-1gmpb50.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/268350/original/file-20190409-2935-1gmpb50.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=400&fit=crop&dpr=1 600w, https://images.theconversation.com/files/268350/original/file-20190409-2935-1gmpb50.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=400&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/268350/original/file-20190409-2935-1gmpb50.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=400&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/268350/original/file-20190409-2935-1gmpb50.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=503&fit=crop&dpr=1 754w, https://images.theconversation.com/files/268350/original/file-20190409-2935-1gmpb50.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=503&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/268350/original/file-20190409-2935-1gmpb50.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=503&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">Et vous, comment baptiseriez-vous cet aspirateur ?</span>
<span class="attribution"><span class="source">Garmoncheg/Shutterstock</span></span>
</figcaption>
</figure>
<p>L’empathie est également un levier que l’intelligence artificielle permet de développer. Ainsi, l’<em>affective computing</em> (<a href="https://www.usinenouvelle.com/blogs/laurence-devillers/les-representations-des-femmes-en-robotique-et-en-ia.N750239">Devillers, 2017</a>) ouvre la voie vers un nouveau type d’attachement, affectif, avec l’objet. Et cela ne concerne pas que les robots humanoïdes puisque des objets peu sophistiqués tels que des robots aspirateurs sont parfois dotés d’un prénom par leurs propriétaires (<a href="https://www.ierhr.org/wp-content/uploads/2018/03/Tisseron_DNA.pdf">Tisseron, 2015</a>). Ces nouvelles possibilités d’interaction avec l’objet doivent se développer dans une perspective éthique. Enfin, il est important d’humaniser la relation entre le client et l’objet connecté, au travers de dispositifs phygitaux par exemple comme l’offre <a href="https://www.laposte.fr/particulier/veiller-sur-mes-parents">« Veiller sur mes parents »</a> proposée par le groupe La Poste qui allie objets connectés et visites du facteur.</p>
<p>Ces facteurs clés de succès nous éclairent sur la manière dont les entreprises peuvent favoriser l’adoption de l’IoT. Néanmoins, il ne s’agit pas d’une recette magique : ce mix devra être adapté au profil du client, la sensibilité au partage des données pouvant varier d’un individu à l’autre.</p><img src="https://counter.theconversation.com/content/115170/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Sandrine Macé is Scientific Director of the IoT Chair, sponsored by Schneider Electric, Société Générale Insurance and Valeo.</span></em></p><p class="fine-print"><em><span>Violette Bouveret ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>Un partage équitable de la valeur, des procédures plus simples ou encore une transparence renforcée peut contribuer à lever certains freins dans les usages.Sandrine Macé, Professeur au département marketing de l'ESCP Europe - Directrice scientifique de la Chaire IoT (Internet of Things), ESCP Business SchoolViolette Bouveret, Chercheuse associée à la Chaire IoT, ESCP Business SchoolLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1112742019-03-05T19:58:57Z2019-03-05T19:58:57ZLa présidentielle en Ukraine, une élection sous haute tension<p>L’élection présidentielle se tiendra bien le 31 mars en Ukraine, comme l’a décidé la Rada (le Parlement) <a href="http://www.defnat.com/bibliotheque/resultats.php?cenvoi=1&cauteur=%27Christine%20Dugoin-Clement%27">après les derniers événements survenus en mer d’Azov</a>.</p>
<p>Si cette nouvelle rassure ceux qui craignaient que ce vote ne soit repoussé <em>sine die</em> suite à ces graves incidents avec la Russie, les enjeux – et donc les interrogations – liés à cette élection restent multiples. La nature même de la Constitution ukrainienne ne permet pas d’assurer une stabilité gouvernementale avec la seule élection du chef de l’État. Ce scrutin sera aussi une occasion pour nombre d’oligarques de pousser leurs poulains et leurs intérêts en se livrant une bataille parfois peu visible pour les observateurs extérieurs.</p>
<p>Par ailleurs, la guerre est encore et toujours active en Ukraine, que cela soit sous sa forme cinétique dans l’Est ou sous la forme dématérialisée d’attaques cyber et informationnelles.</p>
<h2>Le futur président face à l’équation d’une Assemblée morcelée</h2>
<p>Le président qui ressortira vainqueur des urnes, le 31 mars, n’aura pas les mains libres une fois investi. En effet, la Rada maîtrise le choix du premier ministre et donc la structure du gouvernement. Disposer d’une majorité parlementaire est primordial pour un président, sans quoi il pourrait se trouver en situation délicate, par exemple en devant cohabiter avec un premier ministre et un gouvernement hostiles. Cela pourrait rendre impossible l’exercice du pouvoir, tout en favorisant a contrario des influences exogènes, notamment russes, par l’intermédiaire de députés sous influence.</p>
<p>Actuellement, le Président Porochenko ne jouit pas de cette majorité (fixée à 226 sièges). Pour faire voter ses décisions, il doit s’appuyer sur d’autres groupes, notamment sur le Front populaire dirigé par l’ancien premier ministre Arsenii Iatseniouk. Sans cet appui, la mandature du président aurait été encore plus compliquée qu’elle ne l’a été.</p>
<p>Même si Iatseniouk a renoncé à être candidat à la prochaine présidentielle, Porochenko n’est pas assuré d’obtenir son soutien après le scrutin du 31 mars. Il en va de même avec les députés « non affiliés » et avec ceux qui, bien que rattachés à un groupe, ne font pas montre de la discipline de vote dont peut s’enorgueillir le Front populaire.</p>
<h2>Le poids exorbitant des petits partis</h2>
<p>Pour ne pas s’engager dans une impasse, les candidats à la présidentielle doivent dès la campagne penser à s’assurer une majorité à la Rada – soit en disposant d’un vivier important de députés de leur parti pour détenir une majorité absolue en propre, soit en échafaudant des alliances avec d’autres partis.</p>
<p>La seconde option oblige à des tractations avec parfois une myriade de petits partis bénéficiant d’une assise régionale. Or, certains de ces mouvements bénéficient du soutien financier d’oligarques qui peuvent avoir leurs propres intérêts à défendre. On peut évoquer, par exemple, le parti Ukrop lancé par Ihor Kolomoykiy. Si ce parti n’a pas obtenu la réussite escomptée, son fondateur travaille toujours à la défense de ses acquis, et nourrit une animosité palpable avec l’actuel Président <a href="https://fr.euronews.com/2016/12/19/nationalisation-de-privatbank-premiere-banque-d-ukraine">depuis la nationalisation de la banque qu’il dirigeait PrivatBank</a>.</p>
<p>D’autres partis pourraient aussi marchander leur voix vis-à-vis des candidats susceptibles d’atteindre le second tour, gagnant du même coup une visibilité régionale en vue des élections parlementaires prévues pour l’automne 2019.</p>
<p>Enfin, d’autres députés pourraient obéir à des stratégies pro-russes visant à saper la mise en place d’une politique ukrainienne stable et autonome.</p>
<h2>Un président sortant affaibli</h2>
<p>L’élection présidentielle du 31 mars en Ukraine est marquée par un nombre record de candidats. On y retrouve des « poids lourds » de la politique locale, parmi lesquels le Président Porochenko. Cependant, ce dernier est peu populaire et présente un bilan de mandat très mitigé, notamment pour ceux qui se souviennent de ses promesses de 2014 qui incluaient la fin de la guerre sous six mois et le retour de la Crimée dans le giron de l’Ukraine.</p>
<p>En outre, nombre d’affaires de corruption et le soupçon d’utilisation de l’appareil d’État pour éloigner ses détracteurs entachent sa réputation. Tout récemment, le limogeage du journaliste Zurab Alasania de la Société nationale de diffusion publique (Suspline Telebachennya) agite le monde de l’audiovisuel et celui des défenseurs de la liberté d’expression qui y voit la <a href="https://www.kyivpost.com/ukraine-politics/public-broadcaster-ceo-says-he-was-fired-over-poroshenko-coverage.html">main du Président</a>. Enfin, si Porochenko bénéficie du soutien de l’oligarque Akhmetov, d’autres – tel Kolomoyskiy – lui vouent une acrimonie tenace.</p>
<p>Ce même Kholomoyskyi apporte d’ailleurs son soutien à la célèbre candidate Ioulia Timoshenko, et il n’est pas impossible que le ministre de l’Intérieur Avakov et l’ancien premier ministre Iatseniouk décident également de rallier sa candidature – ce qui dans l’optique de la nécessaire majorité à la Rada est loin d’être neutre.</p>
<p>Timoshenko est, par ailleurs, la seule à disposer d’un parti politique bénéficiant d’un enracinement régional fort grâce au maillage territorial de son mouvement construit depuis quelque 20 ans. Cet enracinement lui assure un bassin de voix relativement stable, bien qu’insuffisant pour accéder directement à la présidence.</p>
<h2>Zelenskiy, le « serviteur du peuple »… et les autres</h2>
<p>Figure neuve dans le paysage politique et crédité de fortes intentions de vote, Volodymyr Zelenskiy talonne ces deux figures emblématiques. Ce showman qui a fait carrière dans le show-business, notamment au travers de sa série <em>Serviteur du peuple</em>, n’a aucune expérience politique.</p>
<p>Mais, justement, parce qu’il n’évolue pas dans les cercles du pouvoir depuis plusieurs années, Zelenskiy incarne un espoir de nouveauté. Il bénéficie de la sympathie dont jouit le personnage qu’il incarne à l’écran, un professeur qui… remporte l’élection présidentielle suite à la publication d’une vidéo virale l’érigeant en chevalier de la lutte contre la corruption.</p>
<p>D’autres candidats connus sont sur les rangs, même si leurs chances de succès sont limitées. Le bloc d’opposition, composé des reliquats du parti des régions (PRU) dont était issu le Président Ianoukovitch (renversé en 2014) présente un candidat en la personne de Yuriy Boiko, le candidat pro-russe officiel. Sa nomination a été le fruit de tractations ardues entre plusieurs oligarques locaux.</p>
<h2>Les inquiétudes de l’Union européenne</h2>
