18.3.2009, Propos recueillis par Carole Pirker
Spécialiste en sécurité de l'information (HEC Lausanne), Solange Ghernaouti-Hélie nous offre un regard critique sur la sécurité informatique. Entretien intégral.
Aujourd’hui, pour les internautes, les menaces ne visent plus seulement les équipements, elles visent aussi leurs données personnelles, les informations transmises et les transactions effectuées.
L’usurpation d’identité (phishing) et le vol de données sur Internet sont en constante hausse. En faisant main basse sur les données individuelles des internautes pour leurrer et frauder en toute impunité, les cybercriminels évitent surtout de devoir endosser la responsabilité des actes délictueux qu’ils commettent. En se faisant passer pour une entité connue de l’internaute (sa banque, le gestionnaire de son service de messagerie, etc.), les criminels obtiennent tout ou partie de ses données personnelles (identité, mots de passe, numéro de compte des internautes), pour commettre ensuite des actes illicites au nom des victimes dont ils ont volé l’identité. Si l’action fait l’objet de poursuites judiciaires, l’identification du véritable malveillant sera impossible et l’internaute, dont l’identité aura été usurpée, en sera tenu responsable!
A combien s’élèvent les dégâts liés à ces fraudes en Suisse?
Nous n’avons pas de chiffres pour la Suisse. Il est donc difficile d’en estimer l’ampleur. Cela dit, au niveau international, le taux de délits dénoncés serait autour de 20%. Ce chiffre très bas s’explique ainsi : les entreprises, comme les personnes victimes d’attaques ou de fraudes sont la plupart du temps impliquées à leur insu (logiciels espions). De plus, il n’est pas toujours facile, pour une victime, de dénoncer un délit ou un crime, parfois par peur du ridicule, pour ne pas nuire à l’image de marque (d’une personne, d’une entreprise), et parfois du fait du sentiment d’inutilité de la démarche, ou encore de la complexité de celle-ci. La Centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI de la Confédération suisse, à Berne, met à disposition des formulaires pour annoncer les délits et publie régulièrement un point de situation sur les incidents dénoncés.
Comment se protéger lors de transactions financières ou de téléchargements?
Il n’existe hélas pas de protection absolue. En revanche, des moyens techniques comme les protocoles de communication, qui chiffrent les données transmises sur le réseau, permettent une transmission sécurisée des données. Tous les opérateurs de transactions commerciales ou bancaires y ont recours. Cela dit, cette méthode n’est pas infaillible non plus. Attention aussi lors de téléchargement de données, car il n’y pas moyen de savoir si elles contiennent un virus, par exemple, surtout si l’on ignore qui en est l’auteur. En principe, tous les logiciels, services ou données que l’on peut télécharger gratuitement contiennent des outils qui permettent de pirater la machine de l’utilisateur. Tout ce qui est trop beau pour être vrai constitue généralement un appât pour infecter la machine des internautes !
Les solutions de sécurité Internet sont-elles vraiment « la » solution? Les pirates n’ont-ils pas toujours une longueur d’avance?
Comme toute solution informatique, les solutions de sécurité peuvent êtres contournés ou mises à mal. Ce n’est donc pas parce qu’on a installé un logiciel de sécurité (firewall, antivirus, chiffrement, etc.) qu’il s’agit d’une protection contre tous les types d’attaques possibles. Certes, si cet outil est bien utilisé et mis à jour, il renforce la protection du système, mais le niveau de sécurité obtenu n’est que relatif. Les solutions de sécurité répondent, à un moment donné, à un problème spécifique ; mais le savoir faire criminel évolue.
La multiplication de ces fraudes a entraîné la méfiance des internautes vis-à-vis du commerce en ligne. Comment restaurer la confiance du consommateur?
Je ne suis pas sûre que le consommateur, avant la médiatisation de tous les problèmes, ait réellement eu confiance dans le e-commerce. Quoi qu’il en soit, il n’a aucun moyen de vérifier la qualité de sécurité du système. Il est donc obligé d’avoir confiance s’il souhaite utiliser le e-banking. Le seul choix qui lui reste est un non choix : ne pas faire de transactions financières sur Internet!
Au fond, à qui profite cette économie cachée de la malveillance?
