Eric Debray : « La cyber-sécurité, c’est aujourd’hui un élément capital à prendre en compte pour que la société évolue »

200 000 entreprises, 150 pays touchés et un préjudice financier à la hauteur d’une cyberattaque planétaire. L’arme du crime : un logiciel malveillant.  Quant au responsable, les hypothèses les plus folles circulent encore. Explications avec Éric Debray, fondateur de la société Mageli, qui conseille les entreprises sur leur stratégie digitale.

Que sont ces virus « ransomwares » ?

Les ransomwares, on en parle depuis un peu plus d’un an. Le principe, c’est d’installer de manière insinueuse un virus sur les ordinateurs d’entreprises et de particuliers. Et ce virus bloque l’ordinateur, c’est à dire que l’on a plus accès à ses données. Pour retrouver l’accès à ses données dans l’état initial, il faut verser une rançon, d’où cette appellation de ransomwares, un logiciel de rançon, puisque c’est vraiment la rançon, comme une prise d’otage qui permet de retrouver ses données. Cette mauvaise mode est médiatisée depuis plus d’un an. On l’a vu sur les particuliers, qui avaient un écran leur indiquant une absence de données. Récemment, les incidents de Wanna Cry ont mis en évidence, sur une échelle mondiale, ce type de risque. La question du paiement de la rançon, sachant que des entreprises peuvent etre paralysées totalement est importante … C’est un peu le mal du siècle, car cela met en évidence non seulement le fait qu’il faut payer des rançons, mais surtout, au-delà du fait de payer, que l’on peut paralyser des entreprises, un pays, ou des institutions mondiales. C’est vraiment, au-delà de l’aspect médiatique quelque chose qui est à prendre très très au sérieux.

Renault a mis à l’arrêt son usine de Douai dans le nord pendant plusieurs jours, et les hôpitaux britanniques ont aussi été touchées, que s’est il passé ?

Les risques sont énormes pour les entreprises. C’est une menace plus ce que l’on pousse les gens à payer une rançon peu élevée (environ 300$ ndlr). Ces pirates misent sur le nombre.  On l’a vu, le chantage permet de paralyser des services publics, les optimaux, et des services privés, une entreprise. On peut même créer des crises politiques rien avec ce virus, au niveau d’un pays, d’une région. Par ailleurs, on peut imaginer une série d’attentats, conjurés avec un piratage informatique. Tout cela est excessivement grave.

On peut imaginer une série d’attentats, conjurés avec un piratage informatique

Notre monde change : les entreprises, les institutions, les administrations, deviennent numérique ; la sensibilité des attaques à encore dupliqué. Un nouveau type d’attaque s’est développé :une attaque que l’on appelle DOS, c’est à dire qu’il y a eu des tentatives de piratage d’objets connectés de type caméras de surveillance. Ces objets ont créé du trafic supplémentaire, qui s’est propagé jusqu’aux serveurs de certaines entreprises. Tout cela montre, de manière évidente, que plus on se numérise, plus il est important de se protéger. Les pirates sont extrêmement ignorants dans le domaine. Malgré tout, un pirate, ce n’est plus seulement un geek qui s’amuse à pirater une entreprise, cela peut carrément être des nouvelles formes d’organises mafieuses, voire des Etats.

Ce sont des menaces extrêmement sérieuses. Ce n’est pas uniquement un chantage à la rançon, anecdotique mais déjà grave, mais c’est quasiment la possibilité d’agresser un pays, on l’a vu aussi avec tous les soupçons qui ont pesé sur l’élection américaine, sur les élections françaises. La démocratie peut aussi être remise ne cause lorsque l’on commence à pirater les systèmes informatiques au moment des élections. Les menaces sont multiples : financières, politiques, terroristes … Aujourd’hui, d’ailleurs on le voit avec le nouveau gouvernement, tout cela est pris au sérieux et cela rentre dans les axes que le gouvernement doit prendre en compte.

Quel type d’organisation peut être à l’origine d’une attaque d’une telle ampleur, y-aura-t-il moyen de remonter la piste pour identifier les auteurs de ces attaques ?

Ca n’est pas aussi facile que dans les séries américaines. Les attaques sont en général lancées de pays où il n’y a pas forcément d’accord, et où la démocratie n’existe pas. Il est difficile de savoir qui est réellement responsable : un individu, un organisme, un Etat. C’est un peu comme si on avait une guerre, mais qu’on ne sait pas qui est l’attaquant. Donc pour se défendre ou être attaqué c’est un peu compliqué.

Les technologies progressent, mais on est en train de faire évoluer les outils de protection. A l’époque de la pure informatique, on avait des ordinateurs qu’on arrivait à bien protéger, ave des attaques assez simple. Aujourd’hui, toutes les entreprises ont des objets connectés, les employés amènent leur propre ordinateur portable et leurs smartphones sont des relais d’informations. Il y a pleins de brèches possibles qui obligent à repenser différemment la protection informatique. De plus, les menaces se multiplient. On voit arriver des machines learning, ou des machines apprennent par elles-mêmes à détecter des failles, sans avoir à attendre le correctif du logiciel. Beaucoup d’évolutions dans l’analyse comportementale sont ainsi faites. Ensuite, il y a aussi des approches qui consistent à essayer de limiter la propagation d’une attaque et de détecter les risques et les dégâts qui vont être causés.

