huyghe.fr - Le site de François-Bernard Huyghe
OK
 Sur Twitter : @huyghefb
 Comprendre les conflits : une nouvelle polémologie
 Terrorisme
 Affrontements, stratégies et images
 Information, pouvoir et usage : l'infostratégie
 Intelligence économique : du savoir à l'influence
 Pouvoirs et information
 Transmission et communication : la médiologie
 Médiologie au présent
 Médiologie de l'histoire
 Divers
 Textes à télécharger
 Huyghe Infostratégie Sarl
Information, pouvoir et usage : l'infostratégie > Pouvoirs et information
État et sécurité informatique
Un portail gouvernemental sur la sécurité informatique

Le Secrétariat de la Défense Nationale vient d’ouvrir avec divers partenaires privés et publics un site voué à la sécurité informatique et maintenu par la Direction centrale de la sécurité des systèmes d’information.Très orienté pratique et technique, ce site est comme redoublé par un avatar très pédagogique « Surfez intelligent » qui s’adresse plutôt à l’internaute alpha pour le sensibiliser et qui est, lui, animé par la Direction du développement des médias au ministère de la culture et de la communication.
Il s’agit a priori de deux bonnes nouvelles et on voit mal quoi redire à une initiative de ce type. Quant au contenu des sites lui-même, qui nous paraît à première vue clair et complet, nous laisserons de plus compétents que nous techniquement parlant en juger.
Simplement l’apparition de ces sites est symptomatique : il nous semble désormais tout naturel que l’État, voire l’Armée, s’occupe de notre sécurité informatique comme de notre sécurité physique et que le puissance régalienne nous protège autant de la cyberdélinquance que de la violence ou des délits ordinaires. Pour renverser la proposition : la délinquance informatique n’est plus un problème technique, c’est une question politique de souveraineté et de sécurité nationale. Et, même si les crimes et délits sur Internet sont, par définition, difficiles à limiter à un territoire souverain, la circulation des données et des électrons peut poser des problèmes d’ordre public.
Du reste la lutte contre la cyberdélinquance, facilement étendu à la lutte contre le cyberterrorisme qu’évoquait récemment le ministre de l’Intérieur (dans le cadre de la loi d'orientation et de programmation sur la sécurité intérieure) fait l’objet de lois et de conventions internationales ; elle est discutée dans les sommets sur la société de l’information ou par les organisations intergouvernementales.

Or la notion de sécurité sur Internet a singulièrement évolué depuis l’époque où l’idée pouvait se résumer à l’attente du prochain virus planétaire bidouillé dans un garage par un génie boutonneux. La cyberdélinquance est prodigieusement évolutive et la notion recouvre aussi bien des copies de contenus illégaux que des attaques dites "contre des infrastructures vitales" censées pouvoir plonger un pays entier dans le chaos. Pour une part c’est une réalité familière : la plupart des lecteurs de ces lignes ont sans doute été infectés par un virus, ont subi une tentative de phishing (littéralement : hameçonnage, technique qui consiste à attirer un internaute vers un site truqué, simulant par exemple celui de sa banque, pour lui faire révéler un mot de passe ou des données confidentielles) ou ont reçu des propositions fabuleuses pour retirer des millions sur un compte en banque, n’ont pas compris pourquoi leur courriel semblait avoir envoyé des messages bizarres à des adresses inconnues. Pour le moins, ils ont été victimes de pourriels (spams) ou de propositions commerciales non désirées.

Or, outre qu’il s’agit d’événements de nature et de gravité très différentes, ces expériences ne reflètent pas forcément les nouvelles façons d’attaquer sur ou via Internet. Car cette notion d’attaque reflète une logique technologique.
Qu’il s’agisse de produire un dommage sur des mémoires et des systèmes (nouvelle forme du sabotage), de s’emparer de données électroniques (pour les altérer, les copier pour leur valeur commerciale, les utiliser pour tromper…), de se substituer à un propriétaire légitime pour effectuer une commande…, il faut chaque fois penser vulnérabilité et brèche.
Le paradoxe est que les deux caractères qui ont permis la révolution Internet – le numérique et les réseaux, le premier instaurant un code universel, le second permettant la circulation de tous les contenus – sont précisément ceux qui ont fait proliférer les risques. C’est grâce à eux qu’il est possible de s’emparer de biens ( numériques comme des bases de données de valeur) ou de produire des dommages par électrons interposés.

Globalement les délits commis sur Internet font deux sortes de victimes (et souvent touchent les deux dans leur mode d’exécution). Les premières sont des cerveaux humains. La loi considère qu’il y a délit dans la mesure où, profitant de l’anonymat du Web, agissant à distance, là où, peut-être, le juge ne peut pas l’atteindre, quelqu’un a, par exemple, publié des contenus diffamatoires, des idées racistes, des propositions sexuelles pour pédophiles ou simplement envoyé des messages abusifs. Le « cerveau humain » peut également subir une tromperie : par écran interposé, on fait croire à X qu’il est contact avec telle administration ou telle autorité pour lui faire avouer son mot de passe, révéler des données confidentielles, ou encore, on lui fait miroiter monts et merveilles pour l’amener à effecteur certaines opérations qui le mettront en situation de faiblesse.

Mais les victimes sont aussi souvent des cerveaux électroniques. Le délit consiste alors casser certains codes, utiliser certains algorithmes, à faire circuler certains programmes dits « malveillants », pour amener une machine faire ce que son propriétaire légitime ne voudrait pas et qu’il ignore le plus souvent : bloquer un système, fonctionner à rebours, donner accès à des données protégées, envoyer certains messages, rentrer dans un réseau d’ordinateurs zombies obéissant à un maître unique…

Notons que dans les deux cas, la force du délinquant réside dans le choix du vecteur qui lui permet d’agir sans être identifié, de passer des systèmes de protection, de diriger des flux numériques (qui peuvent être des flux d’argent) à sa guise.


D’où ce paradoxe : tous les développements d’Internet, y compris celles qui relèvent du Web 2.0 offrent de nouvelles failles. Ainsi, les experts s’attendent à une croissance des attaques via les réseaux sociaux type Face Book, à des détournements des mondes virtuels comme Second life, à des utilisations frauduleuses des téléphones portables. Tout ce qui circule : fichiers MP3, voix passant par Internet (comme par Skype), applications hébergées est l’occasion de prises de contrôle à distance ou de circulation de contenus malveillants ou illicites… Une carte de vœux électronique, un lecteur multimédia, n’importe quelle innovation branchée et conviviale devient ainsi le média par où pénètre l’algorithme pernicieux ou par où s’échappent les données.

C’est assez logique : plus une forteresse a de portes, plus elle est vulnérable. Plus un vecteur est nouveau, moins il est protégé. Plus il y a de standards, plus l’ingéniosité des attaquants trouve à se déployer.

Pour en revenir à la question du rapport technique / politique, l’État est précisément confronté à cette question des vecteurs. Faute de contrôler (et c’est très heureux du point de vue des libertés) les contenus électroniques qui circulent dans le cybermonde. En revanche, comme il est censé réguler la circulation et l’utilisation des armes en fonction de leur degré de dangerosité, il s’efforce d’agir sur les technologies disponibles par vérification, certification parfois interdiction. L’État doit donc affirmer sa souveraineté en interdisant au citoyen d’utiliser certains moyens techniques d’agir en secret (le limitation des moyens de cryptologie pour les particuliers par exemple) et de nuire à distance. Et la puissance publique est proportionnelle au degré de sophistication technique dont disposent les individus. Une nouvelle équation à faire entrer en compte dans le contrat social.


















 Imprimer cette page