<p>Les pronostics concernant l’issue de la prochaine présidentielle sont très aléatoires, cela même si les trois noms évoqués ci-dessus semblent se détacher. Cette difficulté de lecture ne tranquillise guère les Occidentaux qui y voient certes le signe d’un processus démocratique actif, mais aussi celui d’une perte de confiance significative de la population dans le système politique local.</p>
<p>Le manque de résultats du Président Porochenko dans la lutte anti-corruption aura hérissé nombre des partenaires européens. A contrario, les faibles chances de succès du candidat pro-russe, Yuriy Boiko, rassurent, même si le risque d’entrisme de « chevaux de Troie » du Kremlin à la Rada reste élevé du fait de la démultiplication de micro-partis.</p>
<p>Erigée en héroïne au lendemain de sa libération alors qu’elle prenait la parole sur la place Maïdan de Kiev, les prises de position populistes de la candidate Timoshenko ont eu des effets délétères sur ses soutiens occidentaux, auparavant enthousiastes. L’UE est en attente d’un pouvoir stable en Ukraine, à même de pouvoir poursuivre le redressement de l’économie, de réaliser un travail de fond contre la corruption afin de respecter les standards européens en la matière.</p>
<p>L’UE souhaite aussi limiter le risque d’escalade du conflit dans l’est de l’Ukraine. Aux prises avec leurs propres divisions internes, les Vingt-Huit escomptent surtout un retour au calme. Or, pour l’Ukraine, cette attente est perçue comme une volonté de tourner prématurément la page.</p>
<h2>Vu de Moscou, la tentation du désordre</h2>
<p>Côté russe, le scrutin présidentiel en Ukraine fait l’objet d’un traitement médiatique significatif. Les médias russes assènent que l’Ukraine souhaite un président pro-russe. La rhétorique du « contrôle américain » sur le processus électoral se double d’accusations sur l’existence d’un système électoral qui serait basé sur la fraude.</p>
<p>Ainsi le candidat Boiko est régulièrement présenté dans les médias russes comme une figure en adéquation avec les aspirations du peuple, s’élevant contre une campagne axée sur la russophobie et inspirée par la mouvance de l’extrême droite locale. Mais le Kremlin ne se fait guère d’illusions sur les chances de ce candidat de l’emporter. Reste alors Timoshenko, considérée aujourd’hui à Moscou comme compatible avec ses intérêts. Elle reste, néanmoins, moins prévisible que ne l’est le Président sortant.</p>
<p>Vu de Moscou, une désorganisation tant gouvernementale qu’organique grandissante chez son voisin ukrainien pourrait être d’une grande utilité : elle justifierait en effet le discours sur « l’immaturité » de l’Ukraine, et participerait à entretenir le désordre, donc à repousser une sortie de crise dans l’Est, laissant à Moscou la possibilité de « réchauffer » ce conflit.</p>
<p>Enfin, les troubles permettent plus facilement de positionner des candidats pro-russes, notamment lors des élections parlementaires, et de tenter d’affaiblir les processus gouvernementaux en Ukraine. La désorganisation chez son voisin participe d’une stratégie plus globale de création d’une zone tampon avec l’Occident.</p>
<h2>Kiev face au risque cyber</h2>
<p>En plus de la guerre physique, toujours présente dans l’Est, l’Ukraine fait face à de nombreuses attaques cyber, visant entre autres des systèmes aussi importants que <a href="https://www.zdnet.fr/actualites/comment-a-ete-attaque-le-reseau-electrique-ukrainien-et-les-implications-sur-la-securite-de-l-Internet-des-objets-39833726.htm">des réseaux électriques</a>. Déjà en 2014, le fonctionnement de la Commission électorale centrale (CEC) avait été perturbé par des attaques <a href="https://www.francetvinfo.fr/Internet/securite-sur-Internet/cyberattaques/cyberattaques-trois-piratages-qui-montrent-que-l-ukraine-est-un-terrain-d-entrainement-des-hackers-prorusses_2260721.html">sans que celles-ci ne portent à conséquence sur le scrutin</a>.</p>
<p>Lors de l’élection de 2019, la crainte est que ce scénario ne se reproduise à une plus large échelle, venant perturber les outils nécessaires à l’élection mais aussi la perception des électeurs. D’ores et déjà, Kiev annonce, par la voix du le chef de la cyberpolice d’Ukraine, Serhiy Demedyuk, une <a href="https://www.reuters.com/article/us-ukraine-cyber-exclusive/exclusive-ukraine-says-it-sees-surge-in-cyber-attacks-targeting-election-idUSKCN1PJ1KX">recrudescence des cyberattaques</a>.</p>
<p>La variété des attaques serait importante – de l’envoi de cartes de vœux infectées par des virus, d’invitations ou de bons d’achat, en passant par les offres de mises à jour de logiciels, sans oublier les traditionnels « phishing » destinés à voler mots de passe et informations personnelles.</p>
<p>Des hackers auraient également procédé à l’achat de données personnelles de personnes en charge de l’élection. Ces achats se sont déroulés dans le Dark Web – ce qui complique la traçabilité des acheteurs et des vendeurs. Kiev n’en pointe pas moins Moscou du doigt en se fondant sur l’origine de la « valise » utilisée pour procéder au paiement en cryptomonnaie. Cette dernière serait la même que celle précédemment utilisée dans diverses opérations de perturbation. La Russie, pour sa part, nie en bloc, arguant de la faiblesse des preuves présentées : que la valise soit la même ne prouve pas qu’elle soit reliée au Kremlin.</p>
<p>Enfin, si les attaques sur des systèmes critiques (les centrales électriques, l’aéroport, le système de contrôle de Tchernobyl), ou encore les banques sont possibles, tout comme des tentatives de pression sur des personnes d’intérêt notamment détenant des postes clefs au sein du gouvernement, le risque d’une offensive visant les systèmes d’information existe aussi. Le gouvernement de Kiev a certes banni certaines plates-formes telle que Vkontakte (équivalent de Facebook en langue russe) afin de limiter les risques d’influence, mais la multiplicité des vecteurs d’information dématérialisés maintient un niveau de risque élevé.</p>
<h2>Une tension palpable</h2>
<p>Une <em>task force</em> a été mise en place par le gouvernement ukrainien pour maîtriser cette menace en <a href="https://www.atlanticcouncil.org/publications/issue-briefs/ukrainian-election-task-force-exposing-interference-in-ukraine-s-election">partenariat avec les États-Unis</a>. Cette aide a été formalisée par une déclaration conjointe relative au partenariat stratégique américano-ukrainien et publiée sur le site Web du département d’État américain. Les États-Unis s’engagent à aider l’Ukraine à contrer la possible ingérence russe. Côté ukrainien, le Conseil national pour la sécurité et la défense (NSDC) a mis en place un groupe ad hoc en vue de l'élection présidentielle du 31 mars et des législatives prévues à l’automne.</p>
<p>À un mois du premier tour de la présidentielle, la tension est palpable – que ce soit entre des candidats, dont la multiplicité accroît le risque de violence dans les discours, ou quant au bon déroulement de ce scrutin, certains craignant des fraudes ou des perturbations dans les bureaux de vote. La formation du gouvernement qui sera appelé à diriger le pays risque d’être émaillée de tractations ardues entre les forces politiques en présence.</p>
<p>Enfin, alors que 70 % des Ukrainiens disent avoir l’<a href="https://www.ukrinform.net/rubric-society/2518321-over-70-of-ukrainians-ready-to-vote-in-presidential-election-in-2019-poll.html">intention de se rendre aux urnes pour voter</a>, le risque d’influence est loin d’être neutre, rendant l’issue de cette élection encore plus difficile à prévoir.</p><img src="https://counter.theconversation.com/content/111274/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Christine Dugoin-Clément ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>À quatre semaines du premier tour du scrutin présidentiel, la tension est palpable est en Ukraine, enjeu d’une bataille feutrée entre Washington et Moscou.Christine Dugoin-Clément, Analyste en géopolitique, chercheuse à Paris 1-la Sorbonne ( IAE) et à Saint Cyr Coëtquidan., IAE Paris – Sorbonne Business SchoolLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1112412019-02-10T23:24:09Z2019-02-10T23:24:09ZFuite de données chez Marriott : 500 millions de raisons d’être concerné<p>Le 30 novembre 2018, <a href="http://news.marriott.com/2018/11/marriott-announces-starwood-guest-reservation-database-security-incident/">Marriott International</a> a annoncé une énorme violation de données concernant <a href="https://answers.kroll.com/">500 millions de clients</a> : le deuxième plus grand acte de piraterie jamais enregistré (après celui de Yahoo, en 2013, avec 3 milliards de comptes piratés). Avec chaque jour une nouvelle violation de données, tout le monde se demande comment cela a été possible.</p>
<p>Voler des données sur Internet semble facile quand on considère le nombre et l’ampleur de tous ces vols. Il faut d’autant plus s’alarmer que les échecs des pirates ne sont pas toujours signalés, car, leurs <a href="http://www.lefigaro.fr/mon-figaro/2013/02/25/10001-20130225ARTFIG00497-l-equation-de-la-cybercriminalite.php">tentatives sont par nature cachées</a>. De plus, les criminels essayent de pénétrer continuellement dans les systèmes d’information, pour profiter de nombreuses cibles faciles et lucratives dans le cyberespace. Ils profitent ainsi de la <a href="https://arstechnica.com/information-technology/2015/09/new-stats-show-ashley-madison-passwords-are-just-as-weak-as-all-the-rest/">faible protection des individus</a>. Par exemple, de nombreuses personnes achètent des appareils connectés en <a href="http://time.com/5071176/worst-passwords-2017/">oubliant de changer le mot de passe par défaut</a> ; un peu comme s’ils laissaient les clés de leur maison sur la porte.</p>
<p>En outre, de <a href="https://www.ssi.gouv.fr/entreprise/principales-menaces/">nombreuses petites entreprises ne disposent toujours pas d’une cybersécurité solide</a>. Dans certains cas, les pirates peuvent quasiment faire ce qu’ils veulent. Un exemple dramatique fut celui d’une entreprise <a href="https://www.digitec.ch/fr/page/declaration-concernant-la-fuite-digitec-6265">piratée pendant 10 ans sans qu’elle s’en aperçoive</a>. La seule bonne nouvelle est la mauvaise qualité des informations contenues, dans les bases de données. Comme : « Monsieur Martin123 vit à Paris en Thaïlande, numéro de passeport : ABCD. Carte de crédit : expirée, il y a cinq ans ». Une base de données avec autant d’erreurs n’est pas utile pour les criminels qui se retrouvent avec beaucoup d’informations mais fausses.</p>
<h2>Une multiplication alarmante des cas</h2>
