Faudra-t-il sacrifier l’ouverture d’Internet sur l’autel de la sécurité ?
Déjà effectif dans certains pays, pour des raisons politiques ou religieuses, le filtrage d’Internet pourrait bientôt faire son apparition dans des pays à la tradition plus libérale, sous couvert de protection de l’enfance et des industries culturelles. Pour certains, cette évolution sécuritaire apparaît comme inéluctable, un classique retour de balancier à l’heure de la cybercriminalité sinon de la cyberguerre.
L’ouverture d’Internet est-elle menacée ? Après l’épisode estonien ou encore le pendant cybernétique du conflit géorgien de l’été dernier, la question de la cyberdéfense gagne en attention auprès des politiques, en France comme dans le reste des pays occidentaux. Des assises lui seront consacrées à Lille, à la fin du mois de mars. C’est dans ce contexte que LeMagIT a pu interroger successivement Josh Corman, analyste sécurité principal chez IBM/ISS, et Michel Frenkiel, expert en sécurité informatique, proche de la Commission européenne, et Pdg de Mobilgov.
Le tout alors qu'en France, le débat sur la loi Internet et Création (dite « Hadopi ») bat son plein, que l’Europe s’interroge sur la manière d’écouter les communications en voix sur IP, et alors que la controverse fait rage sur la proposition de la mnistre française de la culture de limiter le surf sur les points d’accès WiFi publics à certains sites Web en liste blanche. Ce filtrage d’Internet, que certains s’inquiètent de poindre comme une perspective politique acceptable – et acceptée dans certains pays, pour des raisons politiques et religieuses –, pourrait bien n’être qu’une ultime réponse sécuritaire en réponse aux menaces liées à la cybercriminalité.
Un tournant dans la vie d’Internet
Pour Michel Frenkiel, la situation est limpide : « nous sommes à un tournant dans la vie d’Internet ; pendant 12 ans, on en a encouragé l’utilisation, on va maintenant y injecter de la sécurité. Nous sommes en train d’inventer la plaque d’immatriculation sur les autoroutes de l’information. Cela se fera peut-être au détriment du droit à l’anonymat. » Mais la perspective n’est pas complètement fermée : « cela pourrait se faire aussi dans le cadre de la mise en place d’un Internet à plusieurs niveaux, un premier pas sécurisé du tout et très grand public, par exemple. Quoiqu’il en soit, le droit à la répudiation va être amené à être révisé en profondeur : si l’on commet une faute, il ne sera plus possible de dire ‘c’est pas moi, c’est quelqu’un qui a pris mon adresse.’ » Pour lui, « on va voir se déployer l’authentification forte dans des opérations qui n’ont aucune authentification. Les banques ont été les premières à s’y mettre, et surtout au Royaume-Uni : dès la première année, les fraudes à la banque en ligne ont fortement reculé. » Car, pour Michel Frenkiel, c’est là que se situe l’essentiel de la menace : dans l’usurpation d’identité avec un outil clé, les botnets.
Usurpation d’identité et botnets, un mélange détonant
Selon lui, le risque est grand de voir un jour prochain une attaque, contre un état ou entreprise, sur la base d’usurpation d’identité à grande échelle : « il y a aujourd’hui des bases de données gigantesques, largement sous-utilisées. » Et de chiffrer son propos : « en 2007, ces bases comptaient 70 millions d’identités volées rien qu’aux Etats-Unis. En 2008, il y en a eu 35 millions de plus. » Et pour autant… « Le marché ne représente que 250 M€ par an, générant 7 Md$ de fraude. » Pour Michel Frenkiel, la menace est claire : « de tels volumes d’identités pourraient être utilisés pour paralyser un pays, en lançant par exemple des attaques sur les activités professionnelles et les comptes bancaires de citoyens. […] Les attaques auxquelles je pense passeront par des botnets, évidemment. » Les états sont-ils préparés à une telle éventualité ? « Pour bloquer un DDoS, on peut bloquer des plages d’adresses IP. Ca marche. Mais bloquer un botnet… Je ne sais pas s’il y a des états préparés. C’est beaucoup plus difficile car cela peut venir d’un peu partout en termes d’adresses IP ; les attaques peuvent être signées avec des identités usurpées… »
Au détour d’une anecdote, Josh Corman soulève un autre risque lié aux botnets, leur détournement éventuel : « l’un de mes amis à réussi à prendre le contrôle d’un botnet, Storm. » De quoi indiquer que les botnets ne sont pas invulnérables et peuvent changer de bord… D’autant plus que certains seraient tout simplement proposés à la location.
Un niveau de préparation limité
Pour l’heure, selon Michel Frenkiel, la préparation des états à de vastes attaques cybernétiques se limiterait, en fait, à organiser et sécuriser la coopération entre agences gouvernementales, y compris entre pays partenaires. Avec notamment la mise en place de réseaux disposant d’une bande passante garantie ; « cela permet de lutter dans une certaine mesure contre une saturation massive d’Internet. » Tout un travail de préparation et de réflexion qui renvoie à la fois au livre blanc sur la défense et aux propos de Patrick Pailloux, directeur de la Direction Centrale de la Sécurité des Systèmes d’Information, à l’automne dernier, lors des Assises de la Sécurité de Monaco. Mais aussi, comme le pointe Michel Frenkiel, au programme européen « Prévention, préparation et gestion des conséquences du terrorisme et des risques de sécurité associés », un programme, doté d’un budget de près de 18 M€ pour 2009, qui intègre notamment un volet relatif à la cybersécurité avec l’ambition de se doter d’outils d’identification de code malicieux en temps réel ou de modélisation des interdépendances dans le secteur IT, et encore de lancer des partenariats publics-privés pour améliorer la résilience d’Internet et des systèmes de communication mobiles et fixes. Mais, pour Josh Corman, la question peut se résumer simplement : « il n’y a pas une seule technologie anti-DDoS sur la planète qui puisse résister à un botnet. Si celui qui contrôle un botnet « veut faire tomber CNN.com, Axa, la BBC… s’il le veut, il le peut. »
Une question de défense nationale
Reste que, au final, pour Michel Frenkiel, les questions de sécurité sur Internet dépassent le simple cadre d’intérêts économiques. « La lutte contre l’usurpation identité, c’est dans la Lopsi [Loi d’Orientation de Programmation pour la Sécurité Intérieure, NDLR] ; donc on est bien dans ce contexte. Le projet de filtrage d’Internet a également été intégré dans la Lopsi, alors qu’avant, cela ne concernait que la création à l’heure du numérique... » Poussons la réflexion jusqu’à son terme : pour un état, disposer ou contrôler un botnet est-il en passe de devenir un enjeu de sécurité nationale ? La question reste ouverte. Mais, pour Michel Frenkiel, « on peut effectivement imaginer » des cybersoldats, sous la forme d’agents logiciels, intégrés aux postes de travail et sous contrôle d’état. « Mais il faudrait encore en définir les missions », relève-t-il, en réponse à une analogie sur les réservistes de l’armée. Josh Corman fait, de son côté, une analogie avec les programmes « Neighbourhood Watch » américains, dans le cadre desquels des citoyens veillent sur leur voisinage : « je veux bien un programme similaire pour Internet, mais je ne veux pas que le gouvernement américain utilise mon ordinateur comme une arme. Il y a là une opportunité inexploitée. » Car, pour lui, c’est de là que vient la menace, « des ordinateurs du grand public : Nous ne sommes pas concentrés sur leur sécurité. »