Mikko Hypponen on Changing Cyber Threats at Le FIC 2017 — The International Cybersecurity Forum


Bonjour à tous. Je m’appelle Mikko, je suis chasseur de hackers. Je gagne ma vie en traquant les hackers, c’est ce que j’ai fait pendant la plus grande partie de ma vie. Cela fait 26 ans que j’analyse des malware, que je chasse les pirates et que j’essaie de contrer leurs attaques. J’ai passé toute ma vie à essayer de défendre notre sécurité et notre vie privée sur internet. Et je pense que, durant toutes ces années, j’ai appris quelques bonnes leçons. Enfin, c’est ce que j’espère. Des leçons comme celles-ci : « la complexité est l’ennemie de la sécurité », ou « nous devons comprendre qui nous combattons pour avoir une chance de nous défendre ». Au bout du compte, tous les problèmes auxquels nous sommes confrontés peuvent être classés en deux catégories. Il n’y a en réalité que deux types de problèmes : les problèmes techniques et les problèmes humains. C’est tout. Si vous résolvez les deux, vous êtes sauvé. Malheureusement, ça ne sera jamais le cas. Les problèmes techniques… il est possible de les résoudre. Pourquoi est-ce que nos systèmes ont des vulnérabilités ? Eh bien, parce qu’ils contiennent des bugs. Les bugs sont des erreurs de programmation, tout simplement. Ce sont les programmeurs qui ont codé le système qui ont fait une erreur. Pourquoi les programmeurs font-ils des erreurs ? Eh bien, parce qu’ils sont humains, et les humains font toujours des erreurs. Mais la bonne nouvelle, c’est que nous savons comment y remédier. Si les vulnérabilités ne sont que des erreurs de programmation, tout ce que nous avons à faire, c’est de corriger les bugs. Corriger les bugs et nous assurer que tout le monde passe à la version corrigée. C’est pour cette raison que les mises à jour et les correctifs sont si importants. Donc, en théorie, les problèmes techniques sont faciles à résoudre. Il nous reste les problèmes humains. Les problèmes humains… Ce sont des individus qui commettent des erreurs. Et les êtres humains commettront toujours des erreurs. Peu importe qu’on leur dise cent fois de ne pas le faire, ils cliqueront toujours sur n’importe quel lien, ils double-cliqueront toujours sur toutes les pièces jointes. Ils donneront toujours leur mot de passe, dans chaque champ qui les y invite. Et nous ne pouvons pas appliquer de correctif sur les gens. Impossible de greffer un correctif dans un cerveau. Ce qu’on peut faire, c’est éduquer les gens. Et je vais vous confier un secret : cela ne fonctionne jamais, les gens n’apprennent jamais. C’est ce que j’ai constaté ces 26 dernières années, durant lesquelles j’ai tenté de sensibiliser sur ces questions. Ils cliqueront toujours sur toutes les pièces jointes, et ils consulteront tous les liens. Et ils perdront toujours leurs mots de passe. C’est un peu décourageant, nous sommes en 2017 et nous parlons toujours de mots de passe ! Les mots de passe sont une technologie de sécurité éprouvée. Ils datent, disons, de cinquante ans, et nous les utilisons toujours en 2017 ! Et tous les conseils que vous pouvez lire à propos des mots de passe, dans n’importe quel journal, sont mauvais. Tous ces articles disent toujours la même chose. Ils vous recommandent à chaque fois d’utiliser un mot de passe long et aléatoire. De veiller à ce que personne ne puisse le deviner. Vous devez avoir un mot de passe long, aléatoire et unique pour chaque site. Différent sur chaque site ! Et surtout, ne les écrivez jamais sur un papier. Non mais vraiment ?! Comment ça ? Ces conseils à propos des mots de passe étaient peut-être pertinents en 1997, quand vous n’aviez que trois serveurs qui vous réclamaient des mots de passe. Mais aujourd’hui, chacun d’entre nous a plus de 100 mots de passe. Mon gestionnaire de mots de passe en compte 400. Évidemment que je ne peux pas me souvenir de tous. Évidemment que la seule manière de me les rappeler est qu’ils soient faciles à mémoriser, ce qui signifie aussi faciles à deviner. Sinon, il faudrait que j’utilise le même mot de passe sur tous les sites, ou que je les écrive quelque part. J’ai donc