Sécuriser les données dans « Dataland » ?

Au fil des siècle l’être humain a appris à sécuriser les périmètres de l’espace physique où il vivait. Remparts de Carcassonne, porte de Valenciennes à Douai, postes frontières : ce sont des vestiges de cette pratique.

Aujourd’hui il existe un nouveau continent, virtuel mais de plus en plus présent dans nos vies, qu’on pourrait appeler « Dataland » : le vaste continent des données numériques, au cœur du Net. Ce continent, qui croît réellement de manière exponentielle, n’a ni frontière physique, ni gouvernants, ni poste frontière, ni remparts. Ses visiteurs se jouent facilement des lois du monde réel. On y trouve de tout : des cours en ligne, des réseaux sociaux, des sites web de commerce électronique. On y trouve aussi des choses plus dérangeantes, plus noires, cela va de sites où on peut acheter des malwares, des photos pédopornographiques ou, comme il a été observé récemment, des dossiers médicaux à vendre. Si ce continent numérique reste fascinant et va probablement changer le monde d’une manière difficile à évaluer aujourd’hui, il a un point faible : son territoire est peu ou mal sécurisé, les lois qui y règnent sont souvent obscures à interpréter pour un non juriste et la complexité juridique de certains montages dépassent souvent l’appareil judiciaire en cas de conflit.

Les statistiques montrent que des centaines voire des milliers d’ordinateurs sont attaqués chaque seconde dans le monde : celui d’une PME, celui d’une grande entreprise, d’un ministère ou le vôtre.

Que recherchent ces « hattackants » ? De l’information, toujours de l’information mais sous forme numérique. Pourquoi ? Pour vous prendre de l’argent ou vous en faire perdre : identifiants bancaires, coordonnées de carte bleue : tout ce qui peut servir à usurper une identité dans le monde réel ou tout ce qui peut servir à exiger une demande de rançon. Par exemple, un ransomware (logiciels malveillants¹) prend en otage vos données personnelles ou celles de votre entreprise et, s’il n’est pas bloqué, va les chiffrer puis vous proposera de payer une rançon en échange d’une clé pour déchiffrer. Ces « logiciels » sont de véritables plaies : quelques hôpitaux en Europe et aux US ont été attaqués en 2016 et pendant plusieurs jours ont dû cesser nombre de soins. Et n’oublions pas que dans certains pays, hélas nombreux, et ce, au XXIe siècle, publier sur le Net ses envies de plus de démocratie peut vous valoir des coups de fouet, de la prison, une condamnation à mort ou une disparition pure et simple.

Un petit test : comment savoir si vous êtes vulnérable ? Voici une liste de quelques règles d’hygiène virtuelle (non exhaustive) :
• Cliquez-vous sur un fichier attaché dont vous n’êtes pas sûr de la provenance ?
• Avez-vous installé un antivirus sur votre ordinateur personnel ?
• Le configurez-vous correctement si vous en avez déjà un ?
• Utilisez-vous plusieurs navigateurs web ?
• Nettoyez-vous régulièrement vos cookies (supprimez les ça ira plus vite !) ?
• Quand vous quittez votre domicile, vous fermez votre porte réelle à clé ? Faîtes-vous de même pour vos connexions ? Coupez-vous votre wifi ?
• Éteignez-vous correctement votre ordinateur ?

Si vous avez répondu oui à la 1ère question et non aux autres, je vous conseille de faire quelques efforts ! Vous avez ou vous serez fort probablement une « victime numérique ».

Ces « hattackants » font des choses illégales mais il y a, de mon point de vue, plus insidieux : ce qu’on pourrait appeler les attaques « légales ». Prenons par exemple le droit à l’oubli numérique, notion apparue à la fin du XXe siècle, dont voici une bonne définition² : «il permet à un individu de demander le retrait de certaines informations qui pourraient lui nuire sur des actions qu’il a faite dans le passé ».

Toute personne a, en tout cas en Europe, ce droit à l’oubli numérique. Mais il reste très difficile à faire respecter aujourd’hui par les entreprises de la Silicon Valley, les fameuses GAFA ou leurs versions chinoises : les BATX. Une chose est sûre : à chacun de vos passages dans « Dataland », que ce soit pour une requête ou un achat, vous y laissez des traces. Des traces numériques. Nombreuses et souvent faciles à suivre. Vous faites une requête sur votre moteur de recherche favori ? L’entreprise derrière ce moteur va tout stocker : la date, votre IP, votre requête, et. ; ainsi, elle peut savoir combien de personnes en France ont fait une recherche sur « échangisme » hier. Et cette information va vivre très longtemps. Il est assez troublant par exemple de se dire que sur certains réseaux sociaux, arrivera un jour où il y aura plus de fiches de personnes décédées que de fiches de personnes vivantes…

Vous l’aurez compris, « Dataland » est un monde excitant mais dangereux : tout utilisateur devrait, doit serait plus approprié, comprendre un minimum ce qu’il fait lorsque qu’il visite ce continent. Il faut donc de l’éducation. Encore et toujours de l’éducation.
Il faut des lois, des normes, des règles pour « Dataland » mais aussi du bon sens. Ceci est un chantier titanesque. La structure même du Net, ses frontières virtuelles qui ne correspondant pas aux frontières géopolitiques, sa gouvernance, son fonctionnement ses protocoles, tout doit être revu pour qu’on puisse naviguer dans « Dataland » sans crainte.

En attendant : oui, il faut donc des lois, oui il faut des règles sur le Net ; mais il faut aussi des droits et des débats. Le Net est une création humaine qui ne doit pas oublier l’humain mais, en attendant : faites attention !

^{[1] https://fr.wikipedia.org/wiki/Ransomware
[2] https://fr.wikipedia.org/wiki/Droit_à_l’oubli}

Robert Erra
Directeur du Laboratoire Sécurité & Système
EPITA (LSE)