<p>Bien entendu, les grandes entreprises sont clairement la cible des pirates informatiques qualifiés. Ces dernières années, de nombreuses sociétés ou leurs filiales ont été victimes de piratage, notamment <a href="https://www.youtube.com/watch?reload=9&v=RrMsxXYjef0">Equifax</a>, <a href="https://www.dw.com/en/yahoo-says-all-3-billion-users-affected-by-2013-hack/a-40793569">Yahoo</a>, <a href="https://www.independent.co.uk/life-style/gadgets-and-tech/facebook-hack-check-if-data-stolen-breach-cyber-attack-account-a8582556.html">Facebook</a>, <a href="https://www.bbc.co.uk/news/technology-42075306">Uber</a>, <a href="https://www.cnet.com/news/ebay-hacked-requests-all-users-change-passwords/">eBay</a>, <a href="https://www.wsj.com/articles/home-depot-hackers-used-password-stolen-from-vendor-1415309282">Home Depot</a>, <a href="https://www.bloomberg.com/news/articles/2017-07-17/fedex-says-tnt-systems-may-never-fully-recover-from-cyberattack">FedEx</a>, <a href="https://www.theregister.co.uk/2014/12/23/jpmorgan_breach_probe_latest/">JP Morgan Chase</a>.</p>
<p>Dans le <a href="https://www.consumer.ftc.gov/blog/2018/12/marriott-data-breach">nouveau piratage de Marriott</a>, les pirates sont restés tranquillement quatre ans dans les systèmes informatiques pour siphonner ses bases de données et obtenir des informations sensibles sur 500 millions de clients. Pas de problème chez Marriott avec une nouvelle règle d’or : <a href="http://marriott-hotels.marriott.com/">« voyager brillamment »</a>, protéger curieusement, se faire hacker magnifiquement.</p>
<h2>Des feux verts pour les pirates</h2>
<p>En regardant différents cas, les pirates semblent attendre des feux verts avant d’agir. Ainsi, chaque fois qu’une entreprise lance un nouveau produit à grande échelle sur un marché très concurrentiel, elle peut oublier la cybersécurité et, par conséquent, ce moment peut être une opportunité pour les pirates. En outre, la structure des organisations peut donner un signe favorable aux pirates. Lorsque le directeur des systèmes d’information est subordonné au directeur financier, une stratégie de réduction des coûts peut impliquer de faibles budgets en matière de cybersécurité. Lorsqu’un nouveau DG s’enorgueillit auprès des investisseurs de mesures de réduction des dépenses, les programmes de cybersécurité peuvent en souffrir et les pirates informatiques peuvent être les « bienvenus ».</p>
<p>L’affaire Marriott montre un <a href="https://www.cnbc.com/2018/11/30/marriott-hack-raises-questions-about-merger-diligence-tools-in-use.html">autre exemple de drapeau vert</a> : une nouvelle fusion ou une acquisition. Dans une telle situation, les cadres de l’entreprise sont occupés à se battre pour conserver leurs postes et à influencer la nouvelle entité, mais en même temps, la difficile intégration de différents systèmes d’information pose des problèmes de sécurité. Les pirates peuvent alors profiter de cette occasion pour s’introduire dans les systèmes.</p>
<p><a href="https://www.lesechos.fr/idees-debats/cercle/cercle-177893-lavalanche-des-cyber-risques-2143440.php">Face à tant de problèmes de cybersécurité</a>, on peut se demander ce que font les gouvernements. La défense par un État est très ardue, car le piratage informatique est le plus souvent transnational et difficile à repérer. Par exemple, la violation de Marriott vient d’être attribuée à <a href="https://www.nytimes.com/2018/12/11/us/politics/trump-china-trade.html">des hackers liés au ministère chinois de la Sécurité d’État</a>. Les pirates travaillant pour l’étranger et protégés par leurs gouvernements sont évidemment <a href="https://www.justice.gov/opa/page/file/1098481/download">difficiles à attraper</a>. Curieusement, les gouvernements peuvent aussi aider involontairement les pirates. Par exemple, lorsque la CERT (<a href="https://www.us-cert.gov/">Computer Emergency Readiness Team</a>) aux États-Unis a informé le monde entier d’un défaut sur <a href="https://www.gao.gov/products/GAO-18-559">Apache Struts</a>, des pirates informatiques ont commencé à surfer sur Internet pour rechercher des victimes potentielles. Au même moment, le personnel d’Equifax n’a pas appliqué les correctifs nécessaires. C’est seulement après 76 jours et 9 000 requêtes (bien sûr, inaperçues) que le personnel d’Equifax al commencé à s’inquiéter d’une violation de données <a href="https://www.lesechos.fr/idees-debats/cercle/cercle-176646-equifax-un-piratage-qui-donne-des-sueurs-froides-2134558.php">touchant plus de 150 millions de ses clients</a>.</p>
<h2>Pas de sécurité à 100 % sur Internet</h2>
<p>Avec tant de succès des actes de piraterie, la question est : devons-nous nous inquiéter ? Comme l’indique le <a href="https://www.marriott.co.uk/about/privacy.mi">site Web Marriott</a> :</p>
<blockquote>
<p>« Nous cherchons à utiliser des mesures organisationnelles, techniques et administratives raisonnables pour protéger les données personnelles. Malheureusement, aucun système de transmission ou de stockage de données ne peut être sécurisé à 100 % ».</p>
</blockquote>
<p>Comme le déclarent les cybers-experts de Marriott, <a href="http://www.govtech.com/security/FBI-Agent-Says-No-Computer-is-Safe.pdf">aucune sécurité n’est possible à 100 %</a>. Nous devrions donc être tous inquiets, car il n’existe aucun lieu sûr dans le cyberespace. Quelles que soient les couches techniques de sécurité, il y a toujours une erreur humaine à commettre que les pirates attendent patiemment.</p><img src="https://counter.theconversation.com/content/111241/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Bertrand Venard professeur à Audencia Business School (Nantes) et à l'Université d'Oxford (Grande-Bretagne) mène un important projet de recherche sur les comportements humains en matière de cybersécurité, financé par l'Union européenne (numéro de projet : 792137).</span></em></p>En novembre 2018, Marriott a admis une atteinte à la protection des données concernant 500 millions de ses clients. Comment cela peut arriver ?Bertrand Venard, Professor, AudenciaLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1096252019-01-21T19:56:55Z2019-01-21T19:56:55ZPour capter les vibrations du monde, l’art et la technologie à la rescousse<figure><img src="https://images.theconversation.com/files/254755/original/file-20190121-100292-1m698nb.jpg?ixlib=rb-1.1.0&rect=28%2C10%2C1140%2C532&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Image de l’exposition On Air au Palais de Tokyo (Paris)</span> <span class="attribution"><span class="source">Palais de Tokyo</span></span></figcaption></figure><p>L’exposition <a href="https://www.palaisdetokyo.com/fr/evenement/air">« On Air »</a> de Tomas Saraceno au Palais de Tokyo s’est terminée le 6 janvier 2019. Comme des milliers de visiteurs, j’ai vu, fasciné, pendant des heures, ces immenses toiles d’araignées vibrant dans la pénombre. Tomas Saraceno soulignait, il y a environ un an, dans un échange avec <a href="https://z33research.be/2017/11/nadine-botha-generally-relative-the-expanding-and-contracting-perspective-of-tomas-saraceno/">Nadine Botha</a> :</p>
<blockquote>
<p>« Je pense qu’il existe une myriade d’autres possibilités de perception incarnées. Nous devons reconsidérer plus avant notre incapacité non seulement à communiquer entre nous, mais aussi à comprendre la majorité des espèces qui vivent sur cette planète et qui ne sont pas nécessairement humaines. »</p>
</blockquote>
<h2>Merveilleuses araignées</h2>
<p>À première vue, pas de chance, ce programme est bien mal parti. L’époque ne semble pas à l’exploration de nouvelles perceptions du réel par la reconnexion avec la diversité du vivant qui d’ailleurs s’effondre. A priori les araignées, chères amies de l’artiste, n’ont donc pas fini de succomber sous les coups de balai et de passer dans les aspirateurs sans une once de considération pour les merveilles vivantes qu’elles sont. Être aujourd’hui le sujet de recherches scientifiques très actives, par exemple quant aux propriétés étonnantes de leur fil et aux conditions extrêmes de sa production, ne semble pas vraiment suffisant pour nous les rendre plus proches.</p>
<h2>« La crise de la sensibilité » et la technologie</h2>
<p>Au contraire de la vision de Tomas Saraceno, nous avons choisi de développer massivement, à partir d’un substrat qui n’est pas incarné, une nouvelle perception humaine. Celle-ci est fondée sur la technologie ambiante et ses milliards de microcapteurs. Elle n’a pas été créée comme un outil de rencontre du vivant dans l’exploration du réel. C’est même le contraire. À travers des « displays » comme les écrans, les écouteurs ou les buzzers, la multitude de données issues de ces microcapteurs vient nourrir notre perception en temps réel, et d’abord la perception de nous-mêmes.</p>
<p>Nous comptons nos pas et nous nous géolocalisons. Il n’y a ici aucune référence à la « myriade de perceptions incarnées » qui subit de plein fouet l’émergence de cette nouvelle perception du réel ancrée dans la technologie. Avec ces capteurs qui mesurent massivement notre corps et ses mouvements, nous nous éloignons ainsi toujours plus du monde biologique qui est pourtant celui dont nous émergeons, sans lequel notre vie est impossible.</p>
<hr>
<p>
<em>
<strong>
À lire aussi :
<a href="https://theconversation.com/parole-dentomologiste-laissez-la-vie-sauve-aux-araignees-de-la-maison-97003">Parole d’entomologiste : laissez la vie sauve aux araignées de la maison !</a>
</strong>
</em>
</p>
<hr>
<p>Sans surprise, on voit paraître des articles sur « la crise de la sensibilité » ainsi nommée notamment par l’historienne d’art <a href="https://youtu.be/rGFmVF7XbTM">Estelle Zhong Mengual</a>. Les chercheurs Jacques Tassin, Anne Atlan, Rémi Beau, François Léger, et Anne-Caroline Prévot écrivaient en décembre 2018 dans <a href="https://www.liberation.fr/debats/2018/12/01/pour-une-ecologie-plus-sensible_1694829"><em>Libération</em></a> :</p>
<blockquote>
<p>« C’est aussi par la sensibilité que l’humain se reconnecte aux autres êtres vivants, qu’il retrouve en eux une convivialité réconfortante. Exercée, elle représente l’une des formes de connaissance les plus en prise avec le monde, avec lequel elle entretient un rapport d’inhérence. Quoi que nous en disions, nos sens font sens. »</p>
</blockquote>
