Données numériques partie 1 : 2014, « le casse du siècle » ?
De Gemalto à Sony en passant par eBay, TF1 et même des stars hollywoodiennes. Les gros titres faisant état de piratages de données se suivent mais ne se ressemblent pas. Aux commandes, des hackers animés par des enjeux parfois politiques, parfois plus triviaux. Ou tout simplement stimulés par l’appât du gain. Plus troublant encore, les services de certains gouvernements y auraient copieusement recourt. Des services qui ne s’embarrasseraient pas toujours de la légalité de leurs manœuvres. Ce phénomène n’est bien évidemment pas nouveau. Mais ne va pas en s’atténuant. 2014 fut-elle l’année du « grand détournement » ?
Comment est-on passé d’un terrain de jeux pour jeunes hackers idéalistes à « l’un des principaux domaines de la fraude et du crime » ?
C’est ainsi qu’un expert de la cybercriminalité britannique, cité pat Xavier Raufer dans son ouvrage Cybercriminologie, définit aujourd’hui « l’univers cybernétique ».
Le criminologue tente de démontrer dans son essai, « comment notre société hyper-connectée a donné naissance à un cyber-monde où prolifèrent hackers, mafias du net russes, chinoises ou iraniennes et hacktivists libertaires exploitant les failles de nos systèmes informatiques. »
Un constat sévère mais non moins réaliste de ces cybermenaces qui touchent aussi bien les multinationales que le citoyen ordinaire. « Sans parler de la surveillance omniprésente des États comme l’affaire Prism l’a révélé. »
Ainsi, en 2014, l’Identity Theft Resource Center a recensé « 761 failles de sécurité de données qui ont impacté plus de 83 millions d’enregistrements dans toutes les régions et tous les secteurs d’activité, la distribution B2B et B2C totalisant à elle seule 79,2 % des violations enregistrées », peut-on lire sur generation-nt.com.
Poursuivant dans son état des lieux, l’ITRC a établi qu’aux États-Unis en 2014, « le coût moyen de la cybercriminalité a été de 12,7 millions de dollars par entreprise, les entreprises américaines ayant en moyenne fait l’objet de 122 attaques réussies dans l’année. »
Autre constat, le montant de ces dépenses dépend pour beaucoup du secteur d’activité : « C’est le secteur de l’énergie et des services qui subit les attaques les plus coûteuses (13,18 millions de dollars), suivi de près par le secteur des services financiers (12,7 millions). Le secteur de la santé est celui qui encourt les dépenses les moins élevées (1,38 millions). »
Piratages de TF1, Orange ou eBay : récupérer des données pour en tirer profit
Il devient difficile d’être exhaustif. Les piratages massifs des données de grandes entreprises ont été si nombreux en 2014, qu’en faire état devient laborieux.
Parmi les plus importants, il y a bien sûr le piratage d’eBay qui – s’il ne portait principalement que sur des mots de passe d’utilisateurs et non des données financières, « inutilisables par les hackers » selon le site – à toucher aussi des données personnelles (adresses mails, dates de naissance et même numéros de téléphone).
Il y a aussi les piratages d’Orange et de TF1. Dans le premier cas, 800 000 clients de l’opérateur (soit un peu moins de 3% des utilisateurs Orange) ont été victimes du vol de leurs données en février 2014. Trois mois plus tard, c’est au tour d’1,3 millions d’autres abonnés et de clients divers présents dans leur base, de se voir dérober leurs informations. Comme pour eBay, ce sont les adresses mails, dates de naissance et numéros de téléphone qui ont été subtilisés.
Concernant TF1, ce n’est pas directement les prospects du groupe télévisuel qui ont été touchés, mais ceux d’un de ses partenaires commerciaux, Viapresse. Pour le même butin.
Un point commun lie bien ces trois agressions : le mobile. En tout cas le principal, celui de tirer profit des données récupérées. Comment ? Et bien par exemple grâce au « phishing » ou en français à « l’hameçonnage ».
Cette fraude très répandue sur internet se déroule selon un mode opératoire très simple : les pirates munis des adresses mails préalablement volées, s’adressent aux internautes en se faisant passer pour un interlocuteur de confiance (banque, opérateur téléphonique, EDF…) dans l’objectif de subtiliser des accès à des comptes clients ou des données bancaires. Autrement dit, de leur voler de l’argent.
Du « cybervoyeurisme »…
L’appât du gain n’est pas la seule motivation des pirates. Loin de là. Certains motifs laissent clairement dubitatifs. Ce fut le cas avec le fameux « CelebGate » le piratage et la publication de photos de célébrités dénudées, volées – via le cloud – sur leurs smartphones. Si le mobile paraît bien trivial, les enjeux de ces publications eux, ne sont pas à prendre à la légère. Car la violence qu’ont subi les victimes de ces actes est bien réelle. Violence qui ne manque pas de cristalliser certaines inquiétudes.
« C’est peut-être le piratage le plus marquant de l’année pour les utilisateurs : on ne s’est pas ici contenté de surveiller des individus ou de récupérer des informations. On a directement exposé la vie intime de personnes physiques. C’est clair que ça en a convaincu plus d’un de se protéger un peu mieux », explique Laurent Henocque, créateur de Keeex, une solution de gestion dématérialisée des données.
