Les incidents de cybersécurité font de plus en plus parler d’eux. Les médias les évoquent fréquemment, tandis que des spécialistes s’expriment, comme Guillaume Poupard, Directeur général de l’Agence nationale pour la sécurité des systèmes d’information. Cela témoigne d’un impact de plus en plus important de ces incidents numériques sur notre quotidien. La question de la protection de nos activités numériques, et de la qualité de celle-ci, se pose donc. La publicité faite autour des incidents de sécurité peut, à première vue, induire une réponse négative à la question posée.
État des lieux
Regardons donc l’évolution des vulnérabilités logicielles telle que peut la montrer la National Vulnerability Database (NVD), le site de référence du National Institute of Standards and Technology (NIST) américain.
Lorsque l’on analyse la répartition des vulnérabilités aux attaques informatiques, telle que publiée par le National Institute of Standards and Technology (NIST) américain dans les visualisations de la National Vulnerability Database, on note que depuis 2005, il n’y a pas d’augmentation significative du nombre de vulnérabilités publiées chaque année. La répartition des niveaux de risque (majeur, moyen et faible) reste également sensiblement équivalente. Il est cependant encore possible que la situation change pour l’année 2017, dans la mesure où nous ne sommes qu’à mi-année et que nous avons déjà atteint des niveaux de publication similaires à ceux de 2012.
Il convient cependant de noter que la publication d’un nombre croissant de vulnérabilités, avant 2005, est également due en partie à une plus grande exposition des systèmes et logiciels à des tentatives de compromission et des audits externes. Par exemple, Google a mis en œuvre Google Project Zero, qui recherche explicitement des vulnérabilités dans les programmes et les rend publiques. Il y a donc naturellement plus de découvertes.
Il y a également un nombre croissant d’objets, le fameux Internet des Objets, qui embarquent du logiciel, donc des vulnérabilités. L’exemple récent du réseau « Mirai » démontre la vulnérabilité de ces environnements qui comptent pour une part croissante de nos activités numériques. L’augmentation du nombre de vulnérabilités publiées représente donc tout simplement l’accroissement de nos activités numériques.
Et les attaques ?
La publicité autour des attaques n’est pas liée directement au nombre de vulnérabilités, même si elle en fait partie. La notion de vulnérabilité ne donne pas directement l’impact que cela peut avoir sur nos vies. En effet, l’effet du code malveillant WannaCry sur le système de santé britannique, en rendant inopérants certains hôpitaux et services d’urgence, peut être considéré comme une étape significative dans la nocivité de ces codes malveillants. En effet, cela a amené soit à des décès, soit à des retards de soins à une échelle jamais envisagée à ce jour.
Il est toujours facile de dire a posteriori que c’était prévisible. Il faut cependant bien reconnaître que l’usage, dans ces systèmes vitaux, de « vieux » outils (Windows XP, SMBv1), est problématique. Quinze ans, dans le monde numérique, représente 3 voire 4 générations de systèmes d’exploitation. En contraste, dans le monde physique, nous pouvons avoir des équipements de 20, 30 ans, voire beaucoup plus. Qui imaginerait qu’une voiture soit obsolète (au point d’en être inutilisable) au bout de cinq ans ? Cette différence majeure d’évaluation du temps, profondément ancrée dans notre manière de vivre aujourd’hui, explique en grande partie le succès et l’impact des attaques que nous vivons aujourd’hui.
Il convient également de noter que les attaques numériques, tant en ampleur qu’en impact, ne sont pas nouvelles. Les vers CodeRed en 2001 et Slammer en 2003 ont également infecté un nombre de machines très important et rendu inutilisable pendant quelque temps l’Internet. Seule la moindre dépendance, à ces époques, des infrastructures critiques à une connectivité permanente a limité leur impact au seul monde numérique.
Il faut préciser que les attaques les plus critiques ne sont pas celles dont les attaquants bénéficient le plus. L’attaque contre le réseau Bitcoin du Canadian Bitcoin Highjack en 2014 a permis aux attaquants de détourner cette monnaie virtuelle pour un gain financier direct sans pour autant perturber le réseau, alors que d’autres attaques similaires contre le routage en 2008 ont rendu le réseau largement indisponible, sans aucun gain financier.
Alors, qu’en est-il de notre protection numérique et de son efficacité ?
Il est indéniable que depuis de nombreuses années, des progrès très significatifs ont été réalisés dans la protection des systèmes d’information. La détection d’un nombre croissant de vulnérabilités, associée à une mise à disposition de plus en plus rapide des mises à jour, renforce continuellement la fiabilité des services numériques. L’automatisation du processus de mise à jour pour les particuliers, qui concerne non seulement les systèmes d’exploitation, mais également les navigateurs, les applications, les téléphones et les tablettes, permet de limiter le temps d’exposition à une vulnérabilité.
Par ailleurs, dans le monde professionnel, nous avons assisté à une véritable prise de conscience des risques associés aux usages du numérique, à une mise en place d’outils techniques, et également de moyens de formation et de certification, qui permettent d’envisager une sensibilisation générale de tous les utilisateurs aux risques et aux opportunités apportés par le numérique.
Comment continuer à réduire les risques ?
Après 25 ans de travaux de recherche dans le domaine, et même s’il convient de rester humble devant les risques qui sont et seront encore devant nous, je reste optimiste quant aux possibilités de renforcer notre confiance dans le monde numérique. Il semble cependant nécessaire d’accompagner tous les utilisateurs dans leurs activités numériques, afin qu’ils puissent comprendre le fonctionnement de ces services et les risques associés. La publication par l’ANSSI de règles d’hygiène informatique utilisables tant personnellement que professionnellement est un exemple significatif de ce besoin d’information et de formation. Cela permettra à chacun de faire, en conscience, les choix d’usage appropriés.
Un autre aspect, plus orienté vers les développeurs et fournisseurs de services, est d’accroître la modularité de nos systèmes. Cela permettra de contrôler l’accès à nos systèmes numériques, de les configurer plus simplement et de les mettre à jour plus facilement. Ainsi nous continuerons à réduire notre exposition au risque d’attaque informatique tout en utilisant de plus en plus largement nos outils numériques.