<p>Par la technologie, nous reconstruisons artificiellement notre perception, notre relation instantanée au monde et notre (in)capacité à communiquer entre nous. Sale temps pour les araignées donc ! Elles ne font pas partie du programme. Mais, en retour, le pronostic n’est pas bien meilleur pour nous.</p>
<figure class="align-center ">
<img alt="" src="https://images.theconversation.com/files/253273/original/file-20190110-43525-15m6fsv.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/253273/original/file-20190110-43525-15m6fsv.png?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=279&fit=crop&dpr=1 600w, https://images.theconversation.com/files/253273/original/file-20190110-43525-15m6fsv.png?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=279&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/253273/original/file-20190110-43525-15m6fsv.png?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=279&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/253273/original/file-20190110-43525-15m6fsv.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=351&fit=crop&dpr=1 754w, https://images.theconversation.com/files/253273/original/file-20190110-43525-15m6fsv.png?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=351&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/253273/original/file-20190110-43525-15m6fsv.png?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=351&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">Image de l’exposition « On air » au Palais de Tokyo (Paris).</span>
<span class="attribution"><span class="source">Palais de Tokyo</span></span>
</figcaption>
</figure>
<h2>L’exposition des ondes gravitationnelles</h2>
<p>Durant l’exposition, des flots de données arrivaient au Palais de Tokyo, en provenance de capteurs au cœur d’expériences scientifiques ou d’observatoires partout dans le monde, dans l’air, sous la mer, sur le sol, sous le sol… Au premier rang, <a href="http://public.virgo-gw.eu/virgo-en-bref/">VIRGO</a>, le détecteur européen d’ondes gravitationnelles installé en Italie près de Florence.</p>
<p>Par la mesure de sa propre déformation, il cherche à détecter comment la collision de deux trous noirs « fait vibrer » l’espace-temps. Sa sensibilité à cette déformation de la matière même du détecteur est inimaginable y compris pour les physiciens tant elle est déconnectée de notre perception et de nos repères. Étudier la sensibilité de cet instrument pour l’améliorer est un sujet de recherche en soi qui est probablement aussi passionnant que le résultat de l’<a href="http://public.virgo-gw.eu/wp-content/uploads/2015/06/POSTER-VERSION-FRANCAISE-FOND-NOIR_gravitation_et_ondes_gravitationnelles.pdf">expérience</a> qui a été couronnée par le Prix Nobel en 2017. Les <a href="http://savoirs.ens.fr/expose.php?id=151">présentations</a> de Alain Brillet, Médaille d’or du CNRS en 2017 pour sa contribution déterminante à la construction de cet appareil, sont un vrai régal. Expérience personnelle en Master à Grenoble il y a quelques années, elles sont aussi une base de cours fantastique sur l’instrumentation.</p>
<h2>Les araignées peuvent-elles percevoir les ondes gravitationnelles ? Non, mais ce n’est pas la question !</h2>
<p>Le Palais de Tokyo se transformait alors en centre névralgique qui nous mettait, potentiellement au moins, en relation avec des événements mesurés avec une sensibilité inouïe. Cet imperceptible omniprésent est pourtant tellement loin de notre perception, et même de notre temps et de l’espace que nous pouvons appréhender par la plus belle des nuits d’été.</p>
<hr>
<p>
<em>
<strong>
À lire aussi :
<a href="https://theconversation.com/les-ondes-gravitationnelles-une-histoire-cosmos-polite-89343">Les ondes gravitationnelles : une histoire Cosmos-polite</a>
</strong>
</em>
</p>
<hr>
<p>La science et la technologie sont ainsi revues et intégrées par l’artiste dans un grand récit qui ne se satisfait pas des catégories et des disciplines classiques.</p>
<p>Le splendide isolement de leurs spécialistes bloque l’élan vers ce « hacking » de la connaissance que l’artiste appelle lorsqu’il évoque la « myriade d’autres possibilités de perception incarnées ». Lors des rencontres au Palais de Tokyo le 23 novembre 2018, j’ai cru entendre Tomas Saraceno demander à deux physiciens si les araignées dans leur toile pouvaient ressentir les ondes gravitationnelles. Il y avait dans cette question une certaine provocation et une petite dose d’ironie. Pauvres araignées, leur capacité de détection des vibrations de leur toile est incroyable mais… soyons clair : scientifiquement, la question n’a aucun sens. De plus, à trop bien ressentir, on risque de se noyer dans le bruit.</p>
<p>Pour mesurer l’effet des ondes gravitationnelles, il faut d’abord supprimer tout le reste, toutes les vibrations ambiantes, parasites qui ne doivent pas être captées. Mesurer ici, c’est d’abord isoler ces capteurs du reste du monde comme on n’y est jamais parvenu auparavant.</p>
<h2>Rencontre du 3<sup>e</sup> type ?</h2>
<p>Mais il y avait une question complémentaire adressée la minute suivante à ces physiciens, et remarquablement soulignée par la fulgurance de la première. De mémoire, et en substance : « Comment explorer les perceptions particulières que différentes formes du vivant ont du réel ? Comment puis je ressentir comme une araignée, entrer ainsi dans une nouvelle vision du monde, et peut être dans un dialogue avec elle ? »</p>
<p>Cela m’a semblé une évidence dans cette exposition : Tomas Saraceno ne se résout pas à voir cette technologie devenir toujours plus un vecteur de notre repliement sur nous même. Il sent bien aussi que l’humanité peut aujourd’hui au contraire chercher le chemin d’une nouvelle alliance avec le monde vivant. Dit plus brutalement, ce dernier est, à l’écart du monde digital nouvellement arrivé, ce lieu bien réel incroyablement complexe et sophistiqué, de création et de transformation massive de l’information. Une confluence est-elle possible entre ces deux réalités incontournables ? Dans cette vision, la question que porte cette exposition devient alors comment « hacker » le monde humain d’aujourd’hui pour explorer la « myriade d’autres possibilités de perception incarnées ».</p>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/YNOwfa65gjU?wmode=transparent&start=0" frameborder="0" allowfullscreen=""></iframe>
</figure>
<h2>Toucher la vibration</h2>
<p>Qui gagne ? Mes doigts grâce à l’extension du toucher par des microsystèmes en silicium ou l’araignée ? Je reste fasciné par la comparaison des performances des capteurs de vibration des araignées avec celles des microsystèmes issus des nanotechnologies et qui équipent nos Smartphones. Ce n’est pas une fascination récente, en témoigne cet article de 2016, <a href="https://www.echosciences-grenoble.fr/articles/good-vibrations-3-3-pour-sentir-les-vibrations-du-monde-qui-est-le-meilleur-notre-toucher-ou-le-smartphone-avec-ses-capteurs">« Good vibrations : Le Smartphone et le Scorpion »</a> et cette vidéo :</p>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/f6p0-WxpfmE?wmode=transparent&start=0" frameborder="0" allowfullscreen=""></iframe>
<figcaption><span class="caption">Jeux avec les vibrations d’un mur captées par un Smartphone lors de la Game Jam Mouvements et Smartphones au Carrefour du Numérique à Universciences (octobre 2016).</span></figcaption>
</figure>
<p>Scorpions et araignées sont de « la même famille », la classe des arachnides. Vibrations à la surface du sable dans le désert ou de toiles d’araignée, il s’agit de la même question, celle de la rencontre étonnée et heureuse d’exemples « de la myriade de perceptions incarnées ».</p>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/JpVRDD8lLL0?wmode=transparent&start=0" frameborder="0" allowfullscreen=""></iframe>
</figure>
<h2>Chercher et apprendre, encore et toujours, par le(s) sens et la raison</h2>
<p>Inspirés par l’exemple des scorpions, nous cherchions avec l’<a href="https://www.ensci.com">ENSCI les Ateliers</a>, le laboratoire de <a href="http://www.esad-gv.fr/fr/recherche/unite/#il-ny-a-pas-de-savoirs-sans-transmission-contribut">design graphique</a> de l’ESAD Grenoble/Valence et l’<a href="https://www.ircam.fr">IRCAM</a> à rendre immédiatement perceptibles les microvibrations mécaniques ambiantes.</p>
<p>Les performances surprenantes des Smartphones comme capteurs de vibration nous ont ouvert la perspective d’explorer facilement cette vibration imperceptible mais toujours présente du monde. On peut le faire d’une part en réfléchissant. Comme d’habitude, notamment en sciences, est-on tenté de dire. On peut aussi aujourd’hui percevoir avec nos sens augmentés par les capteurs, étendus au-delà du perceptible, comme on le voit dans la vidéo ci-dessus.</p>
<p>Avec l’aide des scorpions et maintenant des araignées, on se demande alors comment se débrouiller avec ce nouveau toucher. Merci aussi à Tomas Saraceno : il est bon de <a href="http://onair-online.com">se sentir en bonne compagnie</a> !</p><img src="https://counter.theconversation.com/content/109625/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Joël Chevrier ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>Par la technologie, nous reconstruisons, artificiellement et toujours plus, notre perception, notre relation instantanée au monde et notre (in)capacité à communiquer entre nous.Joël Chevrier, Professeur de physique, Université Grenoble Alpes (UGA)Licensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1070532018-11-16T16:48:48Z2018-11-16T16:48:48ZAppel de Paris : Emmanuel Macron appelle à créer plus de confiance et de sécurité sur Internet<figure><img src="https://images.theconversation.com/files/245798/original/file-20181115-194500-7fov92.jpg?ixlib=rb-1.1.0&rect=28%2C0%2C2367%2C1588&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Emmanuel Macron appelle à soutenir un « cyberespace ouvert, sûr, stable, accessible et pacifique ».</span> <span class="attribution"><a class="source" href="https://fr.wikipedia.org/wiki/Fichier:Emmanuel_Macron_(11_décembre_2014)_(2).jpg">Wikipedia</a>, <a class="license" href="http://creativecommons.org/licenses/by-sa/4.0/">CC BY-SA</a></span></figcaption></figure><p>Au début d’une semaine de trois réunions à Paris sur la paix, les technologies gouvernementales et la gouvernance de l’Internet, Emmanuel Macron a lancé l’<a href="https://www.diplomatie.gouv.fr/IMG/pdf/paris_call_text_-_en_cle06f918.pdf">Appel de Paris</a>, un appel à soutenir un « cyberespace ouvert, sûr, stable, accessible et pacifique ».</p>
