L’état de l’art de la sécurité numérique
La valeur de notre civilisation se déplace inéluctablement vers la sphère immatérielle. La miniaturisation continue de l’électronique, l’accélération des performances des réseaux de communication et le déploiement inexorable des infrastructures informatiques édifient une urbanisation digitale qui favorise l’accès à l’information et facilite la communication. La conquête impérieuse des technologies numériques dans tous les secteurs, accélère l’expansion du volume des données informatiques et l’utilisation massive de logiciels dans les matériels de la vie quotidienne. Cette informatisation est encore accentuée par l’interconnexion généralisée et par la convergence numérique qui rend compatibles les flux d’information, de nature informatique, téléphonique et audiovisuelle. Les progrès des techniques sans fil ont contribué à promouvoir la communication nomade et la mobilité des utilisateurs bouleverse la vie des entreprises.
Malgré ce succès incontestable des technologies numériques, les systèmes qui reposent sur ces techniques sont vulnérables puisque, par construction, le contenu numérique est indépendant du support physique sur lequel il est inscrit. Le monde numérique est donc volatil : on peut le dupliquer ou le détruire facilement, on peut le falsifier tout autant. De plus, comme les enregistrements numériques sont lus et écrits avec du matériel informatique, à base de logiciels, ces équipements dysfonctionnent car ces programmes informatiques ne sont jamais exempts d’erreurs de conception ou d’utilisation.
Ainsi, notre société, toujours plus tributaire des technologies numériques, est devenue fragile. Elle court un risque majeur car notre environnement quotidien est déterminé par ces systèmes complexes qui peuvent subir des pannes ou être paralysés par des attaques. Comme ces systèmes sont interconnectés et dépendent les uns des autres, des effets domino sont à craindre, en anéantissant en cascades leur fonctionnement. L’attachement à ces ustensiles numériques, parfois même les phénomènes d’addiction à ces usages, à Internet ou au téléphone portable, n’arrangent pas cette situation de soumission à ces infrastructures numériques.
Les menaces informatiques étaient jadis bien identifiées et localisées. Une sécurité aux frontières d’un système informatique permettait de se prémunir des agresseurs extérieurs, restreignant la surveillance et l’établissement de la confiance à l’intérieur du système d’information. Par ailleurs, il fallait être un spécialiste pour pénétrer un réseau et déjouer les pièges de sécurité d’un serveur informatique.
De nos jours, la menace s’est généralisée et les logiciels d’attaques sont à la disposition de tout délinquant potentiel sur les sites des cyber-attaquants. Les motivations des assaillants se sont diversifiées. Ce peut être la fouille d’informations confidentielles, la volonté d’effacer des fichiers dans un ordinateur, le déni de service d’un réseau ou d’un serveur informatique, mais ce peut être aussi la défiguration d’un site web pour ternir l’image de marque d’une institution. Bien sûr l’appât du gain existe toujours : la fraude sur les cartes à puce, les sites sordides sur Internet, l’envoi intempestif de messages non sollicités pour berner quelques gogos et importuner du même coup des masses d’internautes. L’intention de déstabiliser les utilisateurs est aussi un facteur de violence. Virus, vers et chevaux de Troie qui circulent sur les réseaux, pénètrent dans les ordinateurs, endommagent le contenu des disques et qui finalement entravent le fonctionnement des entreprises, se transforment en une calamité permanente.
On vit dans un monde toujours plus violent et la sécurité des biens et des personnes est une préoccupation croissante dans nos sociétés. Cette violence se répercute immanquablement dans cet univers intangible, Internet, les infrastructures de téléphonie mobile, les réseaux et systèmes d’information d’entreprises et des institutions, avec son cortège de pirates ludiques, de cybercriminels, d’espions ou tout simplement d’utilisateurs adolescents qui chapardent des fichiers musicaux.
Face à ces vulnérabilités, il existe une panoplie d’outils informatiques de sécurité pour protéger un fichier, un logiciel, un ordinateur, un réseau ou un système d’information. Des architectures de sécurité et des protocoles cryptographiques permettent de tisser des liens de confiance dans tout ce monde virtuel, vulnérable aux erreurs, aux pannes et aux attaques.