choisi de les écrire. Mais je ne les écris pas sur un post-it. Je les saisis dans un gestionnaire de mots de passe, qui les conserve sous forme chiffrée. Nous avons appris une bonne leçon à propos des mots de passe l’été dernier, quand le hack de LinkedIn a été rendu publique. Et je devine que ce hack a affecté la plupart d’entre nous. Je pense que la plupart d’entre nous, dans cette salle, avons été victimes de cette violation, car il y a eu 120 millions de victimes. Et j’en faisais partie. Mon mot de passe était l’un des mots de passe volés. Je fais donc partie des victimes. Bien sûr, j’avais un mot de passe unique et fort pour ce site, et je n’ai eu qu’à changer mon mot de passe sur LinkedIn, mais comme vous le savez, beaucoup, beaucoup de gens ont le même mot de passe pour tous les sites. Et quand ils se le font voler sur un site, ils doivent le changer partout. En fait, d’après l’une de nos enquêtes, environ 15 % des gens déclarent n’avoir qu’un seul mot de passe. Et je ne veux pas dire qu’ils utilisent ce mot de passe pour le gestionnaire de mots de passe, ils utilisent le même mot de passe partout : de LinkedIn au VPN de leur entreprise, en passant par leur banque en ligne. Un mot de passe. Ce n’est pas une bonne idée. Donc, j’ai été l’une des victimes du piratage de LinkedIn… La question qui vient ensuite est : qui a fait ça ? Qui a piraté LinkedIn ? C’est lui. Il s’appelle Yevgeniy Nikulin. Il habite à Moscou, et il a 29 ans. Il n’a pas encore été condamné pour cela, mais il a été arrêté pour cette violation, et quelques autres. Quand Yevgeniy a piraté LinkedIn, il a vendu la base de données à d’autres hackers, il a gagné de l’argent de cette manière. Il a fait cela pendant 4 ans, ce piratage a eu lieu en 2012, mais il n’a été dévoilé au public que l’été dernier. Et c’est à ce moment-là que nous avons vu tous les mots de passe et découvert toutes les victimes. Je faisais partie des victimes. Lui aussi faisait partie des victimes : Mark Zuckerberg. Son adresse e-mail a été dévoilée, et nous connaissons maintenant le mot de passe LinkedIn de Mark Zuckerberg. Son mot de passe était : « dadada ». Et il utilisait ce même mot de passe partout. Et ça ne fait aucun doute, il est intelligent. Nous savons tous qu’il est intelligent, n’est-ce pas ? C’est un génie ! Et pourtant, il utilisait le même mot de passe partout, enfin presque partout. Il n’avait pas le même mot de passe pour Facebook, il utilisait quelque chose d’autre, peut-être «dadadada», je ne sais pas. Je n’ai pas essayé. N’essayez pas, c’est illégal ! Mais c’est un bon exemple : même les gens intelligents font ce genre d’erreur. Donc, si Yevgeniy vendait cette base de données à d’autres hackers, comment est-ce que ceux-ci en tiraient profit ? Comment gagne-t-on de l’argent avec des mots de passe LinkedIn ? Bien, on sait une chose, c’est qu’ils recherchaient dans ce fatras les mots de passe de messagerie Web, par exemple Gmail. Ils avaient les adresses e-mail des victimes, ils recherchaient leur compte Gmail, puis ils essayaient leur mot de passe pour se connecter à Gmail. 120 millions de victimes. Supposons que, disons, 10 % d’entre eux avaient une adresse Gmail. Cela nous fait 1,2 millions de comptes Gmail. Supposons à présent que 10 % de ceux-ci avaient le même mot de passe pour LinkedIn et Gmail. Ça ouvre l’accès à un ou deux millions de comptes Gmail. Bien, et comment rentabilisent-ils l’opération ? Ils fouillent votre historique Gmail, en quête d’anciens messages. Car Gmail n’efface jamais les messages. Donc, si vous avez reçu un e-mail il y a huit ans, il est toujours là et ils peuvent toujours le trouver. Et ils recherchent des types d’e-mails bien particuliers. Ils recherchent les e-mails que vous recevez quand vous créez un compte dans une boutique en ligne. Vous savez, ces e-mails que vous recevez après votre inscription : « Bienvenue dans notre magasin, vous avez bien créé votre compte. » Ils recherchent ces messages, parce qu’ils savent que cette adresse Gmail dispose d’un compte dans cette boutique. Et bien sûr, ils essaient de s’y connecter, toujours avec le même