CLUSIF : derrière le FUD, les vraies menaces
La présentation de l’édition 2015 du panorama de la cybercriminalité du CLUSIF souligne la médiatisation croissante, mais pas toujours efficace, du sujet.
La cybercriminalité a profité, en 2014, d’une médiatisation sans pareil. Lazaro Pejsachowicz, président du Club de la Sécurité de l’Information Français (CLUSIF), a ainsi souligné, en ouverture de la conférence de présentation de l’édition 2015 du panorama de la cybercriminalité de l’association, une « volumétrie d’informations traitées » – bénévolement et en continu durant un an – « incomparable » avec celle de l’édition précédente, fruit d’une « actualité complexe et riche ». Un travail d’une ampleur telle qu’il a été l’occasion, pour Jean-Marc Gremy, vice-président du club, d’appeler à la création d’un recueil centralisé d’informations sur le sujet et au soutien des pouvoirs publics.
Le « PR Gap » : La tentation du sensationnalisme
Mais l’ampleur de cette médiatisation, qui a dépassé la sphère traditionnelle du secteur pour toucher largement le grand public, a conduit Gérôme Billois, secrétaire du Clusif et responsable de la practice sécurité de Solucom, a mettre l’accent sur un autre phénomène : celui de l’exagération. Au point que l’on sentait poindre, derrière son intervention, l’envie refoulée de dénoncer une forme de sensationnalisme. Car pour lui, l’année 2014 a été celle du FUD, acronyme anglais – pour Fear, Unicertainty and Doubt – qui désigne une méthode de communication fondée, donc, sur la peur, l’incertitude et le doute.
Exemples à l’appui – affaire des photos de célébrités volées sur iCloud, piratage de voitures, injection de logiciels malveillants dans des cigarettes électroniques, etc. –, Gérôme Billois s’est ainsi inquiété de la capacité des médias à se saisir d’informations sur des menaces symboliques, marquantes, mais à la portée réelle finalement limitée.
Pour lui, « 2015 connaîtra aussi sont lot de FUD » et les RSSI devront « rester attentifs et circonspects ». Surtout, et hélas, « ils seront amenés à consacrer beaucoup d’énergie à démystifier ces cas [les plus médiatiques] pour mettre l’accent sur d’autres, plus importants, mais moins connus ». Déjà, en octobre 2012, à l’occasion de l’édition européenne de RSA Conference, Art Coviello, président exécutif de l’éditeur, s’était inquiété de ce qu’il appelait alors le « PR Gap », cet écart entre la réalité de la cybercriminalité et la médiatisation dont elle fait l’objet.
La sécurité à retardement dans l'IoT
Pour Fabien Cozic, enquêteur de droit privé spécialisé en cybercriminalité, l’année 2014 a surtout été l’occasion de mettre en évidence les risques liés à un Internet des Objets marqué par une approche de la sécurité à retardement. Égrenant les exemples, avec notamment la problématique des caméras IP grand public, il a déploré, à son tour, une réaction des médias encore teintée d’exagération, mais surtout orientée consommateurs pour n’avoir, en définitive, qu’un impact limité sur les principaux concernés : les constructeurs.
Pour lui, le véritable problème tient à une prise en compte de la sécurité trop tardive, ne survenant en tout cas pas avant la mise sur le marché des produits, avec « des incidents réglés au coup par coup ». La faute, peut-être, à une volonté trop grande de simplifier la tâche aux utilisateurs.
Reste que, dès lors, l’Internet des Objets apparaît « comme un nouveau territoire à protéger », de manière d’autant plus urgente qu’il manque encore des règles, des normes, notamment pour les protocoles secondaires « vulnérables et recourant peu au chiffrement ».
De quoi ouvrir la porte, demain, peut-être, à une nouvelle forme de ransomware : des rançons-giciels physiques.
Cyber-prise d’otages, Heartbleed et Shellshock
La logique de la rançon s’est également illustrée, récemment, avec Sony Pictures Entertainment. Une attaque « exceptionnelle » pour Gérôme Billois, qui relève que « l’on n’a jamais vu une entreprise affectée à ce point dans toutes ses dimensions ». Et là, la clé, « c’est la stratégie de la rançon », comme une authentique « prise d’otage » informatique.
Une stratégie promise à un bel avenir parce qu’il « circule de plus en plus de données volées. Elles perdent donc en valeur. La rançon permet de monétiser plus vite son forfait ». Problème : dans le monde du numérique, il n’y a pas de moyen « d’être sûr que les données sont rendues ».
Mais 2014 a également été marqué par deux failles majeures, Heartbleed et Shellshock : « personne n’a été épargné, tout le monde a du mettre à jour des logiciels », explique Hervé Schauer. L’occasion, en tout cas, pour lui, « de tester le fonctionnement ou le dysfonctionnement des procédures » de gestion de crise.
Mais l’événement doit aussi appeler à une réflexion sur d’éventuels mécanismes, contrôlés par les États, pour s’assurer que les failles et les vulnérabilités sont véritablement corrigées, « ce qui n’est pas forcément le cas aujourd’hui », pour éviter aux sociétés « un coût global qui n’est pas positif ». A plus forte raison alors que la dépendance aux logiciels ne fait que croître.