<p>Cet appel est un autre exemple de la volonté du président d’établir un leadership mondial dans la lutte pour la stabilité économique et sociale contre la menace croissante du nationalisme.</p>
<p>L’appel de Paris demande la collaboration entre les organisations publiques et privées et la société civile pour créer de nouvelles normes de cybersécurité afin d’améliorer la protection en ligne.</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"1061870611725778944"}"></div></p>
<p>En particulier, l’appel de Paris cite la nécessité de capitaliser sur un accord existant entre les pays pour lutter contre la cybercriminalité, la <a href="https://www.coe.int/fr/web/conventions/full-list/-/conventions/rms/0900001680081561">Convention de Budapest</a>. Cet accord a été créé dans le but d’harmoniser l’incrimination des comportements contre les systèmes, réseaux et données informatiques et au moyen de ceux-ci, afin de faciliter la coopération internationale des services répressifs en matière d’échange de preuves et d’aide à l’arrestation et à la poursuite des cybercriminels.</p>
<h2>Contrer les nationalismes</h2>
<p>Le message est absolument clair. Il s’agit d’un appel à la coopération au niveau international, évitant la rhétorique nationaliste et isolationniste de dirigeants comme le président américain Donald Trump.</p>
<p>L’Appel de Paris mentionne expressément les règles des droits de l’homme internationales, la charte des Nations unies et son application aux technologies de l’information et de la communication. Le rôle des Nations unies dans le rapprochement des pays autour des accords internationaux est essentiel. L’appel de Paris a été la déclaration d’ouverture du <a href="https://parispeaceforum.org/fr/">Forum de Paris pour la paix</a> et du <a href="http://www.intgovforum.org/multilingual/content/igf-2018-0">Forum sur la gouvernance de l’Internet 2018</a>, qui se sont tous deux tenus à Paris, l’FGI se tenant à l’Unesco, une organisation dont Trump a sorti les États-Unis.</p>
<p>L’Appel de Paris a <a href="https://www.diplomatie.gouv.fr/IMG/pdf/soutien_appel_paris_cle8e5e31.pdf">reçu le soutien</a> de 51 États, y compris tous les membres de l’UE, <a href="https://www.wired.com/story/paris-call-cybersecurity-united-states-microsoft/">90 groupes à but non lucratif</a> et 130 entreprises privées et universités. Les absents notables de la signature de l’engagement étaient la Chine, la Russie, l’Iran, Israël et les États-Unis, ironiquement les pays les plus susceptibles d’être en conflit en matière de cybersécurité les uns avec les autres.</p>
<h2>Le « cyber-offensisme »</h2>
<p>Un élément particulier de l’appel de Paris est litigieux, ne serait-ce que parce qu’il sera difficile à interpréter. Il s’agit d’une disposition :</p>
<blockquote>
<p>« de mener des actions cyber offensives en réponse à une attaque dont ils seraient victimes, pour leur propre compte ou pour celui d’autres acteurs non étatiques. »</p>
</blockquote>
<p>Les « actions cyber offensives » (hacking-back en Anglais) est un terme ambigu utilisé pour décrire une réponse offensive à une cyberattaque d’organisations privées ou d’individus. Il est largement considéré comme une mauvaise idée pour les organisations privées, en particulier de s’engager dans cette pratique parce qu’elle s’apparente au vigilantisme et souffre des mêmes problèmes.</p>
<p>La première est l’attribution, c’est-à-dire le fait de trouver les véritables auteurs d’une attaque. C’est notoirement difficile à faire et cela peut aboutir à ce que des parties innocentes fassent l’objet de représailles injustifiées.</p>
<p>L’autre problème des « hack-backs » est que les attaques de représailles peuvent elles-mêmes causer des problèmes et de l’instabilité pour l’ensemble des internautes, ces derniers subissant des dommages collatéraux en conséquence de ces contre-mesures. Enfin, il est également très douteux que les organisations privées agissant seules parviennent réellement à obtenir de très bons résultats en adoptant cette ligne de conduite plutôt que de laisser agir des agences de sécurité.</p>
<h2>Proposition de loi aux États-Unis</h2>
<p>Il n’est peut-être pas surprenant qu’en dépit de la condamnation quasi universelle des actions cyber offensives, un membre du Congrès républicain américain, Tom Graves, ait présenté au Congrès américain un <a href="https://www.congress.gov/bill/115th-congress/house-bill/4036/text">projet de loi</a> qui légaliserait les organisations privées souhaitant prendre des « mesures de défense active » tout en suggérant qu’elles devraient également éviter « de violer la loi de tout autre pays où l’ordinateur d’un attaquant pourrait se trouver ».</p>
<p>Le projet de loi a reçu peu de soutien et il est donc intéressant que l’appel de Paris se donne la peine de mentionner une pratique qui est universellement considérée comme une mauvaise pratique, si ce n’est pour souligner à nouveau que les politiques et les lois potentielles émanant des États-Unis ne devraient pas être soutenues au niveau international.</p>
<p>L’appel de Paris est largement symbolique et ne dispose pas de signataires d’actions ou de responsabilités formelles. Il n’est pas non plus considéré comme parfait, même par ceux qui se sont inscrits à l’appel. Le groupe de défense des droits numériques Access Now, en particulier, a noté des engagements particuliers qui devraient être <a href="https://www.accessnow.org/access-now-to-join-the-paris-call-for-trust-and-stability-in-cyberspace/">réévalués</a>. La première est que la coopération et l’échange d’informations entre pays dans la lutte contre la cybercriminalité devraient être fondés sur des ordonnances judiciaires et non sur une base informelle et trop générale pour la transmission de données personnelles d’un pays à un autre. L’autre faiblesse réside dans l’engagement pris dans l’appel de Paris en faveur de la prévention du vol de propriété intellectuelle qui, s’il est mis en œuvre avec zèle, pourrait à nouveau porter atteinte au partage légitime des idées et des informations en ligne et porter atteinte au droit à la vie privée.</p>
<p>Malgré ses limites, le fait que l’appel de Paris ait reçu un soutien aussi large suggère un grand enthousiasme pour la proposition parmi les pays qui s’accrochent à l’idée que la coopération internationale est la réponse à la paix et la stabilité. Seul l’avenir nous dira comment cette proposition fonctionnera dans la pratique.</p><img src="https://counter.theconversation.com/content/107053/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>David Glance ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>L’appel de Paris vise à une collaboration internationale pour rendre Internet plus sûr. Quelles sont les avancées et les limites de ce texte ?David Glance, Director of UWA Centre for Software Practice, The University of Western AustraliaLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1030512018-10-01T18:45:06Z2018-10-01T18:45:06ZMuseomix, trois jours pour « remixer » le musée<figure><img src="https://images.theconversation.com/files/235880/original/file-20180911-144458-zv6anf.jpg?ixlib=rb-1.1.0&rect=0%2C320%2C3288%2C2083&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Fablab Florence.</span> <span class="attribution"><span class="license">Author provided</span></span></figcaption></figure><p>De quelle manière un musée peut-il communiquer et inciter les citoyens à s’approprier son espace de manière innovante, tout au long de l’année ? C’est à cette question que cherche à répondre la création du <a href="https://journals.openedition.org/ocim/1454">Museomix</a>, événement collaboratif qui rassemble chaque année depuis 2011 de plus en plus de participants internationaux, avec pour mot d’ordre « trois jours pour remixer le musée ». Après de premières expérimentations au musée des Arts décoratifs de Paris, l’événement s’est développé en France et à l’étranger.</p>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/VCAALgpqeYU?wmode=transparent&start=0" frameborder="0" allowfullscreen=""></iframe>
</figure>
<p>Cette manifestation innovante prend la forme d’un <em>makeathon</em> muséographique : trois journées pour imaginer des solutions <a href="https://www.cairn.info/revue-i2d-information-donnees-et-documents-2017-1-page-32.html">grâce au brainstorming intense et pluriel de co-créateurs</a>. Cette action culturelle regroupe notamment dans un court délai des penseurs, des artistes, des artisans, des techniciens, des ingénieurs, des communicants, des développeurs, pour travailler ensemble autour d’une problématique, trouver des solutions propres à satisfaire le Musée et ses visiteurs et fabriquer puis mettre en place des outils pour donner vie à ces projets dans un temps très limité.</p>
<h2>Trois jours pour remixer les musées</h2>
<p>Pour rallier des participants à la cause, un appel est donc lancé en ligne sur le <a href="http://www.museomix.org/">site du Museomix</a> pour recueillir tous types de candidatures internationales, afin d’oeuvrer ensemble, chaque année, le deuxième week-end de novembre. Dans le cadre de cet événement, les musées accueillent donc généralement in situ ces équipes qui se forment souvent au hasard de leurs inscriptions dans ce projet et/ou ensuite lors de leurs premières rencontres sur le terrain. Des étudiant·e·s viennent compléter ces groupes pour participer à l’organisation de cet événement. Tous ces bénévoles aux compétences variées se réunissent dans un délai tendu pour penser à une forme novatrice de transmission des connaissances et de l’art, dans une ambiance d’émulation collective.</p>
<p>Les approches diffèrent en fonctions des musées et des pays : à Caen, cette année, le Museomix 2018 présente <a href="http://museomix.lafabriquedepatrimoines.fr/">son exposition en cours « Vous avez dit barbares ? »</a> comme source d’inspiration. Mais le Château, le donjon et les remparts de la ville peuvent également être le point de départ des projets. En Suisse, en 2017, l’organisation <a href="https://www.youtube.com/watch?v=VCAALgpqeYU">proposait une bourse à ses citoyens pour se rendre à l’étranger</a> pour apporter la pierre suisse à l’édifice de cette aventure muséale tout autour du monde.</p>
<h2>Des projets inscrits dans la durée</h2>
