La sécurité est un grand sujet depuis tout temps. Les failles sont d’abord méconnues, ignorées, subies, puis corrigées avant que de nouvelles fassent leur apparition. C’est un cycle continu et sans fin. L’actualité informatique ou digitale est passionnante actuellement car nous faisons face à des découvertes et avancées majeures. Le problème ? Nos démocraties sont attaquées, nous ne savons plus quoi ou qui croire, et il est de plus en plus difficile de sécuriser nos données.
Cambridge Analytica : Comment les algorithmes de la mode ont fait voter en faveur du Brexit, de Trump, et d’Obama
Les systèmes informatiques correctement maintenus résistent magnifiquement aux attaques depuis longtemps. Les attaques réussies sont soit des anecdotes, soit d’une catégorie nommée « ingénierie sociale » : puisque le système informatique est inattaquable en l’état, on vise l’être humain qui possède le pouvoir de faillir.
L' »ingénierie sociale » est un terme « gentil » pour désigner l’une des plus puissantes techniques de piratage qui existe. Elle est utilisée par les militaires pour obtenir de l’information de prime abord inaccessible, elle est utilisée par le secteur de la mode pour persuader le consommateur d’acheter les nouvelles collections, et elle est désormais utilisée pour influencer le vote. C’est le scandale de Cambridge Analytica, la société qui a permis l’élection de Barack Obama, de Donald Trump, et le vote en faveur du Brexit. La transition entre le premier et les deux seconds ayant pu se produire tout simplement suite au rachat de la société par l’extrême droite amériaine.
Comment l’algorithme fonctionne-t-il ? Les spécialistes de la data science se sont aperçu que le pourcentage de personnes « sans opinion » ou « influençable » était assez important pour changer l’orientation des votes. Cambridge Analytica avait accès aux données Facebook d’un grand nombre d’utilisateurs. L’intelligence artificielle a donc été utilisée pour catégoriser ces personnes et leur diffuser des contenus convaincants en faveur des idéologies à soutenir. C’est aussi simple que cela, et ça a fonctionné merveilleusement ! Ne vous demandez plus pourquoi certaines applications et jeux sont gratuits…
Pour plus d’informations, je vous invite à regarder le documentaire Netflix The Great Hack et à lire le livre Mindf*ck de Christopher Wylie qui est l’un des data scientists ayant développés le logiciel de Cambridge Analytica. Il explique comment il a lui-même été impliqué sans en avoir conscience, avant de révéler l’affaire publiquement.
Deep Fake : Comment le principe d’autorité est-il détourné par l’intelligence artificielle ?
Vous avez sans doute déjà entendu l’argument de vente « vu à la télé » pour vous convaincre d’acheter un appareil. Vous avez sans doute déjà entendu l’argument de l’ancienneté placé dans une discussion entre vous et une personne plus âgée pour vous convaincre qu’elle avait raison. Il s’agit du principe d’autorité. Un principe de manipulation décrit par Robert Cialdini dans son ouvrage Influence et manipulation.
Dans la société actuelle, l’image est régie par ce principe d’autorité : « si ça passe à la télé, c’est que c’est vrai ». « Si je vois cette personne sur cette photo, c’est qu’elle y est ». « Si le commentaire en dessous de la photo est pris au sérieux par mes amis, c’est qu’il est vrai et que la photo représente bien ce qui est écrit ».
Non seulement le détournement d’images sans trucage existe depuis longtemps et a été fortement exploité par les réseaux sociaux et les journaux de propagande, mais nous débutons une époque où ni les images ni les sons ne pourront être pris comme objets de confiance. Le deep fake, des algorithmes d’intelligence artificielle capables de reproduire votre image, votre voix et votre posture, se développent de plus en plus avec un rendu impressionnant.
Un exemple concret ? Le Barack Obama qui parle ci-dessous n’est pas le vrai.
Vladimir Poutin et Donald Trump ne sont pas les vrais sur la vidéo ci-dessous.
Ordinateur quantique : Le changement de paradigme de sécurité
Le niveau de sécurité d’un système se mesure par le temps pendant lequel ce système résiste à une attaque. L’idéal est qu’il résiste jusqu’à la correction suivante des failles détectées pour être inviolable. Pour les serrures de votre porte d’entrée, par exemple, on donne le temps moyen mis par un cambrioleur ou un expert pour ouvrir votre porte sans clé. Pour les vitre de votre véranda, on vous donne le temps mis par le cambrioleur pour la briser et rentrer. L’alarme installée dans votre habitation est là pour déstabiliser le cambrioleur.
