Failles et fragilité du monde numérique, Francis Velain*

Nous nous étions presque habitués au vol de données, au piratage des courriels et des sites, aux réseaux rendus inaccessibles et aux escroqueries bancaires 2.0. Les 12 et 15 mai 2017, nous avons changé de dimension !

*Francis Velain est ingénieur informaticien


ÉTRANGE ATTAQUE
Plus de 200000 ordinateurs dans 150 pays furent victimes du virus WannaCry. Ce virus rendait les données inutilisables en les cryptant, selon un code secret inconnu, et affichait une demande de rançon à payer en bitcoins. Renault Douai fut paralysé, des hôpitaux britanniques durent user du papier et du crayon pour assurer le suivi administratif des patients… Cette attaque a reposé sur des logiciels piratés dans une officine de la NSA en avril 2016 par les autoproclamés Shadow Brokers (les « courtiers de l’ombre »). La « revendication » de 300 dollars, 600 au-delà de trois jours, était dérisoire à l’échelle des enjeux économiques : perte des données, temps d’immobilisation de l’outil de travail. L’attaque, la veille de la pause hebdomadaire de l’activité économique, témoigne presque d’un souci pédagogique. Nous avons entrevu la cyberguerre. Pas simplement une nouvelle forme d’espionnage : un moyen de provoquer le chaos dans l’outil de production, les services de secours, les transports… En 2010, le « ver informatique » Stuxnet avait paralysé les automates des centrifugeuses du programme nucléaire iranien. WannaCry a démontré que toutes les économies du monde peuvent être touchées « informatiquement ». La « violence d’État » peut en être la source, à côté d’autres (on pense aux organisations mafieuses).

CONSIDÉRATIONS POLITIQUES
Les cryptomonnaies, tel le bitcoin, sont des monnaies privées et constituent un mode de transaction électronique, sécurisé et alternatif. Elles reposent sur la blockchain, une organisation distribuée (répartie) du réseau et des enregistrements cryptés et dupliqués des échanges (1). Les « courtiers de l’ombre » ont usé de la blockchain et du bitcoin pour se faire payer leur rançon parce qu’ils peuvent y blanchir 3.0 leur argent, dans une relative sécurité et facilité. D’autres pirates, tout autant à l’abri du cryptage et de la blockchain, savent d’ores et déjà fabriquer de la fausse cryptomonnaie. Il faut donc ouvrir sérieusement le débat politique sur les cryptomonnaies, protégées peu ou prou des contrôles judiciaires et régaliens par le miracle des technologies numériques. Tant pis pour Hayek, grand libéral militant pour des monnaies privées. La technologie et les machines ne valent que par les finalités de la société qui les met en oeuvre. Tant pis donc pour ceux qui ne veulent voir dans la blockchain qu’une « architecture distribuée à même de répondre aux vulnérabilités (sécurité, sûreté, disponibilité, etc.) et aux contraintes (coûts) des tiers de confiance inhérents aux architectures centralisées, tout en favorisant une utilisation éthique des données au service de nouveaux usages (ledger, en anglais) et les mécanismes de l’algorithme de consensus par une référence directe à la théorie des jeux » (2). De toute façon, la blockchain se heurte aux mêmes problèmes théoriques et pratiques que tout logiciel voué à des enjeux de complexité mathématique et de sécurité logicielle (3). La nature libre ou pas du logiciel ne change pas la donne. Il faut aller jusqu’à nous interroger sur le cryptage ! Certains font du droit au cryptage un droit individuel, la clé suprême de la liberté individuelle. Les « courtiers de l’ombre » en ont fait un moyen de prise d’otages 3.0 (4). Par quoi passent réellement la liberté et la confidentialité des communications, la libre entreprise, le droit à la vie privée ? Jusqu’où le libre individu et la libre entreprise peuvent-ils échapper à une maîtrise démocratique de l’usage de leur liberté ? Les hommes du XXIe siècle ont plus que jamais besoin d’assurer politiquement la cohésion de la société. L’état de la science et de la technologie ne fait que conforter une vieille évidence. Il faut penser la fragilité du monde numérique au regard de notre vision de l’homme et de la société.