Les attaques sont en général lancées de pays où il n’y a pas forcément d’accord, et où la démocratie n’existe pas

D’après Brad Smith, le président de Microsoft, les gouvernements des pays détectent des failles de sécurité dans les systèmes d’exploitation pour leurs propres objectifs. Des données qui sont ensuite volées et utilisées par des hackers. Une référence toute faite à la NSA, peut-on s’attendre à un changement de politique ou de fonctionnement de la NSA suite à cet événement ?

La NSA va loin … Ils avaient essayé d’espionner les portables de nos présidents européens. Actuellement, nous tentons de mettre des barrières contre tout ça. Le problème, c’est que la NSA est extrêmement puissante, et dispose de moyens phénoménaux. Ce que fait la NSA, c’est écouter tout ce qui se passe partout dans le monde. Car en plus d’avoir des ingénieurs extrêmement compétents, la NSA à c’est d’énormes moyens financiers. La NSA cherche à surveiller, écouter, dans un contexte de légalité très complexe : jusqu’où peut on rester dans la légalité ? Après va-t-on les contraindre, c’est compliqué, du fait de leur puissance financière.

Il faut trouver des moyens de se protéger : effectivement il y a des Etats amis qui se surveillent, ce qui est très fréquent dans de pays, et puis il y a des Etats qui sont des ennemis, et qui, eux, en plus d’écouter, veulent aussi pirater et attaquer. Ce sont deux choses distinctes. La NSA peut nous surveiller pour savoir un peu ce qui se passe chez nous, action assez basique, mais qui, dans des cas extremes, peut mener à la paralysie d’un pays, suite à une attaque.

Peut on apporter une réponse mondiale à cette attaque ? Une diplomatie de l’Internet doit elle émerger ?

Il a des volontés. En tout cas, au niveau européen, il y a des volontés de travailler plus ensemble, justement parce que on s’aperçoit qu’avec internet il n’y a pas de frontières, et donc la propagation se fait à un niveau important. Déjà au niveau européen je pense qu’il y a des avancées qui vont se faire. C’est aussi le role des constructeurs, qui ont des failles dans leur système qui doivent être identifiées et corrigées rapidement. Il y a un aspect légal à définir, donc, mais il y a aussi des avancées, pas seulement sur la sécurité, mais aussi sur fameuse GDPR, la réglementation européenne sur la protection des données personnelles. Là ca n’est pas un problème de sécurité, mais un problème légal de la manière dont les données doivent être gérées.

En ce qui concerne le volet sécuritaire, il faut accepter de partager un certain nombre d’informations, et sa technologie aussi. Le FBI à eu beaucoup de mal à avoir accès au code du téléphone Apple après la fusillade produite par un terroriste l’été dernier. A cela s’ajoute aussi les messageries cryptées qui sont utilisées par les terroristes. Au final, c’est toute la difficulté entre le respect de la vie privée, de la liberté, et la volonté de pouvoir avoir de l’information pour se défendre et faire marcher la démocratie. C’est assez subtile … La protection de la technologie, c’est aussi un marché. Les cyber attaques sont un énorme marché, qui existe maintenant, et les entreprises se mettent là dessus, et vendent leurs technologies pour se protéger.

En tant que particuliers, doit-on craindre ces attaques. Par exemple, demain je serais dans une voiture autonome, est-ce que je peu avoir peur que ma voiture autonome soit contrôlée par un individu à 300 kilomètres de ma voiture, qui, sur son ordinateur prend le contrôle de l’ensemble des fonctions de mon véhicule.

Il y a eu des exemples réalisés, où des pirates avaient réussi à contrôler une voiture, mais ce sont des contestations particulières. Maintenant c’est vrai que les constructeurs doivent prendre un certain nombre de mesures pour garantir cela. Pour qu’une voiture automne puisse être considérée comme fiable, il est clair qu’ils doivent prendre des dispositions pour assurer la sécurité. Aujourd’hui, on parle de voiture connectés et plus globalement d’objets connectés. On est dans une industrie numérique. La cyber-sécurité, c’est aujourd’hui un élément capital à prendre en compte pour que la société évolue. Il est impossible de revenir en arrière. Alors, il faut prévenir, limiter les dégâts, compartimenter les actions.

La cyber-sécurité, c’est aujourd’hui un élément capital à prendre en compte pour que la société évolue

C’est un environnement, mais c’est un environnement envers lequel j’ai confiance : il y aura toujours des piratages. Il faut simplement limiter le risque au minimum. Les constructeurs vont faire cela, de manière à ce que effectivement, si jamais il y a avait un piratage, on en limite la portée.

Aujourd’hui, tout est connecté. Le particulier doit aussi apprendre à se protéger : les mot de passe, les e-mails indésirables … Il y aura aussi un peu d’éducation à faire, et il va falloir que l’on durcisse davantage les systèmes embarqués ou autonomes, et puis sans doute, pour, nous générations à venir, c’est aussi l’éducation dans le comportement numérique.

18 ans, Etudiant en première année de relations internationales, passionné par l’actualité depuis le plus jeune âge.
Créateur de C L’Info

Laisser un commentaire