Eric Filiol, cryptologue issu du monde militaire, dirige le laboratoire de virologie et de cryptologie opérationnelles de l'ESIEA-Laval (Ecole supérieure en informatique, electricité et automatique). Au moment où, pour la troisième fois en quatre ans, des chercheurs viennent de démontrer que certains certificats électroniques peuvent être contrefaits, il commente l'évolution de la sécurité informatique.
Pourquoi cette faille essentielle dans la sécurité d'Internet n'a-t-elle pas été comblée ?
C'est le problème éternel de la sécurité : celle-ci a un coût, financier et humain. Dans le cas présent, les différentes autorités de certification, et plus généralement les industriels de l'informatique, n'ont pas jugé utile d'investir, préférant relativiser la portée des avertissements. Un laxisme dont risquent de faire les frais les utilisateurs, qui se connectent sur des sites apparemment dignes de confiance.
Espionnage, vol de données, racket : le pouvoir de nuisance des "cyberbandits" va bien au-delà du piratage des sites sécurisés. Cette délinquance électronique augmente-t-elle ?
Les cyberattaques réussies étant par définition indétectables, il est très difficile d'évaluer leur portée réelle. D'autant que les entreprises comme les banques ne s'en vantent pas, et ne déposent pas plainte tant que le préjudice n'est pas supérieur au bénéfice. Tout ce que l'on peut dire, c'est que n'importe quel bon informaticien, en n'importe quel point du monde, est une menace potentielle. Et qu'il est beaucoup plus rentable et moins risqué de pratiquer le rapt de données informatiques que le rapt d'enfant. Ou que d'aller braquer une banque.
Quelle est l'arme la plus efficace pour les pirates du Web ?
La grande menace, ce sont les "botnets" : un ensemble de machines zombies tombées sous le contrôle d'un attaquant, via un "ver" ou un cheval de Troie, et exploitées de manière malveillante. Les plus gros botnets découverts dans le monde impliquaient la prise de contrôle de trois à quatre millions de machines : avec ça, un seul pirate peut faire ce qu'il veut. Attaquer l'Estonie, par exemple, comme ce fut le cas en mai 2007. Le botnet responsable de cette cyberguerre étatique a été dirigé vers l'ensemble des serveurs estoniens, qu'il a bombardés de paquets numériques. Résultat : tous les services du pays ont été paralysés. De la même façon, une entreprise peut très bien louer les services d'un botnet pour paralyser une entreprise concurrente.
Techniquement, quels garde-fous espérer contre ces menaces ?
Aucun. Le pare-feu le plus performant ne supprimera jamais tous les risques. Quant aux antivirus, ils ne détectent que les virus déjà connus. Comme dans la vaccination médicale, ils ne font que gérer le passé. Mais la différence, c'est l'échelle de temps de la contamination : pour le virus biologique, celle-ci se compte en semaines ou en mois, pour le virus informatique en secondes. Début 2003, lorsque le ver Slammer a attaqué plus de 200 000 serveurs, la planète a été infectée en quinze minutes. La même attaque aujourd'hui prendrait une minute.
La sécurité sur Internet va donc devenir de plus en plus incontrôlable ?
Elle l'est déjà ! Et cela n'a pas que des inconvénients. Si l'on disposait de systèmes véritablement sécurisés, les malfrats pourraient les utiliser à leur avantage, et la police ne pourrait plus agir. D'où l'idée, pour les Etats, d'utiliser les mêmes outils que les pirates - virus espions par exemple - pour les repérer. De même que la démocratie est le plus mauvais des systèmes de gouvernement à l'exception de tous les autres, cette liberté informatique est la "moins pire" des solutions. Elle va poser des problèmes énormes, car ses moyens d'intervention, à la portée de tous, ont une puissance inégalée. Il faudrait pouvoir légiférer. Mais compte tenu de l'engouement suscité par Internet, de sa vitesse d'évolution et des intérêts en jeu, on ne prend pas le temps de la réflexion.
L'arme informatique est-elle devenue une arme de dissuasion ?
Le nucléaire était une arme de dissuasion parce que peu de pays l'avaient, et qu'il fallait pour l'acquérir un degré de développement technologique avancé. Sous forme informatique, tout le monde peut lancer sa bombe. Tous les ingrédients d'un scénario catastrophe (guerre économique entre concurrents ou guerre inter-étatique) se trouvent ainsi réunis. Les experts ne se demandent plus si celui-ci peut survenir, mais quand.
Peut-on limiter les dégâts ?