Face à ces menaces, les campagnes d’information et de sensibilisation à grande échelle, les politiques de sécurité, les chartes des utilisateurs, les stratégies de gestion des risques, se sont développées et ont déjà profondément modifié le comportement des usagers. Mais la réalisation d’un monde informatique sécurisé demeure un défi à relever. La confiance dans ces systèmes complexes est un facteur clé du succès de ces nouvelles technologies.
La sécurité informatique a profondément changé d’envergure depuis une dizaine d’années. Alors qu’elle se confinait autrefois dans une application parcimonieuse de la cryptographie sous forme d’algorithmes de chiffrement sur un disque d’ordinateur et de quelques protocoles d’authentification sur les réseaux, elle s’est étendue à des dispositifs plus sophistiqués et s’est généralisée auprès du grand public, essentiellement grâce à la carte à puce. La sécurité est devenue une activité multidisciplinaire : cryptographie classique, méthodes mathématiques formelles, tatouage électronique, biométrie, ingénierie des réseaux, dispositifs variés de sécurité (carte à puce, pare-feu, système de détection d’intrusion, pots de miel, dispositifs biométriques), infrastructure de sécurité (gestion de certificats pour identifier et authentifier les acteurs dans les transactions du commerce électronique), infrastructure de confiance pour les échanges électroniques (signature électronique de documents contractuels), systèmes de surveillance, méthodologie de validation d’assurance de sécurité, gestion de crises…
La sécurité, technique informatique, est elle-même devenue aussi une source de méfiance. Les éditeurs de logiciels de sécurité doivent être dignes de confiance et ne pas glisser des fonctionnalités supplémentaires pour épier le comportement de leurs clients. La sécurité à flux tendus est aussi vulnérable, comme la mise à jour permanente d’antivirus dans les ordinateurs.
Avec cette numérisation accrue, des traces et des empreintes numériques sont laissées par un usager, à son insu, à chaque transaction sur les systèmes d’information. Avec le développement de l’informatique embarquée et des technologies portables connectées en permanence à un réseau, il devient possible de localiser un individu de différentes façons. L’opérateur de télécoms dispose maintenant de données géo-référencées qui attestent du passage du téléphone de l’abonné auprès des relais téléphoniques, le fournisseur d’accès à Internet enregistre les visites du client sur les sites web où celui-ci s’est connecté, le banquier inscrit les paiements du client dans les magasins où celui-ci a réglé avec sa carte bancaire. Bref, tout un journal intime dispersé s’écrit en temps réel à l’insu de la personne, lequel témoigne de l’utilisation des systèmes informatiques et peut être exploité pour une véritable filature électronique à bon ou mauvais escient. La traçabilité électronique devient alors une menace vis-à-vis de la liberté du citoyen et de sa vie privée.
Les perspectives de la sécurité des réseaux de communication
La toile de l’Internet se déchire depuis quelques années, distendue par les nouveaux usages et services, tirée à hue et à dia par une déferlante de nouveaux arrivants et éraflée par les cyberdélinquants qui exploitent, en toute impunité, le pseudo-anonymat du réseau. L’Internet, le réseau des réseaux, hypertrophié dans sa taille par la puissance et la performance de ses applications (les succès de Skype, eBay, Youtube, Facebook, SecondLife), par ses tuyaux à haut débit (les interconnexions exigent des débits de 100 Gigabits par seconde, avec un trafic de 10 Exabits par mois) où s’engouffrent des contenus toujours plus volumineux, n’a pas été conçu à l’origine pour une utilisation à vaste échelle. C’est sa vertu d’avoir résisté au nouveau contexte, c’est son vice majeur de ne pas avoir su changer dans ses fondements. Les ayatollahs de l’Internet, sont là pour rappeler le dogme : la simplicité et la performance dans le réseau, l’intelligence aux extrémités, la gratuité de l’utilisation, la transparence de l’architecture et des protocoles, l’interconnexion facile. Ces propriétés se sont décousues au fil du temps : fausse simplicité avec les rustines et les rapiéçages, rigidité et surdimensionnement pour absorber les crêtes des flux multimédias, complexité au cœur du réseau, fausse gratuité car il faut bien que quelqu’un paie les investissements en fibre optique par exemple, obscurité des logiciels, utilisation agressive des protocoles standards, inaptitude à gérer la mobilité, partialité de la gouvernance, carence de la sécurité par l’usurpation d’identité, le respect de la vie privée bafoué suite aux filatures sournoises voire à l’inquisition numérique. Le vieux modèle de l’Internet a vécu.