Le verrouillage de votre voiture et votre code de portail sont des systèmes protégés par un mécanisme qui augmente le nombre de codes possibles, et donc le nombre de tentatives pour arriver à trouver le bon code, et par conséquent le temps pendant lequel votre système est protégé. De nombreux systèmes fonctionnent sur ce principe. La sécurité des systèmes informatiques et bancaires est depuis longtemps mesurée en fonction du nombre de siècles qu’il faudrait à un outil informatique actuel pour casser la clé de chiffrement RSA. Avec l’ordinateur quantique, le temps est passé de « siècle » à « heure ». Les travaux de Craig Gidney de chez Google, et de Martin Ekerå du KTH Royal Institute of Technology détaillent la problématique.
Voici une vidéo pédagogique qui explique l’ordinateur quantique.
Blockchain : Confusion entre confiance et sécurité
La blockchain est un système de confiance qui a été conçu pour soutenir le Bitcoin, une monnaie d’un nouveau genre créée pour se substituer aux monnaies des banques officielles dont la confiance a été perdue avec la crise financière de 2008. Ce système est certes sécurisé, mais il vise avant tout à se passer d’intermédiaire dans les transactions. L’ingénierie sociale démontre que les intermédiaires ne sont pas les seules failles d’un système de confiance.
La Blockchain a notamment été proposée pour garantir la traçabilité objective des biens confiés aux transporteurs. Cela permet par exemple de garantir qu’un dommage a bien été causé par tel transporteur plutôt qu’un autre. Mais qu’en est-il de la validité de l’information fournie par les transporteurs à la blockchain ? Certaines blockchains comme Etherium proposent de virtualiser et d’automatiser la réalisation d’un contrat. Mais qu’en est-il de la contractualisation de la responsabilité ? Les systèmes de photographie actuels utilisés par les transporteurs de marchandise ont montré les limites de la fiabilité de l’information fournie, et les limites des contrats au delà de l’intermédiation sur laquelle se positionne la blockchain.
La blockchain est un outil puissant, mais c’est un outil de confiance et non un outil de sécurisation.
Voici une vidéo explicative de ce qu’est la blockchain.
Le séquençage ADN et le vol de données : l’usurpation d’une identité non modifiable
Nous voyons de plus en plus d’outils informatiques proposer de se déverrouiller en scannant nos empreintes digitales ou en utilisant la caméra pour vérifier que le visage est celui attendu. De nombreux débats ont eu lieu soit en raison de leur manque de fiabilité lorsque qu’une photo a le même impact que le vrai visage, soit parce que si le code de l’emprunte digitale est volé, il est impossible de le changer comme un mot de passe volé.
Le séquençage ADN anime le même type de débats pour pour les empruntes. Si notre ADN individuelle peut être convertie en code informatique et stockée, que se passe-t-il le jour où elle est volée ? Que se passe-t-il si notre ADN permet de nous authentifier ?
Voici une vidéo explicative sur ce qu’est le séquençage ADN. Cela vous donne une idée des opportunités et à quel point la médecine d’aujourd’hui va être perturbée, mais cela doit aussi attirer l’attention sur l’importance de la protection des données.
Les objets connectés, une sixième brèche ?
Nous avions promis cinq grandes failles et voilà que nous en avançons une sixième. Ne croyez pas tout ce qui est écrit, vérifiez !
Cette petite blague faite, revenons au sérieux. Progressivement, nous interconnectons de plus en plus d’objets. Les interconnexions sont aussi bien faites au niveau du grand public qu’au niveau industriel. N’oubliez jamais qu’aucun système informatique est infaillible, que la sécurité est une question de temps. Le gros avantage des objets connectés, c’est que beaucoup utilisent les mêmes briques de code informatique, ce qui facilite leur mise à jour. Les deux gros problèmes, c’est que les mises à jour sont rarement faites par rapport au nombre d’objets connectés en circulation, et qu’il suffit de trouver une faille dans une brique pour contaminer l’ensemble des objets.
Les Smartphones, les voitures, les chaudières, les montres… les exemples d’objets connectés sont « infinis ». Prenons l’exemple des voitures connectées. Tesla Motor est un pionnier du secteur, mais avec une philosophie très orientée Silicon Valley. Tandis que de nombreux constructeurs automobiles vont tenter de sécuriser eux-mêmes leurs systèmes informatiques et attaquer tout pirate qui réussirait à déjouer les sécurités, Tesla les récompense. Le constructeur utilise l’intelligence collective, ce qui semble assez cohérent de l’époque dans laquelle nous vivons.
Mais imaginez quelques secondes ce qu’il se passe lorsqu’un pirate informatique prend le contrôle de toute une flotte de véhicules au même moment… Imaginez ce qu’il se passe quand un pirate informatique arrive à prendre le contrôle de la caméra et du micro de votre smartphone… Imaginez ce qu’il se passe lorsqu’un pirate informatique se connecte à votre chaudière et sait précisément quand vous êtes absent de chez vous… Imaginez ce qu’il se passe quand un pirate informatique réussit à prendre le contrôle d’une chaîne de production totalement automatisée et commence à exécuter des actions dangereuses pour vous forcer à payer une rançons en Bitcoin… Voilà le monde dans lequel nous vivons, un monde plein de potentiel mais dans lequel les experts en sécurité informatique doivent être formés, mis à jour et pris au sérieux.