Eviter de tout numériser. Les virus ne lisent pas le papier, mais ils peuvent lire tout ce qui est numérisé. Résultat : on n'a jamais produit autant d'informations avec autant de risques de les perdre.
Pourquoi cette faille essentielle dans la sécurité d'Internet n'a-t-elle pas été comblée ?
C'est le problème éternel de la sécurité : celle-ci a un coût, financier et humain. Dans le cas présent, les différentes autorités de certification, et plus généralement les industriels de l'informatique, n'ont pas jugé utile d'investir, préférant relativiser la portée des avertissements. Un laxisme dont risquent de faire les frais les utilisateurs, qui se connectent sur des sites apparemment dignes de confiance.
Espionnage, vol de données, racket : le pouvoir de nuisance des "cyberbandits" va bien au-delà du piratage des sites sécurisés. Cette délinquance électronique augmente-t-elle ?
Les cyberattaques réussies étant par définition indétectables, il est très difficile d'évaluer leur portée réelle. D'autant que les entreprises comme les banques ne s'en vantent pas, et ne déposent pas plainte tant que le préjudice n'est pas supérieur au bénéfice. Tout ce que l'on peut dire, c'est que n'importe quel bon informaticien, en n'importe quel point du monde, est une menace potentielle. Et qu'il est beaucoup plus rentable et moins risqué de pratiquer le rapt de données informatiques que le rapt d'enfant. Ou que d'aller braquer une banque.
Quelle est l'arme la plus efficace pour les pirates du Web ?
La grande menace, ce sont les "botnets" : un ensemble de machines zombies tombées sous le contrôle d'un attaquant, via un "ver" ou un cheval de Troie, et exploitées de manière malveillante. Les plus gros botnets découverts dans le monde impliquaient la prise de contrôle de trois à quatre millions de machines : avec ça, un seul pirate peut faire ce qu'il veut. Attaquer l'Estonie, par exemple, comme ce fut le cas en mai 2007. Le botnet responsable de cette cyberguerre étatique a été dirigé vers l'ensemble des serveurs estoniens, qu'il a bombardés de paquets numériques. Résultat : tous les services du pays ont été paralysés. De la même façon, une entreprise peut très bien louer les services d'un botnet pour paralyser une entreprise concurrente.
Techniquement, quels garde-fous espérer contre ces menaces ?
Aucun. Le pare-feu le plus performant ne supprimera jamais tous les risques. Quant aux antivirus, ils ne détectent que les virus déjà connus. Comme dans la vaccination médicale, ils ne font que gérer le passé. Mais la différence, c'est l'échelle de temps de la contamination : pour le virus biologique, celle-ci se compte en semaines ou en mois, pour le virus informatique en secondes. Début 2003, lorsque le ver Slammer a attaqué plus de 200 000 serveurs, la planète a été infectée en quinze minutes. La même attaque aujourd'hui prendrait une minute.
La sécurité sur Internet va donc devenir de plus en plus incontrôlable ?
Elle l'est déjà ! Et cela n'a pas que des inconvénients. Si l'on disposait de systèmes véritablement sécurisés, les malfrats pourraient les utiliser à leur avantage, et la police ne pourrait plus agir. D'où l'idée, pour les Etats, d'utiliser les mêmes outils que les pirates - virus espions par exemple - pour les repérer. De même que la démocratie est le plus mauvais des systèmes de gouvernement à l'exception de tous les autres, cette liberté informatique est la "moins pire" des solutions. Elle va poser des problèmes énormes, car ses moyens d'intervention, à la portée de tous, ont une puissance inégalée. Il faudrait pouvoir légiférer. Mais compte tenu de l'engouement suscité par Internet, de sa vitesse d'évolution et des intérêts en jeu, on ne prend pas le temps de la réflexion.
L'arme informatique est-elle devenue une arme de dissuasion ?
Le nucléaire était une arme de dissuasion parce que peu de pays l'avaient, et qu'il fallait pour l'acquérir un degré de développement technologique avancé. Sous forme informatique, tout le monde peut lancer sa bombe. Tous les ingrédients d'un scénario catastrophe (guerre économique entre concurrents ou guerre inter-étatique) se trouvent ainsi réunis. Les experts ne se demandent plus si celui-ci peut survenir, mais quand.
Peut-on limiter les dégâts ?
Eviter de tout numériser. Les virus ne lisent pas le papier, mais ils peuvent lire tout ce qui est numérisé. Résultat : on n'a jamais produit autant d'informations avec autant de risques de les perdre.