A l’initiative de l’Institut Diderot, chercheurs et professionnels du numérique se sont donné rendez-vous pour évoquer les prochains sujets chauds de l’actualité de la sécurité.
C’est à l’occasion d’un rendez-vous avec des responsables du monde scientifique que la revue Prospective stratégique a organisé une discussion autour de l’avenir de la cyber-sécurité. Une sorte d’échanges de propos à bâtons rompus. Morceaux choisis.
Première pierre d’achoppement, la difficulté d’établir un chiffre de la cyber-criminalité avec des critères objectifs et vérifiables. La question de savoir quantifier le « chiffre noir » de la cyber-criminalité. Nicolas Arpagian, rédacteur en chef de Prospective stratégique ouvre le débat : « Il est plus que difficile d’obtenir les chiffres de la cybercriminalité. Seuls les éditeurs rapportent des chiffres mais ils sont aussi vendeurs de solutions de sécurité. Il est donc compliqué d’obtenir des chiffres corrects et globaux. »
Une fois le propos initié arrivent des thématiques tout aussi prégnantes. La question fut alors posée de savoir quelle politique pourrait être adoptée autour de la question de changement d’une adresse IP pour des raisons de sécurité. Entre les changements d’adresse censés protégés des blogueurs recherchés par leur gouvernement (en Chine par exemple) et la même méthode utilisée pour la diffusion de botnets, la problématique reste entière.
Enfin, la thématique de la surveillance des réseaux arrive dans le débat. Alors que la Chine a adopté la méthode du « bouclier d’or », à savoir l’organisation du repérage des mots-clés, les Etats-Unis se sont attelés à développer le système Echelon. A la loupe, le Réseau Echelon désigne le système mondial d'interception des communications privées et publiques entre les Etats-Unis, le Royaume-Uni, le Canada, l’Australie et la Nouvelle-Zélande. L'analyse de Nicolas Arpagian sur le sujet Echelon est symptomatique de l'efficacité des systèmes de surveillance. « Le système Echelon n’a pas réussi à empêcher le 11 septembre, déclare-t-il. On peut penser que les terroristes ne s’envoient pas d’e-mails mais enregistrent simplement leurs messages. Ensuite, ils s’échangent le mot de passe pour se connecter à une boite mail et lisent le message. Ce dernier n’a jamais été envoyé et est donc plus que difficilement repérable. »
Enfin une attaque en règle du Cloud computing a été faite. Pour preuve, la récente attaque menée contre les services EC2 d’Amazon. Pour la première fois, les services en nuage d’Amazon Web Services on été clairement touchés par une menace extérieure, le botnet Zeus. La méthode utilisée par les hackers serait plutôt simple dans le sens où ils auraient réussi à s'introduire sur l'infrastructure d'Amazon après avoir dérobé un mot de passe administrateur d'un site hébergé sur EC2…
Subsistent alors nombre d’interrogations telles que l’adéquation entre monde professionnel et du Libre dans l’innovation technologique, ou encore le décalage patent entre les avancées technologiques en matière de sécurité et les législations successives. Autant de thématiques qui nécessitent, pour les approfondir, plus d’une matinée.
.
Olivier Robillart