mot de passe. Pour de nombreux utilisateurs, le même mot de passe fonctionne, et même dans le cas contraire, les pirates peuvent quand même se connecter. Même si vous avez des mots de passe différents sur les boutiques en ligne et sur Gmail, ils peuvent quand même se connecter. Parce que toutes les pages de connexion des boutiques en ligne contiennent un bouton magique. Ce bouton magique figure sur absolument toutes les pages de connexion. Et ce bouton magique est : « J’ai oublié mon mot de passe » Quand vous allez sur la page de connexion d’une boutique en ligne, que vous saisissez une adresse Gmail, puis que vous cliquez sur ce bouton, la boutique vous envoie un nouveau mot de passe sur Gmail, et les pirates ont déjà accès à votre compte Gmail. Donc les systèmes de messagerie Web sont devenus un système de connexion universel : si vous y accédez, vous accédez à tout. Et une fois connectés à votre compte sur la boutique en ligne, ils peuvent commander des choses : des iPads, des ordinateurs portables… et c’est vous qui payez ! Et ils les commandent en tant que cadeaux, avec une adresse de livraison qui n’est pas la vôtre, bien sûr. Alors, combien Yevgeniy a-t-il gagné en vendant cette base de données ? À quel point est-ce rentable ? Je n’en sais rien. Je ne sais pas combien d’argent il a gagné. Mais en faisant des recherches sur cette affaire, j’ai trouvé les comptes de réseaux sociaux de Yevgeniy, et notamment des vidéos sur YouTube et des photos sur Instagram. Sur ses vidéos YouTube, on voit Yevgeniy qui parle de son hobby. Son hobby, c’est les voitures de sport. Il possède une Lamborghini Huracán et une Audi R8. Ceci a été filmé à Moscou. Et d’après son compte Instagram, en plus de sa Lamborghini et de son Audi, il a aussi une Mercedes, une Aston Martin, une Porsche et une Rolex… et une foutue Rolls-Royce ! Alors, quelle était la question ? Combien a-t-il gagné ? Je ne sais pas. Mais suffisamment. À l’heure actuelle, il ne profite plus de sa Rolls-Royce, il est en prison. Ce sont des affaires de cybercriminalité de ce genre sur lesquelles nous enquêtons. Et il est désormais plus facile, lors de nos recherches, de savoir combien d’argent gagnent les pirates. Grâce aux Bitcoins. Les Bitcoins sont célèbres grâce aux attaques de ransomware, ces attaques que nous constatons sans arrêt. Vous avez par exemple le cheval de Troie CTB Locker, qui verrouille votre système, chiffre vos fichiers, et vous réclame 1 Bitcoin et demi, ce qui fait un peu plus de mille euros au cours actuel. Mais toutes les attaques réclamant des rançons en Bitcoins ne sont pas imputables à des chevaux de Troie. Actuellement, ces chevaux de Troie ne sont pas les attaques les plus répandues. Le piratage de bases de données en ligne prime… MongoDB notamment. MongoDB est une base de données ouverte très répandue, généralement utilisée pour le backend des services Web. Et il y a aujourd’hui des hackers qui scannent l’intégralité d’Internet pour trouver des bases de données MongoDB exposées. C’est-à-dire celles qui utilisent des mots de passe par défaut, ou pas de mot de passe du tout. Ils se connectent alors à la base de données, ils la copient puis la suppriment, et ils ne laissent qu’une entrée dans la base de données : un message à l’attention des administrateurs. Et le montant qu’ils demandent varie considérablement, en fonction des victimes. Puisqu’ils demandent la rançon en Bitcoins, ils fournissent à la victime une adresse de portefeuille Bitcoin où envoyer l’argent. Le Bitcoin est basé sur la blockchain, qui est un registre public de transactions. C’est public, donc on peut aller voir combien de victimes ont payé la rançon. Actuellement, trois gangs différents ciblent les bases de données MongoDB. Et ils ont des portefeuilles différents. Le portefeuille le plus actif que j’ai trouvé contenait 111 transactions. La plupart d’entre elles correspondaient à de l’argent envoyé aux pirates. Donc, au moins cent personnes avaient payé. Et le nombre de bases de données piratées, à notre connaissance, est proche de 40 000. 