Cybersécurité - Innovations digitales et numériques

Après la BCE, EBay, OVH, Domino's Pizza et le système iCloud d'Apple, les pirates informatiques s'intéressent de près aux banques. JP Morgan Chase & Co a révélé le 2 octobre que les noms, numéros de téléphone et adresses mail de 83 millions de ses clients lui ont été volés cet été. 76 millions de ménages et sept millions de PME seraient concernés.

C'était le 5 septembre, dans les locaux de Google, à San Francisco. Quelque 80 ingénieurs informatiques français installés - ou près de s’installer - dans la Silicon Valley étaient réunis. Ils sont en Californie depuis 15 ans, 10 ans, 2 ans, 6 mois ou quelques jours tout juste… Ils sont diplômés de Polytechnique, de l’Epita, d’Epitech, de l’EISTI… Ils travaillent dans des start-up, à la Nasa, chez Google, chez Linkedin, Facebook, dans les équipes du Kindle d’Amazon, chez Sony, dans un laboratoire de l’opérateur télécoms coréen KT… Certains ont même créé leur entreprise. Ils sont réunis à l’initiative de While42 San Francisco, l’association des ingénieurs high-tech français de la région, pour s’adonner à du réseautage actif. La consule de France en Californie fraichement nommée etait là aussi.

Mario Paniccia, directeur du Photonics technology Lab chez Intel, se frotte les mains. La technologie de photonique sur silicium qu’il développe depuis 12 ans, avec aujourd’hui une centaine de chercheurs, est dans les starting-blocks. Des équipementiers de réseaux et datacenters comme Fujitsu, Advantec, Arista, Tabula ou Quanta la mettent déjà en œuvre sur des prototypes. Leurs produits, en démonstration à l’IDF, l’évènement réunissant développeurs, partenaires et clients d’Intel à San Francisco, du 9 au 11 septembre 2015, devraient être commercialisés d’ici début 2015.

Conclusion : si les analyses de Brian Krebs sont valides, le piratage de Home Depot a donc probablement touché plus de 2 000 magasins aux Etats-Unis et, ce depuis avril ou mai selon les témoignages des banques interrogées par le blogueur. Rappelons que le vol de données chez Target, qui a duré environ 3 semaines seulement, concernait 1 800 magasins. Et avait abouti à la mise en vente de 40 millions de numéros de cartes. Il faut donc s’attendre à des chiffres encore plus vertigineux avec Home Depot, qui semble parti pour remporter le triste record de la plus grosse fuite de données bancaires à ce jour.

Ce qui signifiera aussi pour les programmes malveillants qu’un pourcentage significatif de la population mondiale pourrait basculer vers le système d’exploitation de son choix (population chinoise = 1,4 milliards, soit 19% de la population mondiale), autre que Windows. Pour les auteurs de programmes malveillants, cela pourrait avoir un effet dissuasif sur leurs pratiques bien établies qui consistent à imaginer des variantes qui s’exécutent uniquement sur des ordinateurs sous Windows. Et cette tendance pourrait s’accentuer d’autant plus que la population mondiale possède habituellement un Smartphone qui lui sert d’ordinateur personnel.

Le juge fédéral de New-York vient de rendre une décision importante en matière d'accès aux informations hébergées par des sociétés américaines, même en dehors du territoire. Selon le document (.pdf), les services de messagerie ou d'hébergement doivent être en mesure de fournir les données qu'ils hébergent si un mandat du gouvernement les y oblige.

Dès lors, il est tout à fait concevable d'envisager une architecture du cyberespace différente d'ici 2030. Les infrastructures disponibles de transport et de traitement des données seront toujours, d'une part, majoritairement le fait de compagnies privées, Google (8) étant l'une des locomotives des évolutions en devenir. D'autre part, ce seront aussi d'autres pays que l'oncle Sam qui se partageront la régulation et la puissance : Chine, Brésil, Russie, Inde, peut-être l'Europe (9)(10). La stratégie et la géopolitique du cyberespace (11) en seraient alors modifiées sans qu'il soit, pour le moment, possible d'en définir l'amplitude et les effets. Une chose est sûre cependant : louper le train de l'innovation combinatoire (12), du numérique et, plus largement, des NBIC (13) relèguera la volonté supposée de puissance d'une nation à des rêves de grandeur mortifiée.

Le patron du FBI est formel : les cyberattaques chinoises contre les entreprises américaines sont "impossibles à dénombrer", mais leur coûtent chaque année plusieurs "milliards" de dollars. Interviewé le 5 octobre pendant l'émission 60 minutes sur la chaine de télévision CBS, James Comey refuse d'énumérer l'ensemble des pays qui attaquent l'industrie aux USA, mais il garantit que l'Empire du Milieu est en tête de la liste.

Le ministère de l'Intérieur des Etats-Unis a déjà lancé un avertissement. Dans une note (.pdf), il alerte les professionnels quant à la diffusion d'un malware baptisé Backoff capable de s'introduire dans les terminaux présents sur certains points de vente. Il est ensuite en mesure de récupérer des données bancaires de cartes de crédit présentes dans les mémoires de ces appareils.

A l’échelle du premier semestre, ce seraient plus de 375 millions d’enregistrements qui ont été volés ou perdus à cause de 559 failles répertoriées dans le monde, soit 1355 enregistrements volés ou perdus par seconde. Selon cette étude, le domaine de la santé totalise 23% des incidents. Le vol d’identités est, selon SafeNet, la cause principale des failles avec 58% des incidents et 88% des enregistrements volés. En termes de géolocalisation de ces attaques, les Etats-Unis arrivent largement en tête, totalisant 85% des enregistrements touchés à travers le monde. L’Allemagne arrive cependant en seconde position avec près de 10% du total des enregistrements corrompus.

Il était temps. Le paiement par carte bancaire à puce, presque inexistant aux Etats-Unis contrairement à l'Europe, a séduit l'enseigne Sam's Club, une filiale du numéro un mondial de la distribution Wal-Mart. En Europe, c'est la norme EMV, soutenue par les banques et les fabricants de cartes, qui assure la sécurisation de ces transactions électroniques.

L’inculpation est sans précédent dans le droit international étant donné qu’il vise à criminaliser des actions qui auraient été commises non pas par des pirates isolés ou des individus « voyous » (« rogue ») mais par des officiers servant dans les forces armées d’un grand pays. Le but calculé est de provoquer une confrontation entre les gouvernements américain et chinois.

Dans ce rapport, le CNNum propose 4 axes stratégiques pour accompagner cette mobilisation :
1. S’appuyer sur les valeurs de l’Union européenne pour faire levier dans la stratégie de négociation
2. Garantir la capacité de l’Union européenne à réglementer et structurer son marché numérique dans le futur
3. Sortir du seul prisme de la relation entre les Etats-Unis et l’Europe pour aborder le numérique dans sa dimension internationale
4. Accélérer la construction d’une stratégie numérique européenne et renforcer les capacités “numériques” dans la négociation

La NTIA (National Telecommunications and Information Administration), agence du ministère du commerce américain, a indiqué qu'elle mettrait fin officiellement à sa relation avec l'Icann (l'Internet Corporation for Assigned Names et Numbers) à la fin 2015. Son administrateur, Lawrence Strickling, a indiqué lors une conférence de presse que l'agence prévoyait « de ne pas renouveler son contrat avec l'Icann sur la gestion des noms de domaines qui expire en septembre 2015 ». Il exige néanmoins que l'organisation se dote « d'un nouveau modèle de gouvernance mondiale ».