Si la criminalité profite en premier à ceux qui la commanditent, qu’ils soient des criminels isolés ou en bandes organisées, ne sous-estimons pas le bénéfice pour les entreprises légales, qui savent tirer parti de l’insécurité. Les fournisseurs d’anti-virus, d’anti-spams, les vendeurs en conseils, solutions et produits de la sécurité informatique n’ont jamais été aussi nombreux et le marché de la sécurité est en pleine expansion !
Il y a aussi ceux qui instrumentalisent la peur et qui commanditent, par exemple, des attaques, pour faire ensuite voter des budgets sécurité, pour déstabiliser, manipuler, vendre, ou corrompre des processus de décision. Sans compter ceux qui bénéficient directement du surplus de trafic généré par le spam (opérateurs, fournisseurs de capacité ou d’infrastructures), ou ceux qui profitent du blanchiment d’argent réalisé via Internet. Et que dire enfin de ceux qui profitent de l’espionnage industriel réalisé via Internet, ou de ceux qui tirent un bénéfice des actions de déstabilisation de l’image d’un pays ou de l’arrêt des serveurs gouvernementaux?
Pourquoi cette criminalité est-elle possible?
Parce que nous sommes devenus dépendant des technologies de l’information et que personne (distributeurs, fournisseurs) ne veut supporter le coût de la sécurité. C’est plus rentable pour eux que les coûts soient supportés par les consommateurs (achats supplémentaires de formation, de produits, remplacement du matériel infecté, etc.) ou par la société (coût de fonctionnement des instances de justice et police, notamment)
Cette criminalité est aussi devenue possible par la numérisation de l’information. En effet, l’information numérique est fragile, il n’y pas d’original, elle peut être copiée à l’infini. Ces nouvelles technologies (outils, services, le matériel, le logiciel) comportent ainsi des failles exploitées par les malveillants. La dématérialisation des acteurs augmente aussi le risque de vol des données ou de vol d’identité. Il y a aussi la spécificité du réseau Internet, qui permet de mettre en relation systèmes, données et personnes. De ce fait, ces ressources se retrouvent ouvertes sur le monde extérieur ; elles deviennent des cibles potentielles accessibles au monde criminel. Ainsi, plus le nombre d’utilisateurs et de système raccordés à Internet augmente, plus le nombre d’attaques augmente! Il s’agit en fait d’un problème complexe impliquant des dimensions politique, économique, légale, technologique, humaine.
Que dit la loi suisse sur la fraude sur Internet? Le politique lui donne-t-elle selon vous les moyens d’agir?
Sans vouloir m’aventurer trop sur le terrain « légal », la distinction existe entre l’obligation de moyens et l’obligation de résultats. Concernant le devoir de protection contre des escroqueries ou celui des fraudes électroniques, je crois que nous ne sommes actuellement dans aucun de ces stades.
La criminalité sur Internet représente un défi de taille pour le système suisse de poursuite pénale, fortement marqué par le fédéralisme.
En effet, lutter efficacement contre la cybercriminalité requiert une volonté politique forte, une mobilisation de tous les acteurs (publics et privés), une certaine organisation, ainsi qu’une grande collaboration au niveau cantonal et fédéral. Au regard des enjeux de la lutte contre la criminalité, j’ose penser que cette collaboration puisse être efficiente malgré le fédéralisme, pour le bénéfice de toute la société et pour la stabilité économique du pays.
Effectivement, on peut penser que, au niveau suisse, se retrouvent les mêmes types de problèmes qu’au niveau international lorsqu’il s’agit de collaboration entre les pays. Il faut contraindre cette collaboration au-delà de la déclaration d’intention, et la sous-tendre par des directives fortes largement reconnues et adoptées. Dans l’absolu, la collaboration nationale, en Suisse, ne devrait pas poser trop de problèmes, et chacun devrait pouvoir se mobiliser pour travailler ensemble à la réalisation d’un objectif national commun.
Quel risque encourt la Suisse si elle devait rester dans l’attentisme?
Il y a plusieurs niveaux et types de risques.
Au niveau local
Tout d’abord, il existe le risque qu’il n’y ait pas de service en ligne disponible, du fait de l’absence de sécurité ou de la criminalité, ce qui obligerait à repenser les services de proximité au client : réouverture de guichets, personnel compétent, disponibilité de ces services sur des tranches horaires étendues. C’est ce propose Internet: pouvoir obtenir un service (une information) n’importe où, n’importe quand, à partir de n’importe où. Réinstaurer de la réalité du monde réel, avec de vraies personnes qui entrent en communication, en relation dans un souci de réalisation de service personnalisé et de qualité, je ne suis pas sûre que cela soit préjudiciable pour le consommateur.