40 000 bases de données piratées, qui ont été chiffrées ou supprimées, et qui servent à extorquer de l’argent aux entreprises. Le mois dernier, nous avons découvert un nouveau cheval de Troie ransomware qui constitue un développement intéressant en matière d’attaque avec demande de rançon, nommé Pop-corn. Il cible les ordinateurs portables des entreprises et chiffre les réseaux auxquels ils sont connectés. Si votre entreprise est attaquée, un utilisateur peut chiffrer des gigaoctets de données sur votre réseau. Et ensuite, il demande une rançon. Il réclame deux Bitcoins, ce qui représente un joli pactole. Certaines des victimes sont des entreprises, qui ont de l’argent pour payer, mais d’autres victimes sont des utilisateurs individuels. Et si la rançon s’élève à 1500 euros, de nombreux utilisateurs n’ont pas les moyens de payer. Les pirates vous offrent donc une option alternative pour récupérer vos fichiers. Si vous n’avez pas l’argent, ils déchiffreront vos fichiers gratuitement… si vous infectez deux autres personnes ! C’est une idée de génie. C’est difficile d’être en colère contre des types aussi créatifs. Réfléchissez-y. C’est comme un système pyramidal combiné à un cheval de Troie ransomware, ou une chaîne de lettres combinée à un cheval de Troie ransomware. Vous devez infecter deux autres personnes, qui devront payer la rançon. Si elles le font, vous récupérez vos fichiers gratuitement. Cela fonctionne vraiment, ils déchiffrent vos fichiers gratuitement si vous infectez deux autres personnes. Vous pouvez imaginer la propagation : une victime infecte deux personnes, qui n’ont pas d’argent pour payer et qui en infectent deux autres, qui n’ont pas d’argent non plus et qui en infectent deux autres… on obtient une croissance exponentielle. Une idée brillante. Et dans le monde des objets connectés, que se passe-t-il ? Nous nous attendons à ce que les chevaux de Troie ransomware pénètrent également le monde des objets connectés. Votre machine à laver connectée ne pourra plus laver les vêtements quand elle sera infectée par un cheval de Troie ransomware, et vous devrez payer un Bitcoin pour la faire repartir. Nous n’avons encore pas constaté ce cas précis, mais il est évident que ce genre de chose va se produire. Ou c’est votre voiture intelligente qui ne démarrera pas jusqu’à ce que vous ayez payé la rançon. Nous avons déjà vu des chevaux de Troie ransomware dans des télévisions connectées. Les télévisions connectées… J’ai conçu une loi à propos de ces termes ‘intelligent’ ou ‘connecté’. Chaque fois que quelqu’un qualifie un appareil d’intelligent, ou connecté, il faut en fait comprendre « exploitable ». Un smartphone est donc un téléphone exploitable. Une smartwatch est une montre exploitable. Une machine à laver connectée est une machine à laver exploitable. Une ville intelligente… Bref, vous avez saisi l’idée. Et cette révolution des objets connectés va se produire. Elle se produit en ce moment même. Nous ne pouvons rien faire contre cela. Et une façon d’envisager les choses est de réaliser que tout ce que nous branchons sur le secteur, nous le connecterons sur Internet. Certains objets n’ont même pas besoin d’être branchés pour être ‘connectés’. Voici par exemple un matelas intelligent. Oui, c’est un matelas pour dormir. Un matelas connecté à Internet, avec des capteurs intégrés. Mais à quoi ça sert de fabriquer des matelas intelligents ? Eh bien, l’idée est que les capteurs vont détecter quand votre lit est utilisé, et que vous n’êtes pas à la maison, d’une manière soupçonneuse. Et vous recevrez un message sur votre téléphone, qui vous dira que quelque chose se passe dans votre lit. Ça existe vraiment, je ne vous mens pas ! C’est un vrai produit, fabriqué en Espagne, bien sûr. Ça ressemble à une plaisanterie, mais c’est un vrai produit. Cette révolution des objets connectés a vraiment commencé avec les systèmes de commande industriels, les ICS. Car les usines sont connectées depuis dix ans. Et maintenant, c’est le tour de nos maisons. Nous pouvons donc en apprendre beaucoup sur les problèmes que nous allons rencontrer avec les objets connectés en étudiant les problèmes que nous avons