L’hypercentralisation, la problématique de la gouvernance
Vous vous souvenez quand l’on pouvait faire ses courses à côté de chez soi, dans les petits magasins indépendants ? Moi non, en revanche j’ai toujours entendu la critique des hypermarchés qui les avaient détruit et qui encourageaient une plus forte utilisation de la voiture. En effet, dans les hypermarchés, tout est moins cher, optimisé et avec une gamme de choix incroyable. La force des hypermarchés, ce sont les routes rapides qui facilitent leur accès pour tout un chacun.
Peut-être l’avez-vous constaté, mais Internet et la fibre optique sont les nouvelles routes rapides. Désormais, ce sont les hypermarchés qui subissent le succès des plateformes telles qu’Amazon et Netflix. Il n’y a même plus besoin de se déplacer, on ne subit plus l’avis d’un vendeur dont le seul objectif est de vendre au dépend du besoin du client, le tarif est encore plus bas et ne parlons même pas de la variété de choix ! Je suis convaincu que l’erreur des hypermarchés a été de négliger puis supprimer le personnel dans les rayons en faveur des hôtes de caisse. Mais cela est un autre débat.
En quoi l’hypercentralisation est-il une faille de sécurité ? Qu’est-ce qu’il se passe lorsque toute la valeur générée par le commerce est captée par un tout petit nombre d’acteur ? Quelle marge de manœuvre reste-t-il aux acteurs émergents ou historiques ?L' »originalité », le « sur mesure » et le « fait maison » ? Regardez autour de vous tout ce que vous achetez qui correspond à ces catégories… La réalité, c’est que l’hypercentralisation donne beaucoup de marge de manœuvre aux très grands acteurs qui peuvent innover en continue et déployer des stratégies absolument inabordables pour les petits acteurs. Et comme les plateformes, à de rares exceptions, n’ont pas de frontières, la valeur créée est à peine captée pour financer l’éducation, le système de santé, la défense, et toutes ces institutions dont nous sommes heureux de bénéficier.
Dans le secteur informatique, un petit nombre d’acteurs propose sa technologie comme base pour faire fonctionner le Cloud. Cela signifie que les données personnelles et professionnelles de la plupart des personnes et entreprises connectées sont dans les mains d’un tout petit nombre d’acteurs.
Toutes ces sociétés sont admirables pour ce qu’elles ont réussi à faire et pour toutes les innovations qu’elles font émerger. La critique va plutôt dans le sens de ce qui est mis en place pour apporter des choix alternatifs qui prennent en compte la notion de gouvernance des données. N’oubliez pas que le détournement de Cambridge Analytica s’est effectué après son rachat. Et cela a été possible grâce à Facebook qui est une plateforme hypercentralisée qui rassemble près de deux milliards d’utilisateurs. Cela peut faire réfléchir sur ce qui peut se passer en cas de changement de politique, de direction, d’ambition ou tout simplement d’attaque informatique réussie.
Aussi, au lieu d’encourager les futurs leaders du marché à se développer localement, les autorités parlent de taxe GAFA. Apprend-on réellement du passé ? Pendant que les autorités multipliaient les taxes sur les CD, DVD, CD-Rom, Disques durs, clés USB, écrans et finançaient ADOPI pour lutter contre le piratage, d’autres ont développé i-tunes, Spotify, Youtube et Netflix… et malheureusement, les taxes déployées n’ont pas permis à Daily Motion et Deezer de surpasser la concurrence. Au delà de la pure technique de cyber-sécurité, la sécurité implique des compétences d’analystes, des personnes qui retiennent l’histoire pour correctement décider de stratégies futures.
Conclusion
De grands défis s’annoncent et la sécurité est malheureusement encore trop sous estimée. Depuis la crise du Covid, de nombreuses sociétés ont décidé d’intégrer le télétravail sans dépenses supplémentaires de sécurité informatique. Des entreprises se sont fait attaquer et ont du mettre la clé sous la porte, des usines de production se sont retrouvées sans leur outil du jour au lendemain, des hôpitaux ont été mis en danger. Dans le meilleur des cas, ce sont des ransomeware qui demandent de payer une rançon en Bitcoin pour libérer le système d’information.
Comme la plupart des articles ou des publications Shy Robotics, nous faisons évoluer nos contenus grâce à vos critiques. N’hésitez donc pas à partager et à contrebalancer les arguments. A bientôt !