La technologie numérique de cette décennie est marquée par la réclusion : c’est la convergence numérique, c’est-à-dire un remembrement des formats et des architectures. Ce repli a consisté à faire le ménage, à retoucher les ordinateurs, les téléviseurs, les téléphones afin qu’ils soient interconnectés et interopérables entre eux. L’interface avec les humains s’opère avec des claviers, souris, écrans, avec des microphones, haut-parleurs, et de plus en plus avec les doigts. Cette technologie numérique est peu connectée à la réalité physique : peu de réseaux de capteurs, peu de robots. L’informatique tourne encore en vase clos. Pourtant, même en lambeaux, l’interconnexion de réseaux va conquérir d’autres territoires, et peut absorber l’infrastructure de la téléphonie 3G et de la télévision. À l’origine le Web, son application phare, qui fut au départ un tableau blanc (Web est en fait l’acronyme de « Wide Electronic Board », grand tableau), déchiqueté en pages sur les différents sites dans les années 1990, qu’un moteur de recherche s’évertue à classer et retrouver ensuite, est en train de se convertir en une pelote d’information centrée sur le citoyen nomade.
La situation de repli devrait changer avec la mue vers une phase de réconciliation du virtuel avec la physique, de l’informatique avec la réalité : émergence des cartes sans contact et des étiquettes avec identification radio (logistique sur colis, animaux tagués), réseaux de capteurs dans la ville (caméras de fenêtrage), dans la nature (détection de feu de forêt, de séisme), et dans les entreprises (inventaire en temps réel dans les hangars, flotte mobile de capteurs dans les véhicules), réseaux à la maison, dans les voitures, robots d’assistance à la personne, télédiagnostic. Si l’Internet actuel a connecté environ 500 millions d’ordinateurs, si le téléphone portable a branché 2 milliards de personnes, l’Internet des Choses devrait brancher des milliards d’objets. Les dysfonctionnements et les attaques dans ces configurations provoqueront des catastrophes disséminées.
Avec la mondialisation, l’ouverture de la Chine et de nouveaux arrivants sur la scène internationale, les réseaux numériques, qui sont un enjeu géostratégique, risquent de se restructurer autour de la langue, de la culture en exhibant des nouveaux modèles, des contre-modèles et des alter-modèles et évitant la solution providentielle d’un modèle unique, pseudo-universel. Le futur cyberespace risque de se façonner autour des infrastructures de navigation et de positionnement (GPS aux États-Unis, Galileo en Europe, Glonass en Russie, Beidou en Chine). La fragmentation naturelle autour de ces nouvelles plaques continentales va créer une tectonique numérique, qui risque d’aimanter une décentralisation des réseaux autour de standards régionalisés.
Mais cette étoffe déchirée de l’Internet a déjà fait apparaître ses coutures, ses fils, ses ourlets : les moteurs de recherche utilisent ces fils qui nouent les pages web avec des liens, les applications de téléchargement de fichiers en pair à pair nouent les processeurs et les disques des ordinateurs voisins en des grappes pour calculer de manière répartie.
Toucher à l’IP (Internet Protocol) reste un sujet tabou. Les industriels y sont opposés. Les chercheurs en informatique ont fait toute leur carrière avec le paradigme de l’Internet et peinent ou ne veulent pas s’en extraire. La recherche est influencée, à cause de son financement, par les innovations à court terme. Il en résulte de petites avancées, une volonté de ne pas transgresser les tendances de l’industrie vers un Internet++. L’informatique, science pilotée par le marché, devrait conserver une certaine autonomie dans une perspective à long terme. Penser l’après IP est hérétique. Il faudra pourtant redessiner l’architecture des communications en général, de façon plus essentielle et audacieuse que ne le laissent entrevoir les projets actuels. Au lieu de la traditionnelle toile maillée, les réseaux ressembleront à un milieu poreux où les lois de la perméabilité remplaceront les lois des files d’attente.