constatés avec les ICS. Et un problème que nous avons observé dans les usines est qu’on les sécurise souvent en les déconnectant des réseaux publics. On élabore donc des systèmes informatiques, tout est piloté par des ordinateurs et des logiciels, mais il n’est pas vraiment nécessaire de les sécuriser, puisque personne ne peut les pirater, ils ne sont pas connectés à Internet. Cette idée fonctionne… jusqu’à une certaine limite. Elle fonctionne à peu près. Le problème, c’est qu’il est incroyablement difficile de garder les choses déconnectées. L’interface de commande, que vous configurez initialement, qui n’a pas de mot de passe et qui n’est pas connectée à Internet, peut se retrouver sur Internet des années plus tard, lorsque quelqu’un reconfigure votre réseau, ou relie deux réseaux, ou ajoute un pont ou un routeur, ou crée un point d’accès distant, ou autre chose. Nous savons tout cela, parce que nous le constatons régulièrement. Voici l’interface de commande d’une usine, directement sur Internet, sans nom d’utilisateur ni mot de passe. Et évidemment, personne n’a voulu cela, personne ne se réveille le matin en se disant : « Ha, aujourd’hui, je vais mettre l’interface de notre aciérie en ligne, sans mot de passe. » Personne ne fait ce genre de chose intentionnellement. Mais ces choses se produisent accidentellement, nous en voyons sans arrêt. Résultat, nous trouvons une aciérie avec 24 tonnes d’acier à 1200 degrés. Et c’est sur le Net, sans mot de passe. Tout le monde peut y aller et cliquer sur le bouton. Et ça, c’est une mauvaise idée. C’est une mauvaise idée de mettre son usine en ligne sans mot de passe. Nous trouvons aussi des choses comme ça, tout le monde voit de quoi il s’agit ? Ceci, mes amis, est l’interface de commande d’un crématorium. C’est en ligne, sans nom d’utilisateur ni mot de passe. On trouve toute sorte de choses, voici la maison de quelqu’un, en Allemagne. En ligne, sans nom d’utilisateur et sans mot de passe. Vous pouvez vous-même éteindre la lumière. Ou éteindre l’alarme, ou cliquer sur le bouton ‘Caméra’ et regarder les caméras de sécurité, y compris dans la chambre à coucher. Ce qui est une mauvaise idée ! Je vais vous donner un bon conseil : si vous installez une caméra de sécurité connectée à Internet pour surveiller vos plantes vertes… protégez-la par un mot de passe. Voilà, conseil gratuit. Si ce genre de choses vous intéresse, je vous invite à suivre un de mes amis sur Twitter. Dan Tentler, connu sous le pseudo @Viss sur Twitter, il parcourt régulièrement le Net et trouve des choses étonnantes qui y sont connectées. C’est un compte intéressant à suivre. Alors, quel est le problème en fait ? Il est évident que si quelqu’un regarde vos caméras de sécurité, c’est un problème. Mais est-ce que cela pose des problèmes de sécurité ? Oui, car dans de nombreux cas, ces objets connectés se trouvent être le maillon faible de votre réseau. Nous sommes régulièrement confrontés à des cas où des objets connectés constituent une porte d’entrée. C’est par cette porte que les pirates accèdent au réseau interne. Ils ne pouvaient pas franchir le pare-feu, ni le routeur, ni passer par le Wi-Fi… Ils sont passés par l’ampoule intelligente. Tout le problème est là. Ce problème n’est pas limité à nos habitations, les pirates peuvent aussi accéder à nos bureaux. Pourquoi ? Parce que les employés amènent des objets connectés au travail. Il peut arriver qu’un de vos employés apporte une machine à café connectée au travail, et la branche sur le réseau Wi-Fi de l’entreprise. Votre service informatique n’est pas au courant de sa présence. Et elle devient le maillon faible de votre réseau d’entreprise. L’an dernier, nous avons découvert une vulnérabilité dans une bouilloire connectée, qui divulguait le mot de passe du réseau Wi-Fi auquel elle était connectée. Si elle se connectait au réseau Wi-Fi de votre entreprise, elle en divulguerait le mot de passe. N’oublions pas les voitures. Les voitures peuvent être piratées. Les risques auxquels nous pensons généralement sont que des pirates peuvent accéder aux commandes de notre voiture et