Conseil de cybersécurité

Le recours toujours plus fréquent à l’outil informatique dans notre quotidien, qu’il s’agisse de la sphère privée ou professionnelle, conduit à une augmentation de la surface d’exposition de notre vie numérique. Les données que nous créons ou manipulons constituent « l’or blanc » d’aujourd’hui. Elles se monnaient très cher dans la sphère légale, comme en atteste le fait qu’elles constituent la base d’un certain nombre de modèles économiques. Souvenez-vous en effet de l’adage « si c’est gratuit, c’est toi le produit », qui rappelle que les métadonnées que nous générons lors de l’utilisation d’une application gratuite constituent le loyer que nous consentons à payer pour pouvoir utiliser cette dernière.

Comme dans le monde matériel, tout ce qui a de la valeur attire la convoitise et les voleurs. L’espace numérique n’échappe pas à cette règle. Mais le simple vol ne suffit pas, car l’immatérialité des données autorise leur sauvegarde. Les pirates ont très vite intégré le fait que la valeur des données numériques reposait sur leur confidentialité ou leur caractère indispensable au fonctionnement du quotidien. Ainsi, après avoir appris à pénétrer les systèmes d’information à la fin des années 80, ils ont développé des outils d’encryption, c’est-à-dire de codage au moyen de rançongiciels rendant le contenu des ordinateurs indéchiffrable en l’absence d’une clef de déchiffrement, livrée contre rançon. Pour faire monter le montant de la rançon, ils ont décidé d’exercer une pression en menaçant de divulguer les données qu’ils avaient préalablement copiées. Ceci est sans compter sur le fait que ces mêmes données sont souvent anonymisées avant d’être revendues à des databrockers, lesquels les revendront à leur tour en toute légalité dans des pays où la législation le permet, procédant à une véritable entreprise de blanchiment, à l’instar des autres marchés illégaux. Ainsi, le piratage informatique expose doublement l’utilisateur lambda que nous sommes toutes et tous : d’une part nous ne pouvons plus utiliser notre outil du quotidien, mais nous nous exposons au fait que les données qu’il contenait lors de l’attaque soient divulguées, avec les conséquences que cela peut avoir (en particulier pénales), spécialement si elles permettent une usurpation d’identité. Au-delà de ce vol, la pénétration des systèmes d’information peut conduire à la destruction ou la corruption des données ou matériels. Il est ainsi envisageable que des données ou outils de recherche dans un domaine sensible soient corrompus dans le but de freiner le travail d’une équipe au profit d’une autre, concurrente. Que dire de la corruption de données servant à l’apprentissage d’outils d’intelligence artificielle ? De la corruption à distance d’objets connectés (Internet of Things) ?
Le champ des possibles est infini. Or, dans le domaine de la sécurité informatique, nous nous comportons aujourd’hui, de manière générale, comme de gentils naïfs qui laisseraient la porte de leur maison ouverte, avec, pour certains, le code de l’alarme écrit à côté du boîtier. Si nous avons progressé sur nos lieux de travail grâce à l’action des responsables de sécurité des services d’information (RSSI), nous restons très vulnérables dans notre vie privée, car les sécurités de nos outils y sont moins robustes et les portes d’entrées plus nombreuses. Or les attaques contre les institutions sont souvent lancées via des accès à distance, comme en ont des fournisseurs ou des télétravailleurs… que nous sommes toutes et tous. Les lieux publics ou privés à partir desquels nous travaillons et nous nous connectons sont souvent mal ou non sécurisés. Nos mots de passe sont perfectibles. En effet, un mot de passe de six chiffres est immédiatement identifiable par un pirate. A l’inverse, il faudra plus de sept ans pour percer un mot de passe composé de 8 caractères associant majuscules, minuscules, symboles et chiffres[1].
Le présent article ne prétend pas proposer des bonnes pratiques dans le domaine de la cybersécurité, car cela exige des compétences et connaissances qui dépassent celles de son auteur. Il a pour objectif de sensibiliser chacune et chacun d’entre nous au risque cyber, et à poser les bases de la protection, bases qui seront mises en œuvre en sollicitant l’aide de personnes compétentes (RSSI), a fortiori lorsque les données contenues dans nos ordinateurs ont un caractère sensible. Ces dernières doivent ainsi être sauvegardées régulièrement. Les plus sensibles seront cryptées. Les logiciels utilisés doivent être à jour. Les mots de passe doivent respecter les critères garantissant leur robustesse aux attaques (voir 1). Le recours aux écrans anti-espion, pare-feu, logiciel anti-virus, sont la base des bonnes pratiques, en sus de la fermeture de session dès la fin de l’usage, comme du port Wi-Fi en l’absence d’utilisation. L’utilisation d’un réseau privé (Virtual Private Network) limitera l’interception de données lors de l’utilisation de réseau sans fil, en particulier dans les lieux publics.
La cyber sécurité est l’affaire de tous. Souvenons-nous que la résistance d’une chaine, si grosse paraît-elle, repose sur la robustesse du maillon le plus faible.

[1] https://www.francenum.gouv.fr/magazine-du-numerique/combien-de-temps-un-pirate-met-il-pour-trouver-votre-mot-de-passe-comment, dernier accès le 11 juin 2024

Mathieu RAUX, professeur de Sorbonne Université, praticien hospitalier en anesthésie réanimation et médecine périopératoire à l'hôpital de la Pitié-Salpêtrière