Dans les années 2025-2030 apparaîtra une nouvelle ère numérique, celle des Nano, Bio, Info, Cogno (NBIC), celle de l’homme qui parvient enfin à travailler à l’échelle de l’atome (les nanotechnologies), de la cellule vivante (les biogéno-technologies), des photons (les ordinateurs quantiques). Ce sera un bouleversement radical de la civilisation. Les bits de l’informatique devront se glisser entre les atomes et les cellules du vivant pour agencer et contrôler ce monde invisible. Des vulnérabilités et des menaces d’un tout autre ordre devraient surgir de ce nanomonde : guerre des Nanos, marché des cellules vivantes, guerre quantique pour casser les codes secrets des États, bref un nouvel affrontement à l’échelle de l’atome.
Les pays qui veulent conserver une prééminence, devront maîtriser la technologie de l’angström (10-10 m) à l’échelle des atomes, et la science de l’attomètre (10-18 m) à l’échelle des quarks. L’humanité, ayant assimilé les théories de l’espace-temps d’Einstein-Minkowski, devra dépasser notre vision à quatre dimensions, et se résoudre à admettre les théories d’un univers à plus de quatre dimensions (certaines d’entre elles étant nanoscopiques) et à plus de quatre forces. Les premières théories de T. Kalusa datent de 1921 ! Elles furent occultées pendant plus de 50 ans. La théorie des cordes, des branes et des supersymétries devraient s’affermir dans les 20 ans à venir. L’informatique se sera alors immiscée à toutes les échelles, dans toutes les nervures de la réalité, de la nature en créant une nouvelle machine à penser, un nouveau règne, à côté du règne animal, végétal et minéral. La nouvelle informatique du XXIe siècle devra ordonnancer ce monde artificiel invisible, ce monde massif ubiquitaire. On sera loin de l’Internet actuel.
Il existe peu de livres sur la sécurité numérique en général. Les ouvrages qui traitent de ce sujet insistent trop souvent sur le détail des technologies, des mécanismes techniques sans montrer l’approche systémique de la question. L’objectif de ce livre est de donner un panorama de la sécurité numérique contemporaine et de fournir une vision transversale de toute la discipline.
Cet ouvrage très pédagogique est étayé par les enseignements de deuxième et troisième cycles en sécurité, en informatique et réseaux.
Solange Ghernaouti-Hélie, docteur en informatique de l’université Paris 6, est professeur à l’école des HEC de l’université de Lausanne depuis 1987, où elle enseigne des cours relatifs à la maîtrise des télécommunications et à la sécurité informatique. Expert international reconnu pour des questions de sécurité et de criminalité des technologies de l’information, elle est active auprès de diverses institutions publiques et privées nationales et internationales.
Elle a publié de nombreux articles et plus d’une vingtaine d’ouvrages dont le Guide de la cybersécurité pour les pays en voie de développement (traduit en chinois, russe, arabe, anglais et espagnol), présenté à la Conférence mondiale pour le développement des télécommunications à Doha en 2006, le rapport Information Security for Economic and social development, United Nations – ESCAP 2008 et dans les années 2000, le Que sais-je ? Internet et sécurité.
Cet ouvrage qui aborde tous les thèmes de la sécurité numérique contemporaine, est destiné à un large public.
Le public industriel concerné englobe les directeurs informatique, les chefs de projet, les administrateurs de réseaux en entreprise, les consultants en SSII, les responsables sécurité.
Le public académique concerné couvre les étudiants et élèves ingénieurs (troisième année de licence, deuxième cycle, écoles d’ingénieurs, troisième cycle), les enseignants et les chercheurs en informatique, en réseau et en sécurité.
La qualité de ce livre réside dans une explication claire et précise, ainsi qu’une rigueur, qui offre une présentation lisible des concepts et des approches en sécurité et qui donne au lecteur une vue globale sur ce domaine multidisciplinaire. Ce livre est un ouvrage de référence par sa qualité et par son ouverture.
C’est le livre que j’aurais voulu écrire.
Michel Riguidel
Professeur émérite
Ancien directeur du département Informatique et Réseaux
à l’École nationale supérieure des Télécommunications à Paris