nous tuer. Ça n’arrivera pas. Ça n’intéresse pas les hackers de tuer des gens. C’est également illégal de tuer des gens. J’ai vérifié. Nous avons plus de raisons de nous inquiéter des attaques qui rapportent quelque chose aux hackers. Alors, à quoi peut ressembler le piratage de voiture ? Voici un exemple récent. Ce sont les images d’une caméra de sécurité, qui montrent le vol d’une voiture. On peut voir le voleur qui approche de la voiture, qui ouvre la portière sans casser la vitre et qui entre à l’intérieur. Ensuite, il ne démarre pas en manipulant les fils de contact, mais il sort un MacBook ! Il connecte le MacBook au canal OBDII du véhicule à l’aide d’un câble USB et commence son piratage. Deux minutes plus tard, l’alarme, qui clignotait, s’arrête de clignoter. Deux minutes encore, et il démarre la voiture et s’en va. Voici à quoi ressemble le piratage d’une voiture. Car cela rapporte de l’argent. Et l’argent est une grande motivation. Le vol de voitures constitue déjà un problème sérieux. S’ils peuvent voler une voiture sans casser de vitre ni démarrer avec les fils, ils choisiront de préférence cette méthode. Autre chose à propos des objets connectés : ils peuvent servir à fabriquer des botnets. En octobre, nous avons connu la plus grande attaque par déni de service de toute l’histoire d’Internet. Cette attaque a été lancée par le botnet Mirai, initialement développé par un hacker nommé Anna-Sempai. Le réseau d’attaque comprenait 120 000 appareils. Et aucun de ces appareils n’était un ordinateur. Tous étaient des objets connectés, par exemple des magnétoscopes numériques, des caméras de sécurité ou des caloducs, des choses de ce genre. Comment est-ce que Mirai a pu accéder à ces appareils ? Est-ce qu’ils présentaient une vulnérabilité ? Non. Mirai scanne simplement des plages d’adresses IP, et lorsqu’il rencontre un objet connecté, il essaie de s’y connecter avec le nom d’utilisateur et le mot de passe par défaut. Il essaie par exemple ‘admin-admin’, ou ‘root-default’, ou ‘support-support’, ou mon préféré : ‘mother-fucker’. Et c’est tout ! (Je me demande s’ils ont traduit ‘mother-fucker’ dans votre langue…) Et voilà ! Avec ces mots de passe, il a accédé à 120 000 appareils. Ce qui se passe est assez facile à comprendre. Est-ce que vous vous souvenez des magnétoscopes VHS ? La plupart d’entre nous s’en souviennent, mais les plus jeunes peut-être pas. Tout le monde avait un magnétoscope VHS dans son salon, sous la télé. Chaque fois que vous rendiez visite à vos amis, vous pouviez admirer leur magnétoscope VHS. Et il y avait toujours des zéros qui clignotaient sur l’afficheur. Il y a toujours des zéros qui clignotent sur les afficheurs de tous les magnétoscopes. Pourquoi ? Parce que c’est l’heure. Normalement, ça affiche l’heure actuelle. Mais en cas de coupure de courant, l’appareil oublie l’heure et à la place, il affiche des zéros qui clignotent. Et personne ne sait comment régler l’heure. Ou personne ne se donne la peine de la régler, tout le monde s’en fiche. C’est le même problème avec les objets connectés. Vous achetez une caméra de sécurité connectée toute neuve. Vous la rapportez à la maison, vous l’accrochez au mur, vous l’allumez, vous installez l’appli sur votre téléphone, vous l’essayez pour la première fois et ça marche ! Vous avez le flux vidéo, c’est formidable ! Ne touchez plus à rien, vous pourriez rompre la magie. C’est ce que font les gens. Et donc, ils laissent le mot de passe par défaut sur l’appareil. C’est l’équivalent des zéros qui clignotent sur les magnétoscopes VHS des années 80. Nous ne configurons pas nos appareils, ce n’est pas une obligation de les configurer. Soit dit en passant, le protocole utilisé par Mirai pour chercher les mots de passe n’est pas ssh, ni https. C’est Telnet. Je sais, c’est triste, mais la plupart de nos appareils connectés tout neufs utilisent Telnet pour leur connexion admin. Telnet, que nous avons cessé d’utiliser pour nos ordinateurs dans les années 90, tellement c’était risqué. Telnet ne chiffre aucune communication, même pas votre mot de passe. Donc, si Telnet est installé