Ce grand penseur japonais
des années 1980, connu en France sous le nom de Kenshiro dit « le
Survivant » s'employait souvent à résumer sa pensée par le
très nihiliste « Tu ne le sais pas encore mais tu es déjà
mort ».
C'est peut-être
exactement ce qui est en train d'arriver à Internet.
Internet est mort, et
c'est la NSA qui l'a tué.
Oui, je sais, ça fait
très prévision farfelue de chantre de l'apocalypse. Disons que
Internet n'est pas tout à fait mort, mais il aurait visiblement pris
un coup violent, très violent même, et pourrait tout à fait
décéder d'hémorragie dans les mois/années qui viennent. Ça
prendra peut-être beaucoup de temps, peut-être que finalement des
chirurgiens de génie réussiront à sauver la situation, mais pour
l'instant Internet est aux urgences, en espérant qu'on évite les
soins palliatifs.
Mais pourquoi annoncer
qu'Internet est mourant ? Après tout le réseau fonctionne, les
échanges se font. Vous recevez vos courriels, facebook et twitter
tournent normalement, de nouvelles vidéos sont arrivées sur Youtube ce matin, tout semble aller pour le mieux dans le
meilleur des mondes. Bon il y a bien cette histoire de pénurie des
adresses Ipv4, mais ça fait 10 ans qu'on en parle et visiblement ça
n'a affolé personne, donc les choses semblent aller comme il faut,
non ?
Le hic, c'est que ce
n'est pas vraiment l'infrastructure d'Internet qui est affectée. Les
échanges d'information continuent à circuler comme avant et il n'y
apparemment pas trop à craindre de ce côté. Ce qui est en cause en
ce moment même, ce ne sont pas les échanges, c'est leur sécurité.
La sécurité et le
chiffrement sont devenus des éléments fondamentaux de notre usage
du réseau. Nous employons des protocoles chiffrés et sécurisés
tous les jours, que ce soit pour consulter notre courrier, protéger
les données que nous hébergeons dans les nuages, nous assurer qu'un
vil pirate ne va pas dérober à la volée notre numéro de carte
bancaire lorsque l'on va faire un paiement en ligne... L'emploi du
chiffrement de données sur Internet est devenu tellement courant que
l'on n'y fait presque plus attention. Et c'est cette sécurité là
qui a été mise en péril.
Dans le cadre de
l'affaire PRISM/Snowden, Le
Guardian et Le New
York Times ont annoncé hier que la National Security Agency
américaine et le Government Communications Headquarters
britannique auraient depuis plusieurs années mis en place des
mesures leur permettant de casser les méthodes de chiffrement
employées sur Internet (en
Français dans LeMonde.fr). Selon ces articles, les programmes
Bullrun et Edgehill auraient permis à leurs commanditaires d'influer
sur le travail des entreprises créant les systèmes de sécurisation
les plus employés du réseau afin d'y faire introduire des failles
de sécurité. Ces failles n'attendaient plus alors qu'à être
exploitées, et c'est déjà chose faite.
Si c'est le cas (et je
parle bien ici avec réserve, je n'ai pas moi-même mis le nez dans
les documents concernés pour vérifier la réalité technique de ces
allégations, et elles sont suffisament graves pour prendre des
pincettes), cela implique que certaines implémentation des protocoles sécurisés les plus
courants (https et ssl) ne sont plus sûrs. La NSA est capable de les
casser.
Les habitués du Big
Brother vont se dire qu'il n'y a là rien de nouveau, que de toute
façon les espions écoutent et espionnent tout le monde depuis que
le monde est monde et que ce n'est que la version contemporaine de
ces histoires d'espionnage. Mais il faut bien avoir en tête une
notion essentielle quand on parle de sécurité et de chiffrement de
l'information : si la faille existe, et que ne serait-ce qu'une
personne au monde a pu l'exploiter, alors ça veut dire que d'autres
peuvent le faire.
Si aujourd'hui la NSA est
capable de casser ces sécurités, alors potentiellement dans un
futur pas assez lointain d'autres les casseront, et leur objectif ne
sera pas forcément la lutte contre le terrorisme international. Et
le seul fait qu'il soit possible que les échanges sécurisés soient
compromis met en échec la notion de confiance dans le réseau.
Les failles de sécurités
introduites à la demande de la NSA finiront par être découvertes
et exploitées par des personnes pas mieux intentionnées qu'eux. Ce
qui rend tous les échanges en ligne vulnérables, et ce qui risque
d'impacter fortement le comportement des usagers du réseau.
Continuerez-vous à
stoker les données stratégiques de votre entreprise dans le cloud
si vous savez que potentiellement un concurrent peut y avoir accès ?
Les universités continueront-elles à coopérer en ligne sur des
travaux de recherche si elles peuvent être victimes d'espionnage ?
Continuerez-vous à faire des échanges en ligne si votre numéro de
carte bancaire n'est plus sécurisé quand vous le saisissez ?
Le jour où un groupe de
hackers assez efficace emploiera ces failles pour récupérer une myriade de codes de cartes
bancaires et vider les comptes de quelques milliers de personnes à
travers la planète, ça risque de faire désordre. Le jour où les
transactions boursières mondiales seront victimes d'une attaque et
qu'on va voir une nouvelle série de banques s'effondrer ça va faire
du bruit (bon OK, depuis quelques années, les faillites de banque,
on connaît, mais tout de même). La confiance des utilisateurs dans
le réseau va alors s'écrouler, à raison, et l'impact ne sera pas
petit. Pensez à toutes ces sociétés qui se sont montées sur le
thème du stockage de données en ligne, ou à toute l'activité
commerciale qui se passe en dehors des magasins physiques. Tout ceci
risque de prendre un grand coup, un très grand coup.
Alors bien sûr rien n'est
encore joué. D'ores et déjà la mesure la plus importante à faire
pour éviter cela était de révéler l'existence de ces failles, ce
qui va pousser à leur colmatage et (il faut l'espérer) au
renforcement des sécurités en place sur le réseau. Edward Snowden
et ces journaux ont fait exactement ce qu'il fallait en révélant
ces informations (en sécurité rien de pire qu'une faille dont on
ignore l'existence). Internet a pris un gros coup mais il bouge
encore, et certains peuvent œuvrer à le sauver. A son époque,
Kenshiro ne connaissait pas Urgences, et heureusement, les
docteurs du réseau sont nombreux.
Mais il serait naïf de
sous-estimer la gravité de ce qui vient d'être révélé hier.
Parce que si la confiance dans la sécurité des échanges réseaux
s'effondre, notre usage d'internet et toute l'économie qui s'est
développée autour de ces usages vont en pâtir. Et nous n'avons pas besoin
d'une nouvelle crise mondiale là tout de suite.
Aucun commentaire:
Enregistrer un commentaire