<p>À la fin de ces trois jours de créativité dans les musées transformés en laboratoires ludiques, les producteurs de savoirs et les médiateurs ouvrent les portes au public. Les prototypes sont alors testés sur ce nouveau terrain de jeu où l’intelligence collective des « museomixeurs » et des spectateurs est mise à profit pour valoriser et promouvoir des actions culturelles innovantes. Cet événement initié en France permet également de construire une vision à long terme pour les musées, en France ou à l’étranger. Ainsi, à Bâle (Suisse), un projet développé durant le Museomix 2016 <a href="https://www.museomix.ch/2018/02/un-projet-developpe-durant-museomix-2016-se-concretise-au-musee-historique-de-bale/">se voit concrétiser au Musée historique de Bâle</a> qui a décidé de conserver un élément qui permet aux visiteurs de conter <a href="http://memobox.hmb.ch/fr/">leurs propres histoires dans une « Mémobox »</a>.</p>
<p>Autre exemple de l’impact de ce remix collectif : la coopération France-Canada. À Montréal, il est aujourd’hui question de <a href="http://www.museomix.org/editions/2015/montreal/prototypes/oseriez-vous-voler-une-oeuvre">s’interroger sur le vol d’œuvres d’art au Musée d’Art contemporain</a> et sur les <a href="http://www.museomix.org/editions/2014/montreal-2014">émotions suscitées par une œuvre du Musée des Beaux-Arts</a>.</p>
<p>Si la démarche vous séduit, il est toujours temps de participer à cette aventure de co-créations muséales pour démocratiser des espaces artistiques et/ou culturels : selon le mot d’ordre de Museomix, « people make museums » (les gens font les musées), <a href="https://www.flickr.com/photos/museomix">toutes générations confondues</a>. De Caen à Nice, du Sénégal en en Équateur, chacun peut prendre contact <a href="http://www.museomix.org/liste-communautes/">avec une communauté proche</a> de son territoire <a href="http://www.museomix.org/actus-2018/">via un appel à participation</a>. Les personnes sélectionnées au terme de cet appel se retrouveront au début du mois de novembre pour imaginer leurs prototypes et inventer le musée de demain.</p>
<p>Par son dynamisme et son aspect concret, l’événement Museomix permet de contribuer à une nouvelle forme d’expression, à expérimenter des pratiques innovantes et à introduire une communication artistique et culturelle en mutation pour les espaces muséaux du XXI<sup>e</sup> siècle.</p>
<hr>
<p><em>Si vous souhaitez rejoindre une communauté Museomix, l’<a href="http://www.museomix.org/actus-2018/">appel à participation est en cours</a>.</em></p><img src="https://counter.theconversation.com/content/103051/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Les auteurs ne travaillent pas, ne conseillent pas, ne possèdent pas de parts, ne reçoivent pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'ont déclaré aucune autre affiliation que leur organisme de recherche.</span></em></p>Muséomix, c’est un événement collaboratif qui relie chaque année depuis 2011 des participants du monde entier, avec pour mot d’ordre « trois jours pour remixer le musée ».Marie-Nathalie Jauffret, Chercheure - Prof. Communication & Marketing, International University of MonacoMarika TAISHOFF, Professor of Strategy and Luxury, International University of MonacoLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/933002018-05-10T18:40:37Z2018-05-10T18:40:37ZHacktivisme éthique : l’exercice de son mandat de citoyen du technomonde ?<figure><img src="https://images.theconversation.com/files/216757/original/file-20180429-135814-x5f750.jpg?ixlib=rb-1.1.0&rect=0%2C7%2C799%2C492&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption"></span> <span class="attribution"><a class="source" href="https://www.flickr.com/photos/onyxkatze/8152177918/">Onyxkatze/Flickr</a>, <a class="license" href="http://creativecommons.org/licenses/by-nc-nd/4.0/">CC BY-NC-ND</a></span></figcaption></figure><h2>« Hacktion » mode d’emploi</h2>
<p>L’hacktiviste est, au sens strict, la contraction de hacker et d’activiste. Celui-ci est doté d’un savoir technologique élevé qu’il met au service d’une cause. On le retrouve usuellement sur le terrain des luttes libertaires, sociales, humanitaires, antifascistes, altermondialistes. <a href="https://www.malekal.com/defacement-de-site/">Le defacement</a>, par exemple, terme anglais, qui provient de l’ancien français « desfacer » – qui évoque une dégradation ou du vandalisme – peut être utilisée comme une « arme technologique » pour faire passer un message sur un site cible.</p>
<p>L’hacktivisme peut relever d’actions isolées tout comme d’actions menées par un groupe. Ce sont des « hacktions » entreprises dans un cadre supposé <a href="https://theconversation.com/hacktivisme-fondamentaux-hackers-ignorance-et-prejuges-93936">répondre – sémantiquement – à l’éthique de la communauté hackers</a>.</p>
<h2>L’hacktivisme pourquoi faire ?</h2>
<p>L’objet est la visibilité, le réveil d’une opinion publique. L’« hacktion » doit être assez spectaculaire pour donner accès aux médias de masse. Ceux-ci s’en feront alors les relais. L’essaimage de l’« hacktion » est d’ailleurs souvent assuré par <a href="https://fr.wikipedia.org/wiki/Slacktivisme">des slacktivistes</a> – sans connaissances technologiques particulières – mais qui adhèrent à la réflexion initiale.</p>
<blockquote>
<p>« On peut ainsi considérer le mouvement <a href="https://theconversation.com/deletefacebook-les-slacktivistes-defient-les-gafam-94256">#DeleteFacebook</a> comme une action hacktiviste spontanée, composée exclusivement de slacktivistes ».</p>
</blockquote>
<p>On retiendra que cette action <a href="https://www.lesechos.fr/finance-marches/marches-financiers/0301460054884-comment-facebook-a-perdu-37-milliards-en-bourse-et-zuckerberg-5-milliards-2162663.php">aura des conséquences économiques</a> pour l’acteur ciblé. On retiendra que l’usager, quel qu’il soit, a pu prendre conscience – si tel n’était déjà le cas – que sa voix pouvait compter !</p>
<p>Sur un terrain plus politique, l’approche récente autour du conflit social opposant la SNCF à l’État, la <a href="https://theconversation.com/greve-sncf-opinion-publique-et-lutte-2-0-pres-dun-million-deuros-selon-la-cagnotte-95726">mise en place d’une cagnotte de soutien aux cheminots</a> rencontrera un grand succès. Cette initiative procède de la même « philosophie ».</p>
<p>Enfin, pour montrer l’éventail des champs d’intervention possible des citoyens, pour illustrer le cadre éthique qui devrait être la règle, il faut évoquer l’action de groupe de la Quadrature du Net <a href="https://theconversation.com/la-decolonisation-du-gafamonde-est-engagee-94667">contre les GAFAM</a>. <strong>Elle est un exemple-type d’hacktivisme éthique et responsable intégrant</strong> :</p>
<ul>
<li><p>Un savoir technique des initiateurs passant par le développement d’une <a href="https://gafam.laquadrature.net/">place virtuelle d’<em>hacktion</em></a>. Des <a href="https://gafam.laquadrature.net/#poster"><em>add-on</em></a> de personnalisation permettant le relais de l’hacktion et son appropriation par l’usager…</p></li>
<li><p>Des compétences juridiques et une transparence totale de l’« hacktion » collective proposée.</p></li>
</ul>
<p>L’ensemble est mis au service des usagers qui souhaitent mandater cette association de défense des droits et libertés des citoyens sur Internet pour engager une action collective contre chacun des GAFAM.</p>
<figure class="align-center ">
<img alt="" src="https://images.theconversation.com/files/216320/original/file-20180425-175074-aod7hs.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/216320/original/file-20180425-175074-aod7hs.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=426&fit=crop&dpr=1 600w, https://images.theconversation.com/files/216320/original/file-20180425-175074-aod7hs.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=426&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/216320/original/file-20180425-175074-aod7hs.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=426&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/216320/original/file-20180425-175074-aod7hs.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=535&fit=crop&dpr=1 754w, https://images.theconversation.com/files/216320/original/file-20180425-175074-aod7hs.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=535&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/216320/original/file-20180425-175074-aod7hs.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=535&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">Faites votre affiche.</span>
<span class="attribution"><span class="source">La Quadrature du Net</span></span>
</figcaption>
</figure>
<h2>Vers une éthique hacktiviste</h2>
<p>Les détracteurs de l’hacktivisme pour justifier leur souhait de « toujours plus de contrôle » de l’Internet, pointeront toujours les dérives et erreurs commises par certains groupes. Ils s’appuieront alors sur ces dernières pour jeter sur l’hacktivisme un discrédit caricatural et généralisé. Certains hacktivistes s’enferment effectivement (parfois) dans des paradoxes inextricables. Ils apportent à leurs détracteurs des éléments aisément exploitables.</p>
<p>C’est la raison pour laquelle le <a href="https://theconversation.com/1576-2018-de-la-boetie-a-lhacktivisme-contemporain-90555">droit à la résistance Lockienne que j’ai pu évoquer précédemment</a> et la reconquête d’un réel pouvoir citoyen ne pourra se faire qu’en respectant au plus près un certain nombre de principes – <a href="https://theconversation.com/hacktivisme-fondamentaux-hackers-ignorance-et-prejuges-93936">cf. les principes hackers</a> – et en évitant des modus vivendi d’actions qui affaiblissent – aux yeux de l’opinion publique – ce droit légitime : celui de résister.</p>
<blockquote>
<p>« La pratique d’un hacktivisme éthique est la seule voie qu’il est possible d’emprunter pour prétendre devenir un pouvoir citoyen crédible. L’hacktivisme pouvant s’apparenter au simple exercice de son mandat de citoyen. »</p>
</blockquote>
<p>La cible et l’action peuvent être justes. Les combats, politiques ou autres peuvent être honorables, mais ils ne peuvent supporter (usuellement) des méthodes de combats et de luttes qui ne le seraient pas. L’hacktivisme éthique ne peut se permettre de jouer aux apprentis sorciers : du pain béni pour ses adversaires. À titre d’exemple, mettre en péril la vie d’éventuels innocents sous couvert de combattre des monstres est pour eux une aubaine : <a href="http://www.lemonde.fr/technologies/article/2012/07/11/anonymous-publie-des-listes-de-pedophiles-presumes_1732360_651865.html">pour illustrer le propos, c’est ce qui sera reproché aux Anonymous dans le cadre d’une de leurs actions</a>.</p>
