Les algorithmes : clé de voute et talon d’Achille de la révolution numérique
Les algorithmes jouent déjà un rôle important dans les activités liées au numérique. Et ils sont appelés à prendre une place bien plus importante. Dès lors, leur qualité et leur robustesse aux attaques vont s’avérer cruciales.
La qualité et la sécurité des algorithmes sont des éléments essentiels pour garantir une transformation numérique en toute confiance. Les évènements récents touchant la Blockchain Ethereum nous rappellent durement ces limites. Avec un futur de plus en plus « autonome », avoir confiance dans les algorithmes sera un enjeu majeur.
Ethereum et The DOA : une erreur qui coûte 50 millions de dollars…
Vendredi 17 juin, un détournement de plus 50 millions de dollars d’Ethereum – une crypto monnaie « équivalente » à Bitcoin avec des fonctions avancées permettant l’exécution de transactions automatiquement et de manière distribuée, les « smart contract » – a eu lieu.
Si le débat fait rage entre ceux dénonçant une « attaque » ou ceux estimant qu’il s’agit d’un « bug », le constat est clair : le problème vient d’un algorithme mal conçu qui permettait de valider une transaction et d’en démarrer une suivante sans vérifier que le solde était bien mis à jour et suffisant pour réaliser l’opération. L’affaire va être passionnante à suivre dans les jours qui viennent, certainement un enjeu de taille sur le rôle et l’éthique des miners.
… un cas parmi beaucoup (trop) d’autres
Mais n’oublions pas les autres bugs les plus couteux de l’histoire, avec le problème de conversion de données ayant entraîné le crash d’Ariane 5 pour un coût de 500 millions de dollars, ou encore la faillite de la société Knight Capital qui avait créé une machine à perdre l’argent en inversant les ordres d’achat et de vente sur sa plateforme de trading haute fréquence. Bilan : 440 millions de dollars ont été perdus en 30 minutes.
Intégrer la confiance dans les algorithmes, un enjeu complexe
L’intégration de la « simple » cybersécurité dans les développements est encore aujourd’hui un gageure. Les équipes sont peu formées, les délais sont toujours trop courts, les recettes partielles, les fonctionnalités priorisées par rapport à la sécurité… et tout cela mène à des désastres comme ceux évoqués ci-dessus.
Pour faire évoluer cette situation, une solution suivie par certains repose sur la création d’une équipe dédiée à la sécurité des développements, la cellule « SecApp ». Cette cellule, garante de la sécurité applicative, doit s’approprier et structurer toutes les activités existantes – analyse de risques, sensibilisation des développeurs, revues de code, tests de vulnérabilités applicatifs… – qui sont souvent dispersées dans l’entreprise, quand elles existent. Il existe de nombreuses manières de la construire et de l’intégrer dans une organisation existante qui sont décrites ici.
Dans un futur proche, une telle cellule doit évoluer pour inclure des vérifications plus avancées telles que celle sur l’anonymisation des données et le respect de la vie privée ou encore l’intégration des tests de scénarios de fraudes ou de piégeage des applications sensibles.
Il est même possible d’envisager pour les applications ou les algorithmes les plus sensibles une validation formelle telle que celle réalisée par exemple dans les systèmes de transports.
Un futur de plus en plus régit par les algorithmes
La tendance est claire, notre futur sera piloté – voire régit – par les algorithmes. Investissements automatiques, Smart Contract, voiture autonome, robots de conseil clientèle, d’assistance aux personnes ou militaires… Les initiatives se multiplient, les enjeux augmentent, mais nous ne sommes pas aujourd’hui prêts pour gérer ces situations. Ni d’un point de vue juridique, où la situation est toujours très floue – même si beaucoup de travaux sont en cours – ni d’un point de vue technique, où il est bien difficile aujourd’hui de s’assurer de la qualité et de la sécurité de ces algorithmes.
Cependant, tout ceci ne doit pas stopper les initiatives et, comme pour toute révolution industrielle, il y aura des accidents industriels, malheureusement quasiment inévitables. Ceux-ci aideront cependant à formaliser les bases et le cadre nécessaires pour cette nouvelle révolution industrielle, la révolution numérique !
Gérôme Billois est senior manager au sein de la practice Risk Management et Sécurité de l’information de Solucom. Il également est membre du conseil d’administration du CLUSIF et du comité ISO JTC1/SC27 responsable de la standardisation pour la sécurité de l’information, et l'un des membres fondateurs du Club27001, une association dédiée à la promotion du standard ISO 27001. Il est certifié CISA, CISSP et ISO 27001 PA.