sur votre Wi-Fi, tous ceux qui sont connectés au même Wi-Fi peuvent capter votre mot de passe dans les airs. Et il semble que nous répétons avec les objets connectés des erreurs depuis longtemps résolues pour les ordinateurs. Pour une raison indéterminée, nous sommes forcés de reproduire les mêmes problèmes. Nous utilisons Telnet pour la fonctionnalité admin, ces objets connectés exécutent presque tous Linux, et la version du noyau est le plus souvent antédiluvienne. Et il n’y a pas moyen de la mettre à jour. Voilà un autre problème que nous avons résolu pour les ordinateurs, avec la mise à jour automatique. En matière de sécurité des objets connectés, nous régressons donc. Et ces objets connectés ne vont pas s’améliorer d’eux-mêmes. Leurs fabricants ne corrigeront pas ces problèmes de sécurité eux-mêmes non plus. Pourquoi ? Parce que la sécurité n’est pas un argument de vente pour les appareils ménagers. Quand vous achetez une machine à laver, vous ne posez pas de questions sur sa technologie de prévention des intrusions ou sur son pare-feu. Le principal argument de vente pour les machines à laver, c’est son prix. Le prix est le plus important. Le deuxième aspect le plus important est le poids de linge que vous pouvez laver. Le troisième aspect le plus important est la couleur de la machine. La cyber sécurité ne fait jamais partie de la discussion. Et cela implique que ceux qui fabriquent ces appareils ne peuvent pas se permettre d’investir de l’argent dans la sécurité. Puisque le prix est d’une telle importance, ils doivent proposer des articles aussi peu chers que possible, et puisque personne ne demande de sécurité, pourquoi investir de l’argent dans ce domaine ? Nous nous préparons à l’échec. Et la seule manière d’y remédier est malheureusement la réglementation. Je n’aime pas particulièrement la réglementation, mais nous réglementons déjà la sûreté de tous nos appareils. Alors peut-être devrions-nous réglementer aussi la sécurité informatique de nos appareils ménagers. Quand vous achetez une machine à laver, vous pouvez être à peu près sûr qu’elle ne flambera pas suite à court-circuit, et qu’elle ne vous électrocutera pas, parce que nous réglementons ces aspects. Mais par contre, elle divulguera votre mot de passe Wi-Fi. Et surtout, si votre machine à laver prend feu à cause d’un court-circuit et provoque un incendie qui réduit votre maison en cendres, le fabricant sera responsable des dommages. Mais si la même machine divulgue votre mot de passe Wi-Fi, et que tous les ordinateurs de la maison sont chiffrés par un cheval de Troie à rançon, le fournisseur ne sera pas responsable, et nous devons changer cela. Nous devons faire en sorte que les fabricants d’objets connectés soient responsables, pas seulement des problèmes de sûreté qui peuvent affecter leurs appareils, mais aussi de leurs problèmes de sécurité. Sinon, ce problème ne se résoudra pas de lui-même. On peut même dire aujourd’hui que les objets connectés sont en train de devenir une menace claire et présente pour l’ensemble d’Internet… ce qui est plutôt triste. Autre tendance du moment : le piratage par des gouvernements. Des gouvernements qui écrivent des malware. Ces trois derniers mois, la presse a fait ses choux gras de ce couple. Et bien ententendu, de leur ami. Bloomberg TV a diffusé une interview très intéressante avant les élections. Au cours de cette interview, le président Poutine a dû répondre à la question à mille euros. Il lui a été demandé : « M. Poutine, qui a piraté les démocrates ? » Et il a répondu : « Est-ce que c’est vraiment important ? Est-ce que cela à la moindre importance de savoir qui les a piratés ? Ce qui est important, c’est le contenu des e-mails. Il n’est pas utile de distraire le public à propos des auteurs de ces faits. » ‘Il n’est pas utile de distraire le public à propos des auteurs de ces faits’ Il ne faut pas chercher qui a piraté les démocrates, nous devons nous concentrer sur les e-mails dévoilés. Ce commentaire de Poutine en dit long. Et je suis assez vieux pour me rappeler qu’autrefois, c’étaient les hackers qui faisaient des ravages