<p>Dès lors que l’on n’est pas acculé et que l’on peut procéder autrement, <strong>il y a une différence fondamentale entre opposer la force de l’action collective numérique à toute forme de violence et opposer la violence à la violence.</strong></p>
<p>Pour éviter les dérapages, le plus sage n’est-il pas d’observer les meilleures méthodologies d’action. Celles de La Quadrature du Net qui redonnent la parole à tous les usagers dans un cadre respectueux de toutes et tous peuvent être une source d’inspiration.</p>
<p>Une chose est avérée : les erreurs méthodologiques sont moindres lorsque l’on s’inspire des bonnes pratiques. Pour ce faire, un seul conseil : <em>follow the leaders</em> !</p>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/7KXlwh1CyQc?wmode=transparent&start=0" frameborder="0" allowfullscreen=""></iframe>
</figure>
<p><em>À suivre</em></p><img src="https://counter.theconversation.com/content/93300/count.gif" alt="The Conversation" width="1" height="1" />
Dès lors que l’on n’est pas acculé et que l’on peut procéder autrement, l’hacktivisme c’est opposer la force et la puissance du groupe à la violence, non pas la violence à la violence !Yannick Chatelain, Enseignant Chercheur. Head of Development. Digital I IT, Grenoble École de Management (GEM)Licensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/935512018-04-09T20:14:55Z2018-04-09T20:14:55ZCybersécurité : un coût élevé pour l’entreprise<figure><img src="https://images.theconversation.com/files/213929/original/file-20180409-114076-1x1d9xv.jpg?ixlib=rb-1.1.0&rect=17%2C11%2C3976%2C2485&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">À défaut de pouvoir les empêcher totalement, détecter les attaques informatiques au plus tôt permet d'en limiter les coûts.</span> <span class="attribution"><a class="source" href="https://www.shutterstock.com/fr/image-photo/concept-screen-full-binary-computer-data-721630210?src=At-xZDAK4hThpInXiUs0gg-1-0">Shutterstock</a></span></figcaption></figure><p>Le monde de la cybersécurité a profondément évolué ces 20 dernières années. Dans les années 1980, la sécurité des systèmes d’information était un domaine plutôt confidentiel, où primait l’<a href="https://www.cairn.info/revue-critique-2008-6-page-480.htm">excellence technique</a>. La notion de gain financier était relativement absente des motivations des attaquants. C’est au début des années 2000 que les premiers produits de sécurité ont commencé à être commercialisés : pare-feux, systèmes de gestion des identités ou des événements, sondes de détection, etc. À cette époque, ces produits ont été clairement identifiés, tout comme leur coût, parfois important. Près de vingt ans plus tard, les choses ont évolué : une attaque est désormais un gain pour l’attaquant.</p>
<h2>Combien coûte une attaque ?</h2>
<p>À l’heure actuelle, les motivations des attaquants sont généralement financières. l’objectif de l’attaquant est d’obtenir de l’argent de ses victimes, directement ou indirectement, que ce soit par des demandes de rançon (<a href="https://www.kaspersky.fr/resource-center/definitions/what-is-ransomware">ransomware</a>), ou par des <a href="https://www.kaspersky.fr/resource-center/threats/ddos-attacks">dénis de service</a>. Le <a href="https://www.kaspersky.fr/resource-center/threats/spam-phishing">spam</a> a été l’une <a href="https://www.icsi.berkeley.edu/pubs/networking/2008-ccs-spamalytics.pdf">des premières manières de gagner de l’argent</a> en vendant des produits <a href="http://www.davidreiley.com/papers/SpamEconomics.pdf">illégaux ou contrefaits</a>. Désormais, certaines attaques contre les <a href="https://fc18.ifca.ai/bitcoin/papers/bitcoin18-final11.pdf">monnaies numériques comme le bitcoin</a> sont <a href="https://www.francetvinfo.fr/replay-radio/nouveau-monde/nouveau-monde-les-monnaies-virtuelles-sont-elles-mal-protegees_2563453.html">très populaires</a>. Les attaques contre les <a href="https://business.lesechos.fr/directions-numeriques/partenaire/partenaire-1209-les-3-cyber-risques-mobiles-2017-313778.php">systèmes de téléphonie</a> sont également <a href="http://s3.eurecom.fr/docs/eurosp17_sahin.pdf">extrêmement lucratives</a> à l’heure du smartphone et de l’<a href="https://interstices.info/jcms/ni_79380/la-securite-des-systemes-informatiques-ubiquitaires">informatique ubiquitaire</a>.</p>
<p>Le coût des attaques informatiques est <a href="https://www.silicon.fr/cout-cyberattaques-personne-sait-rien-ue-154949.html">extrêmement difficile à évaluer</a>, en raison de la diversité des approches employées. Deux catégories d’informations peuvent cependant être utilisées pour tenter d’estimer le préjudice subi : celles des fournisseurs de services et celles de la communauté scientifique.</p>
<p>En ce qui concerne la première catégorie, le rapport du fournisseur d’accès américain Verizon <a href="http://www.verizonenterprise.com/resources/reports/rp_DBIR_2017_Report_en_xg.pdf">« Data Breach Investigation Report 2017 »</a> utilise comme métrique le nombre d’enregistrements compromis par un attaquant lors d’une attaque. Il ne traduit toutefois pas cette information en valeur monétaire. De leur côté, <a href="https://www.ibm.com/security/data-breach">IBM et Ponemon</a> indiquent un coût moyen de 141 dollars par enregistrement compromis, mais que ce coût est sujet à des variations importantes en fonction du pays, du secteur industriel, etc. Sur la même période, un <a href="https://www.accenture.com/fr-fr/company-news-release-cost-of-cyber-crime">rapport d’Accenture</a> évalue le coût moyen annuel des incidents de cybersécurité aux environs de onze millions de dollars (pour 254 entreprises).</p>
<h2>Quel gain pour les attaquants ?</h2>
<p>En 2008, des chercheurs américains ont tenté d’<a href="https://www.icsi.berkeley.edu/pubs/networking/2008-ccs-spamalytics.pdf">évaluer les gains d’un opérateur de réseau de spam</a>. Il s’agissait de déterminer dans quelle mesure un e-mail non sollicité pouvait déclencher un acte d’achat. En analysant près d’un demi-milliard de spams diffusés par deux réseaux de machines infectées (<a href="https://www.cairn.info/revue-herodote-2014-1-page-22.htm#pa4">botnet</a>), les auteurs ont estimé que les gains des pirates gérant le réseau à 3 millions de dollars. Toutefois le bénéfice net est très faible. Des études complémentaires ont montré l’impact d’attaques informatiques sur le coût des actions des entreprises victimes. Ce sujet de l’économie de la cybersécurité est d’ailleurs développé dans le cadre du <a href="http://econinfosec.org/">Workshop on the Economics of Information Security</a>.</p>
<p>Les chiffres peuvent paraître élevés mais comme classiquement pour les services Internet, les attaquants bénéficient d’un effet de réseau dans lequel le coût d’ajout d’une victime est très faible, alors que le coût de création et d’installation de l’attaque est très important. Dans le cas étudié en 2008, l’émission utilisait le <a href="https://fr.wikipedia.org/wiki/Zeus_(cheval_de_Troie)">réseau de robots Zeus</a>. Comme celui-ci vole les ressources informatiques des machines compromises, le coût initial de l’attaque était également très faible.</p>
<p>En résumé, le coût des cyberattaques est un sujet d’étude depuis plusieurs années. Des études, académiques ou commerciales, existent. Il n’en demeure pas moins que le coût exact des cyberattaques demeure difficile à déterminer aujourd’hui. Il convient aussi de noter qu’il a été historiquement très surévalué.</p>
<h2>Se défendre coûte cher</h2>
<p>Malheureusement, la défense coûte cher également. Alors qu’il suffit à un attaquant de trouver et d’exploiter <em>une</em> vulnérabilité, le défenseur doit nécessairement de son côté les traiter <em>toutes</em>. Qui plus est, le nombre total de vulnérabilités découvertes chaque année dans les systèmes informatiques ne cesse de croître. Des vulnérabilités complémentaires sont notamment régulièrement introduites par la mise en œuvre <a href="http://www.bilan.ch/steven-meyer/dangers-de-linternet-choses-iot">de nouveaux services et de nouvelles pratiques</a>, parfois à l’insu des administrateurs du réseau d’entreprise. C’est ainsi le cas du modèle <a href="https://www.cnil.fr/fr/byod-quelles-sont-les-bonnes-pratiques">« bring your own device »</a> (BYOD). En autorisant les salariés à travailler sur leur propre matériel (smartphones, ordinateurs personnels), ce modèle a détruit la <a href="https://www.silicon.fr/hub/malwarebytes-hub/pourquoi-la-defense-perimetrique-est-elle-depassee?inf_by=5acb8307671db811118b52d9">défense périmétrique</a> qui prévalait il y a quelques années. Loin de faire <a href="https://business.lesechos.fr/directions-numeriques/technologie/cybersecurite/0203466183328-to-byod-or-not-to-byod-63378.php">réaliser des économies à l’entreprise</a>, il introduit une dose supplémentaire de vulnérabilité.</p>
<p>Le coût des outils de sécurité reste élevé. Les prix d’un pare-feu ou d’une sonde de détection des attaques peuvent atteindre 100 000 euros. Le coût d’une plate-forme de supervision pour gérer ces équipements de sécurité peut se chiffrer à dix fois plus. En outre, leur surveillance doit se faire par des professionnels, or ces compétences manquent sur le marché de l’emploi. Au total, le déploiement de solutions de protection et de détection se chiffre en <a href="https://www.accenture.com/t20170926T072837Z_w_/us-en/_acnmedia/PDF-61/Accenture-2017-CostCyberCrimeStudy.pdf">millions d’euros chaque année</a>.</p>
<figure>
<iframe src="https://player.vimeo.com/video/251318767" width="500" height="281" frameborder="0" webkitallowfullscreen="" mozallowfullscreen="" allowfullscreen=""></iframe>
</figure>
<p><br></p>
<p>Qui plus est, il est difficile de connaître l’efficacité des centres de détection destinés à éviter les attaques, car on ne connaît pas précisément le nombre de celles qui échouent. Il existe cependant quelques initiatives en la matière, comme <a href="http://www.etsi.org/technologies-clusters/technologies/information-security-indicators">Information Security Indicators</a>. Une chose est certaine, chaque jour <a href="https://www.google.fr/search?q=MICKA%C3%8BLE+ANGELETTI&oq=MICKA%C3%8BLE+ANGELETTI&aqs=chrome..69i57.227j0j7&sourceid=chrome&ie=UTF-8">des systèmes informatiques peuvent être compromis ou rendus indisponibles</a>, étant donné le nombre d’attaques qui se produisent en permanence sur les réseaux. La diffusion du code malveillant <a href="http://www.lemonde.fr/pixels/article/2017/05/13/ce-que-l-on-sait-du-logiciel-de-racket-qui-a-paralyse-les-hopitaux-britanniques-et-touche-des-dizaines-de-pays_5127351_4408996.html">Wannacry</a> a montré à quel point certaines attaques peuvent être brutales, et leur évolution <a href="http://www.clubic.com/antivirus-securite-informatique/virus-hacker-piratage/malware-logiciel-malveillant/actualite-834432-wannacry-arreter-malware-bancaire.html">imprévisible</a>.</p>