PENSER LA FRAGILITÉ DU MONDE NUMÉRIQUE
L’attaque du 12 mai confirme que les logiciels ont toujours des failles de sécurité et que les réseaux sont un fabuleux moyen de diffusion des virus informatiques. Elle révèle le caractère cybernétique de notre monde (5). La rétroaction et l’interaction caractérisent les forces productives de l’homme moderne. Coupez cette rétroaction, ces interactions… et le monde des hommes s’arrête dans une large mesure. Le danger grandira avec le développement des objets connectés. Les machines industrielles menacent l’homme du fait de la puissance des forces naturelles qui y sont instrumentalisées. Les machines cybernétiques menacent l’homme par leur puissance de calcul qui contrôle tous les moyens de travail aux plans financier, administratif, industriel et des services publics, y compris ceux assurant les secours. Il n’est question ni de fermer les yeux sur ces enjeux ni de tourner le dos aux perspectives offertes par les forces productives modernes pour le projet d’émancipation de tous les hommes. Il faut adapter le travail à de nouveaux défis qui renvoient à quelques problématiques singulières du monde numérique. Il faut assurer la sûreté des forces productives. Le matériel (hardware) restera toujours une voie de passage. La sécurité des mots de passe ne relève pas seulement de la science des nombres premiers et du cryptage, elle relève aussi de problématiques bien humaines. « L’authentification biométrique promet d’améliorer la sécurité des smartphones, mais elle n’est pas une panacée : deux chercheurs américains viennent à nouveau d’en faire la démonstration, en bernant des téléphones Samsung et Huawei à l’aide d’une simple imprimante à jet d’encre. (6) » De même, chacun peut hacker le fameux iPhone que le FBI prétendait ne pouvoir investiguer (7). Concernant l’attaque du 12 mai, la faille de sécurité fut révélée publiquement début 2017. Elle fut corrigée dès le 14 mars, y compris pour Windows XP. Microsoft fut donc plus rapide à corriger la faille que les hackers à développer leur attaque. L’enchaînement des dates conforte d’abord l’idée d’un besoin de renforcer le potentiel de sécurité informatique dans les entreprises. De ce point de vue, Renault et d’autres ne sont pas sans reproche (8) ! Il faut néanmoins mesurer que la sécurité informatique est seulement un bouclier. Elle ne protégera jamais de tout. L’ordinateur est par essence vulnérable au détournement. C’est la face obscure de son universalité que nous apprécions tant en changeant d’application sur nos PC, en photographiant, en payant, en nous localisant avec nos téléphones, en rêvant à l’« intelligence » artificielle. Il faut toujours que la structure matérielle de cette machine permette de télécharger le logiciel d’une manière ou d’une autre. On ne peut se passer du fameux ruban de la machine de Turing, et c’est le chemin qui mène le vers au fruit. Avec le réseau, ce fameux ruban est désormais partagé par tous les appareils connectés.

PROGRAMMER « SANS FAILLE » ? Y FAIRE FACE ?
Les éditeurs de logiciels recourent largement à l’empirisme de l’usager pour débugger leurs codes. Les fameux rapports d’erreurs que les PC envoient aux éditeurs de logiciels en témoignent. Entre gens bien intentionnés, le procédé est finalement gage d’amélioration. Mais aucune loi n’empêchera une personne malveillante, une organisation quelconque, de chercher de ce côté-là pour de tout autres raisons. Que le code source soit libre ou pas, le code est accessible. «Nous sommes capables de faire du reverse engineering (9) sur le code une fois qu’il est compilé » (10) avec quelques moyens, dont certains sont tout à fait légaux car nécessaires aux mises au point. Le grand défi est : Comment programmer « sans faille ». Cela renvoie en partie à la difficulté de tester de manière exhaustive les logiciels. L’industrie du test logiciel est encore un besoin sous-estimé. Les failles de sécurité sont toujours possibles, que le code soit libre ou pas ; le vrai problème est qui les trouve et ce qu’il en fait. La faille utilisée lors de l’attaque du 12 mai était déjà présente dans Windows XP. La NSA la connaissait donc depuis longtemps. Jamais elle n’en informa Microsoft. Elle en a au contraire joué avant de se faire elle-même étrangement pirater. La législation états-unienne a déployé quelques règles à méditer. Le gouvernement y joue un rôle trouble : « Le VEP est le mécanisme par lequel le gouvernement des États-Unis décide, parmi les vulnérabilités logicielles qu’il découvre, celles qui seront transmises aux fournisseurs du logiciel pour le patch et celles qu’il utilisera dans ses propres efforts de piratage pour recueillir des signaux d’intelligence. (11) » Tout ici est question d’analyse : quel risque fais-je prendre à mon économie, voire à l’économie mondiale, si je garde secrète une faille logicielle que je peux exploiter tant qu’elle reste inconnue et non corrigée ? Du côté des entreprises, certaines pratiques relèvent d’une étrange naïveté. Ainsi cette tendance à prévoir de douteux logiciels enregistrant, par exemple, tout ce qui est frappé au clavier, donc les mots de passe. Récemment sur des PC HP ! «Mike Nash, vice-président d’HP, a reconnu le problème, expliquant que la fonctionnalité avait été “ajoutée par erreur”. Selon lui, elle n’était pas censée être “déployée sur les modèles commerciaux”. (12) » Les routeurs chinois furent en 2012 soupçonnés de renseigner le gouvernement chinois ; puis, en 2016, des Firewall de l’étatsunien Juniper (dispositifs de sécurité pour les réseaux) révélèrent contenir étrangement un code et un générateur de nombres aléatoires de la NSA (13). Difficile donc de maîtriser ce que font désormais réellement nos calculateurs ! (14)