et divulguaient des informations confidentielles. Et aujourd’hui, il semble que ce sont des gouvernements qui font des ravages et divulguent des informations confidentielles. C’est plutôt étrange, mais ainsi va le monde dans lequel nous vivons. Alors, est-ce la cyber guerre ? Non, ce n’est pas la cyber guerre. Pourquoi ? Parce que la Russie et les États-Unis ne sont pas en guerre. Comment une attaque pourrait-elle faire partie d’une guerre, s’il n’y a pas de guerre ? La plupart des attaques émanant de gouvernements concernent l’espionnage. Presque toutes les attaques émanant de gouvernements, sur lesquelles nous avons enquêté au cours des quinze dernières années, avaient pour but de voler des informations. Et l’espionnage n’est pas la guerre non plus. L’espionnage, c’est l’espionnage. Alors, y a-t-il des attaques, parmi celles que nous avons observées, que nous devrions qualifier de cyber guerre ? La réponse est oui. Oui, il y a eu des attaques, qui, je pense, sont des exemples de cyber guerre. Par exemple, en fin d’année dernière, des attaques ont ciblé des smartphones de soldats ukrainiens. Ces attaques venaient de Russie. Les téléphones de ces soldats ont été infectés par un malware russe, qui les géolocalisait. Les soldats russes pilonnaient alors leurs positions et les tuaient. Si nous n’appelons pas cela de la cyber guerre, je ne sais pas ce que nous pouvons appeler de la cyber guerre. Quand des soldats sont tués en temps de guerre parce que leurs téléphones ont été piratés, c’est de la cyber guerre. Nous nous trouvons donc au cœur de grands changements. Et il est possible que vous ayez déjà entendu cette phrase : « les données sont le nouveau pétrole ». C’est complètement vrai, les données sont le nouveau pétrole. Pas la peine d’aller chercher plus loin que Google pour constater à quel point les données sont le nouveau pétrole. Nous utilisons tous Google. Pour faire des recherches, pour regarder des vidéos sur YouTube, pour consulter Gmail ou Google Docs ou Google Maps. Et nous ne payons pas un sou. Ces services sont gratuits. Excellent. Rien à payer. Pourtant, mystérieusement, Google a fait 80 milliards de recettes l’année dernière. Et 12 milliards de profit. Alors que nous n’avons rien payé. Si cela n’illustre pas parfaitement à quel point les données sont le nouveau pétrole, je ne sais pas ce qui peut l’illustrer. Tout comme le pétrole nous a apporté la prospérité, mais aussi des problèmes. De la même manière, les données vont nous apporter la prospérité et des problèmes. Le pétrole nous a apporté des problèmes comme le réchauffement climatique et la pollution de la nature. Si vous travaillez dans le pétrole, vous devez vous soucier des fuites de pétrole. Si vous travaillez dans les données, vous devez vous soucier des fuites de données. Et j’illustrerai ce point – les données sont le nouveau pétrole – avec une application intéressante, celle d’une entreprise qui s’appelle FindFace. Il s’agit d’une application Big Data qui recherche les visages dans les réseaux sociaux. Si quelqu’un prend une photo de vous alors que vous marchez dans la rue, il peut vous trouver sur Facebook et savoir qui vous êtes, ce qui est un peu… je ne sais pas, déstabilisant, mais cette technologie existe. Et cela fonctionne encore mieux que ce que nous imaginons. Dans cet exemple, ils prennent une vieille photo, sur laquelle se trouvent trois personnes, et ils choisissent un enfant. Cette photo date d’il y a douze ans. L’enfant est à présent adulte, et ils peuvent le retrouver sur les réseaux sociaux, grâce à cette photo prise douze ans auparavant. C’est assez cool, c’est une technologie vraiment cool, mais en même temps effrayante, non ? Bien, les données, c’est un peu le nouveau pétrole. Si vous travaillez dans les données, vous devez vous soucier des fuites de données, de la même manière que si vous travaillez dans le pétrole, vous devez vous soucier des fuites de pétrole. Voilà, mes amis, le monde dans lequel nous vivons aujourd’hui. Merci beaucoup.

Danny Hutson

Leave a Reply

Your email address will not be published. Required fields are marked *