<p>Malheureusement, la seule défense efficace est souvent la mise à jour des systèmes vulnérables, une fois les failles découvertes. Ceci a peu de conséquences sur un poste de travail, mais est plus difficile sur un serveur, et peut être extrêmement délicat dans des environnements contraints (serveurs critiques, protocoles industriels, etc.). Ces opérations de maintenance ont systématiquement un coût caché, lié à l’indisponibilité du matériel à mettre à jour. Et cette stratégie a également ses limites. Certaines mises à jour sont impossibles à mettre en œuvre, comme dans le cas de Skype, qui nécessite une<a href="http://www.theregister.co.uk/2018/02/15/microsoft_skype_fixed/"> mise à jour majeure du logiciel</a> et <a href="https://www.macg.co/logiciels/2018/02/skype-une-faille-de-securite-que-microsoft-na-pas-le-temps-de-corriger-101393">entraîne une incertitude sur son état</a>. D’autres sont extrêmement coûteuses, à l’image des vulnérabilités <a href="https://www.hardware.fr/news/15326/meltdown-spectre-point-deux-failles.html">Spectre et Meltdow</a> qui touchent les microprocesseurs de la plupart des ordinateurs. Intel a d’ailleurs renoncé à colmater la faille sur les <a href="https://www.lesnumeriques.com/cpu-processeur/spectre-intel-renonce-a-patcher-microcode-anciens-processeurs-n73107.html">processeurs les plus anciens</a>.</p>
<h2>Un arbitrage délicat</h2>
<p>Le problème de la sécurité revient donc à une analyse de risque assez classique, dans laquelle une organisation doit décider des attaques contre lesquelles elle se protège, celles pour lesquelles elle subit le risque, et celles contre lesquelles elle s’assure.</p>
<p>En ce qui concerne la protection, il est aujourd’hui évident que certains outils de filtrage comme les pare-feux sont indispensables pour conserver le peu de périmètre qui demeure aujourd’hui. Par contre, d’autres sujets sont sujets à controverse, comme l’<a href="https://www.ledecodeur.ch/2015/08/30/les-antivirus-sont-has-beens/">abandon des antivirus par la société Netflix</a>, au profil de l’analyse massive de données pour détecter les cyberattaques.</p>
<p>Le risque subi est lui très difficile à évaluer, et est souvent le résultat de l’évolution technologique des vulnérabilités et des attaques plus que d’un choix conscient de l’entreprise. Les attaques par déni de service, comme celle <a href="https://www.lemondeinformatique.fr/actualites/lire-des-cameras-ip-chinoises-a-l-origine-de-la-gigantesque-attaque-ddos-66311.html">perpétrée en 2016 via le logiciel malveillant Mirai</a>, par exemple, sont de plus en plus puissantes et donc difficiles à contrer.</p>
<p>La stratégie de l’assurance du cyber-risque est encore plus compliquée, dans la mesure où les primes sont extrêmement difficiles à calculer. En effet, le cyber-risque est souvent systémique, dans la mesure ou une faille peut toucher un très grand nombre de clients. Contrairement au risque de catastrophe naturelle, limité à une région, qui permet à l’assureur de répartir le risque entre ses différents clients et de calculer, en fonction d’un historique, un risque futur proche, une faille informatique est souvent très largement diffusée, comme le montre les exemples récents des failles Meltdown, Spectre ou <a href="https://www.krackattacks.com/">Krack</a>. Quasiment tous les processeurs, toutes les bornes wifi sont vulnérables…</p>
<p>Autre point qui rend le risque difficile à estimer : les vulnérabilités sont souvent latentes, c’est-à-dire que seule une toute petite communauté les connaît. Ainsi, la faille exploitée par le logiciel malveillant Wannacry avait-elle été <a href="https://www.francetvinfo.fr/Internet/securite-sur-Internet/pourquoi-la-nsa-est-un-peu-responsable-de-la-cyberattaque-mondiale_2191859.html">identifiée par l’agence de renseignements américaine NSA</a> (sous le nom de EternalBlue). Son existence a été révélée aux attaquants qui l’ont exploitée lorsque l’agence gouvernementale américaine a été elle-même victime d’une fuite de documents…</p>
<h2>Comment faire mieux ? Des fondamentaux encore fragiles</h2>
<p>Face au nombre croissant de vulnérabilités et aux difficultés d’y remédier, il semble indispensable de retravailler la manière dont nous architecturons, développons et opérons les services Internet. La réponse d’autres secteurs industriels a été de développer des normes et de certifier leurs produits par rapport à ces normes. Cela revient à garantir un bon fonctionnement, de manière souvent statistique. L’industrie aéronautique, par exemple, certifie ses avions, ses pilotes, et obtient de très bons résultats en matière de sécurité. Plus proches du domaine, les opérateurs téléphoniques des années 1970 garantissaient également une excellente fiabilité du réseau, avec des risques de pannes inférieurs à 0,0001 %.</p>
<p>Cette approche existe également dans le domaine d’Internet, avec des certifications telles que les <a href="https://blog.ercom.fr/criteres-communs/">critères communs</a>. Ces certifications ont souvent pour origine des besoins militaires ou de défense. Par conséquent, elles sont chères et longues à obtenir, ce qui est souvent incompatible avec la rapidité de mise sur le marché des services Internet. De plus, les normes qui pourraient être utilisées pour ces certifications sont souvent insuffisantes, ou inadaptées aux environnements civils. Pour pallier à cette problématique, des solutions ont été proposées, par exemple la <a href="https://www.ssi.gouv.fr/administration/produits-certifies/cspn/">CSPN</a> définie par l’<a href="https://www.ssi.gouv.fr">ANSSI</a>. La portée de la <a href="https://www.ssi.gouv.fr/administration/produits-certifies/cspn/produits-certifies-cspn/">CSPN</a> reste cependant limitée.</p>
<p>En complément, il faut également noter un positionnement systématique des <a href="http://www.info.univ-angers.fr/%7Egh/hilapr/histoire.htm">langages informatiques</a> en faveur de la rapidité et de la facilité de la production de code informatique. Dans les années 1970, des langages faisant le choix de la facilité plutôt que de la rigueur ont été mis en avant. Ceux-ci ont pu être source de vulnérabilités importantes. Récemment, on peut citer le cas de <a href="http://php.net/manual/fr/history.php.php">PHP</a>. Utilisé par des millions de sites Internet, il a été une des causes majeures des vulnérabilités de type <a href="http://www.01net.com/actualites/un-celebre-hacker-pirate-la-riaa-avec-de-l-injection-sql-563096.html">injection SQL</a>.</p>
<h2>Le coût de la cybersécurité, une question à ne plus se poser</h2>
<p>Le bilan strictement financier fait que la cybersécurité est un centre de coûts, qui impacte directement le fonctionnement d’une entreprise ou d’une administration. Tout d’abord, il convient de noter que ne pas se protéger revient à attirer les attaques, en devenant une cible plus facile. Il est donc, comme souvent, utile de rappeler les <a href="https://www.ssi.gouv.fr/guide/guide-dhygiene-informatique/">règles de l’hygiène informatique</a>.</p>
<p>Il est probable que le coût des failles informatiques va <a href="https://www.forbes.com/sites/stevemorgan/2016/01/17/cyber-crime-costs-projected-to-reach-2-trillion-by-2019/#46b0585d3a91">fortement augmenter dans les années à venir</a>. Et plus généralement, le coût des remèdes à ces failles va augmenter encore plus vite… On sait que le moment où une erreur est identifiée dans un code informatique <a href="https://www.isixsigma.com/industries/software-it/defect-prevention-reducing-costs-and-enhancing-quality/">influe fortement sur le coût du remède</a> : plus la détection est précoce, moins les dégâts sont importants. Il est donc indispensable d’améliorer les processus de développement, afin d’éviter que des défauts de programmation ne deviennent rapidement des vulnérabilités exploitables à distance.</p>
<p>Les outils informatiques sont également en cours d’amélioration. Des langages plus robustes se développent. Certains sont nouveaux, comme <a href="https://www.rust-lang.org/fr-FR/">RUST</a> et <a href="https://golang.org/">GO</a>, tandis que d’autres, plus anciens, sont remis en avant, comme <a href="http://kiwi.emse.fr/LANG/cours-scheme.pdf">SCHEME</a>. Ils constituent des alternatives plus solides que les langages actuellement enseignés, sans toutefois revenir à des langages aussi compliqués que le <a href="https://www.iso.org/fr/news/2013/02/Ref1707.html">langage ADA</a> par exemple. Il est essentiel de faire évoluer les enseignements afin de mieux prendre en compte ces nouveaux langages.</p>
<p>Temps perdu, données pillées ou disparues… Nous n’avons que trop tardé à prendre conscience de la perte de productivité engendrée par les cyberattaques. Il convient aujourd’hui de reconnaître que la cybersécurité contribue à la performance du monde professionnel. L’investissement dans des outils informatiques efficaces est devenu absolument critique.</p><img src="https://counter.theconversation.com/content/93551/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Hervé Debar a reçu des financements de la Commission Européenne sous le programme Horizon 2020 (H2020), de l'Agence Nationale pour la Recherche (ANR), de la Direction Générale des Entreprises (DGE) sous les programmes FUI et PIA, du conseil général de l'Essonne (programme ASTRE), de la Fondation Mines-Télécom et de l'institut Carnot TSN.
Il représente l'Institut Mines-Télécom au comité de pilotage "Confiance numérique et sécurité" du pole System@tic et à l'European CyberSecurity Organization (ECSO).</span></em></p>Le coût des attaques informatiques pour les entreprises est difficile à chiffrer précisément. Une chose est sûre néanmoins : il en constante progression. Tout comme celui des mesures de défense…Hervé Debar, Directeur de la Recherche et des Formations Doctorales à Télécom SudParis, Télécom SudParis – Institut Mines-TélécomLicensed as Creative Commons – attribution, no derivatives.