… au « cyberactivisme »
Sur un tout autre volet, le vol des données est une des armes des cyberactivistes, ces hackers politisés qui prennent parfois le nom plus romantique de lanceurs d’alertes. Dans ce contexte, difficile de n’évoquer que l’impératif de sécurisation des informations. Les enjeux qui découlent de ces actions sont bien plus complexes.
Et bien sûr cela ne date pas de 2014. On a beaucoup écrit ces dernières années sur Wikileaks et son charismatique leader Julian Assange, toujours réfugié à l’Ambassade d’Equateur à Londres. Son principal fait d’arme : avoir publié des centaines de milliers de documents portant sur la guerre en Irak, puis sur celle en Afghanistan volés à l’armée américaine par Bradley Manning.
On pense aussi à Edward Snowden, cet ancien employé de la CIA qui continue de rendre public – depuis 2013 – de nombreux documents faisant état des procédés de surveillance de la NSA.
S’ils sont certainement les plus célèbres, ils ne sont pas les seuls. Une étude menée par Verizon en 2012 indiquait même qu’une majorité des vols de données (58%) seraient motivés par des considérations politiques. Et non par des velléités financières, comme on a pu le penser à tort.
Certains entrent même ouvertement en « guerre ». C’est le cas du collectif Anonymous, lorsqu’il s’attaque en 2008 à l’Eglise de scientologie ou lorsqu’il appuie les révolutions du Printemps Arabe en aidant les manifestants à contourner la censure des différents gouvernements auxquels ils s’opposaient.
Cette année, la tension est montée d’un cran lorsque suite aux attentats de Charlie Hebdo, l’organisation a annoncé vouloir venger les victimes en s’attaquant directement au groupe Etat islamique (EI). On se rapproche alors dangereusement de la chimère de la « cyberguerre ».
La chimère d’une cyberguerre
Sommes-nous aujourd’hui les témoins d’une cyberguerre ? Dans le cas d’Anonymous contre le groupe EI, il est difficile d’aller aussi loin.
Il est vrai que des activistes d’Anonymous ont revendiqué les piratages de sites et de comptes des réseaux sociaux de l’organisation et de leurs membres. Il est vrai aussi que le groupe EI utilise largement les possibilités du monde numérique. Dans le cadre de cyberattaques mais aussi pour sa propagande.
Gilles Billois – expert en sécurité informatique au cabinet Solucom – relativise sur Francetv info : « Ce serait exagéré de parler de « guerre ». Aujourd’hui, nous parlons d’actes qui n’ont pas d’effets dans le monde réel. Il n’y a pas d’explosions, pas d’interruption de services essentiels comme l’énergie ou les transports.[…] On reste dans le monde virtuel. »
Et dans le cas de l’affaire de Sony Pictures ? « Après l’attaque contre la société Sony Pictures, qui a subi une destruction massive de son système d’information et le vol d’une importante quantité de données, Barack Obama a parlé de cybervandalisme. Le terme semble assez juste », , poursuit Gilles Billois.
Quand les Etats entrent dans la danse : la surveillance de masse
Ainsi pour Gaël Pépin dans un article du monde.fr, « les scandales des écoutes électroniques par les Etats-Unis, le Royaume-Uni ou encore la France mettent au premier plan les rivalités entre Etats en matière d’espionnage et de conflits « en ligne », pour lesquels les gouvernements préparent leurs armes. »
Préparer les guerres de demain passerait donc – aujourd’hui – par le cyber-espionnage. C’est en tout cas ce que l’actualité semble révéler. Des affaires comme celle de l’attaque de Gemalto, menée conjointement par la NSA et le GCHQ – les services secrets des Etats-Unis et du Royaume-Uni – s’expliqueraient donc par cet objectif.
Si Gemalto a depuis minimisé l’impact réel de ce piratage, il n’empêche qu’il parait révélateur de ce nouvel enjeu géopolitique qu’est devenu l’univers numérique. Et de ses conséquences sur la liberté d’expression. « Pour l’utilisateur, cela doit aujourd’hui être une préoccupation essentielle. Nous avons perdu la confidentialité de nos communications et donc notre liberté d’expression. Il faut la retrouver », s’alarme Laurent Henocque.
2015 sera-t-elle l’année de la sécurisation des données ?
Quant à savoir si 2014 fut l’année du piratage de données ? « C’est la suite logique de ce que l’on observe depuis quelques temps. En revanche, 2014 s’achève pour moi sur un constat amer : tout ce qu’on pouvait imaginer de pire sur la capacité de nuisance des pirates est bien de l’ordre du possible. On en a eu cette année la confirmation. »
2015 sera donc l’année de la sécurité des données. Ou ne sera pas. « Il convient avant tout de mettre la sécurisation au centre de nos préoccupations. Il existe des espaces à l’intérieur desquels les hackers ne peuvent pas pénétrer. Des algorithmes inviolables. Nous avons la possibilité de nous prémunir des attaques. Reste à mettre ces solutions en œuvre. » Laurent Hénocque en est persuadé, la protection de nos données passe avant tout par une prise de conscience collective.