En revanche, il y aura toujours des transmissions électroniques à partir de ces guichets réels vers des systèmes informatiques. La transmission devra bien sûre être sécurisée – mais cela sera de la responsabilité du fournisseur de services et de non de l’utilisateur final, le consommateur. Ce dernier aura en cas de problème les moyens de se retourner contre une institution qu’il connaît, avec laquelle il a passé un contrat de services.
Au niveau international
Le risque d’une politique attentiste serait peut-être un risque d’image si la Suisse est perçue comme étant un paradis digital (un paradis digital est l’équivalent pour Internet du paradis fiscal) ; soit un pays ou le crime informatique n’est ni puni ni poursuivi, ce qui n’est clairement pas le cas. La Suisse joue le jeu de la coopération internationale, dispose d’infrastructures et de capacités pour lutter contre la cybercriminalité. Elle n’a jamais été montrée du doigt par la communauté internationale sur cette question-là!
Pourquoi ne pas saisir la dimension « d’opportunité » du risque?
Plutôt que d’alimenter une course aux contre-mesures (de sécurité), souvent perdue d’avance, pourquoi ne pas en effet s’arrêter pour réfléchir à la signification de notre dépendance aux technologies de l’information et de la communication? Il ne faut pas oublier à cet égard que la notion du « plus de sécurité » se traduit le plus souvent par moins de liberté pour le citoyen « innocent »! S’il convient de lutter contre la criminalité, il ne s’agit pas pour autant de perdre en liberté individuelle, en libre arbitre, en respect de l’intimité, qu’elle soit numérique ou réelle.
Savoir-faire suisse
N’allons donc pas trop vite dans l’adoption dans l’urgence de mesures juridiques ou technologiques inefficaces du point de vue de la sécurité du citoyen, et de la protection des biens et des valeurs, mais mettant à mal les valeurs démocratiques et les droits fondamentaux. Ne sous-estimons pas la volonté de certains pays ou acteurs (les plus forts) à vouloir nous imposer leur manière de réaliser la sécurité, leurs lois, justement parce que le problème paraît important à résoudre rapidement. La tentation est en effet forte d’adopter dans l’urgence un savoir faire étranger. Celui-ci dépossèderait pourtant la Suisse de sa compétence, de son autonomie, de sa capacité à se déterminer en fonction de sa culture, de son savoir faire spécifique de son contexte, et au final, de sa souveraineté.
Ne pas devenir l’otage des technologies de l’information, encore moins des solutions de sécurité (légale ou technologique) imposées par d’autres (soi-disant pour notre bien et le bien de la planète), est une obligation. L’attentisme dans ce cas, peut alors constituer une bonne étape dans la voie de la résolution du problème (made in Switzerland) ! S’il permet d’éviter de répéter les erreurs des autres, de dépenser des efforts inutilement, d’adopter des solutions pires que le mal, je dirai que finalement l’attentisme a du bon sur le long terme!
Par ailleurs, je ne suis pas si sûre que la Suisse soit en retard par rapport aux pratiques courantes dans d’autres pays équivalents. Il ne faut pas croire que l’herbe est toujours plus verte chez le voisin ! Souvenons nous que la loi pour la confiance dans l’économie numérique en France (LCEN-2004) n’a pas spécialement contribuée à l’essor du commerce en ligne, ni à maîtriser la cybercriminalité!
Faut-il faire payer à l’utilisateur sa propre sécurité?
La réponse est résolument non ! Développer une culture informatique est certes nécessaire afin de ne pas devenir une victime « facile » pour un cybercriminel. Cela dit, la sécurité est l’affaire de tous et en premier lieu de ceux qui fournissent des services via Internet, des fournisseurs de produits, de solutions, d’équipements et autres intermédiaires techniques. La cybercriminalité et sa composante de sécurité (l’autre facette de la médaille) ne relève pas exclusivement de la capacité pour un consommateur à utiliser un ordinateur ou un réseau, qu’il ne peut pas contrôler, même s’il est formé! Il faut contraindre les fournisseurs de solution à prendre leur responsabilité au regard du risque criminel.