UN PROBLÈME COMMUN ET POLITIQUE
Du point de vue de l’état de l’art du développement logiciel, il faut progresser. Les failles informatiques sont un lourd fardeau commun. Il faut savoir s’en débarrasser ensemble aussi vite et autant que possible. C’est un vrai défi aux plans techno logique et scientifique, avec une dimension politique singulière dans notre monde libéral de concurrences économiques mondialisées. Pour les entreprises, le droit à l’avantage concurrentiel y est sacré ! Leur modèle économique est un choix non pas de valeurs mais d’intérêts. Les unes et les autres entendent d’abord s’assurer des positions concurrentielles et des revenus. De plus, la sécurité informatique est toujours un coût, qu’il s’agisse de vérifier la sûreté des logiciels lors de leur développement ou de mettre en place des mesures de protection et de surveillance des menaces. Il faut faire de la sûreté informatique un problème à partager sans s’en remettre aux seules entreprises pour y veiller, car elles partagent avant tout le souci de réduire le « coût du travail », de faire profit. Pour le reste, il faut aussi en appeler au débat politique. Il ne faut pas confondre les menaces liées à la délinquance, aux organisations criminelles, celles que les États peuvent eux-mêmes développer contre leurs citoyens ou d’autres pays, et celles que font peser les entreprises par leurs choix et pratiques de développement et de maintenance des matériels et des logiciels, leur collecte et usage des données personnelles. Même si parfois d’étranges convergences sont manifestes. Les intérêts économiques de certains ne doivent pas, en tout cas, être opposés aux besoins de la base industrielle, d’infrastructures, de qualifications et de recherche nécessaire à la préservation de la souveraineté de chaque pays.

(1) Il faut donc différencier la proposition politique de monnaie virtuelle, privée, et la blockchain, technologie informatique se prêtant à l’enregistrement de données pour toute activité humaine nécessitant des échanges, des contrats, des enregistrements de droits, etc.
(2) En parallèle à l’attaque du 12 mai, une autre cyberattaque avait lieu, plus discrète bien que reposant sur la même faille. Chaque machine infectée créait de la fausse cryptomonnaie « Monero » (http://www.zdnet.fr/actualites/faillewindows-apres-wannacry-voici-adylkuzz-specialiste-du-cryptomining-39852564.htm).
(3) François Stephan, Institut de recherche technologique (IRT) SystemX, l’Usine digitale (http://www.usine digitale.fr), 17 février 2017.
(4) http://la-rem.eu/2017/02/01/de-linviolabilite-dune-blockchain/
(5) Les pirates ont bien progressé depuis 1989. Ce type de virus était alors transmis à travers des disquettes, mais tracer le versement de la rançon restait simple (http://www.lematin.ch/high-tech/web/Le-rancongiciel-refaitsurface/story/16058133). Ce type d’attaque se fit ensuite via les courriels et les navigateurs Web au début de la décennie : (http://www.interieur.gouv.fr/Archives/Archives-des-actualites/2015-Actualites/Cryptolocker-une-prise-d-otages-en-2.0 et https://stopransomware.fr/).
La nouveauté de l’attaque de mai 2017 réside dans la stratégie d’infection au coeur de réseaux censés être protégés, et le mode de versement de la rançon.
(6) Voir Ivan Lavallée, Cyber Révolution, éd. Le Temps des cerises, 2002.
(7) L’usine digitale, 8 mars 2016.
(8) Sergei Skorobogatov, Computer Laboratory, University of Cambridge, Royaume-Uni (https://arxiv.org/ftp/arxiv/papers/1609/1609.04327.pdf).
(9) Outre le patch de Microsoft, des chercheurs avaient développée des outils pour repérer le malware exploitant la faille utilisée le 12 mai (http://blog.binaryedge.io/2017/04/21/doublepulsar/).
(10) Le logiciel est initialement écrit dans un langage dit « de haut niveau ». Ces sources sont ensuite converties en code machine, en code (objet) binaire (une suite de 0 et de 1) qui, téléchargé, commande le hardware. Le reverse engineering consiste à reconstruire le code source à partir du code binaire chargé dans l’appareil.
(11) Eugène Kaspersky, l’Usine digitale, 15 mars 2017.
(12) Ben Buchanan, Stuart Russell, Michael Sulmeyer, « The Real Lesson from the WannaCry Ransomware » 12 mai 2012 (https://www.lawfareblog.com/real-lesson-wannacry-ransomware).
(13) http://www.cnetfrance.fr/news/hp-un-pilote-enregistrait-la-frappe-des-claviers-de-nombreux-pc-39852378.htm
(14) https://www.nextinpact.com/news/98011-juniper-se-debarrassera-code-developpe-par-nsa-dans-six-mois.htm?skipua=1

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s