D’où viennent les failles de sécurité informatique ?

Le piratage de TV5 Monde met sur le devant de la scène le potentiel de nuisance des failles de sécurité informatique. En informatique, une faille est un “trou” dans la sécurité, permettant à un attaquant de contourner une protection. Elles peuvent permettre, entre autres, la prise de contrôle d’une machine ou l’accès à des données confidentielles. Avec plus de 5000 failles recensées par an – et un nombre incalculable non répertoriées–, la sécurité informatique est loin d’être une science exacte. Et si la faille n’était pas une erreur regrettable, mais bien une réalité inévitable en informatique ?

Bug-Computer

Il faut avant tout rappeler qu’une faille est souvent accidentelle : les concepteurs comme les développeurs sont à l’origine d’inévitables erreurs humaines, générant des vulnérabilités parfois critiques : l’écrasante majorité des failles sont de simples et innocentes erreurs. C’est le cas de TV5, bien que la chaîne ait été irresponsable : l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’information) les avait prévenus deux semaines auparavent de la découverte de vulnérabilités ! Notons qu’un administrateur nonchalant est la pire des plaies en matière de sécurité informatique.

Mais à coté de celles-ci, une minorité de failles sont introduites sciemment par les éditeurs, sans prévenir l’utilisateur. On les appelle “portes dérobées”, backdoors. Si quelques portes dérobées peuvent partir d’une intention louable (support technique transparent, mises à jour…), toute porte dérobée constitue une faute pour l’éditeur. Découvertes par un tiers malveillant, elles peuvent occasionner des dégâts importants. La très récente affaire Gemalto, entreprise française autoproclamée « leader mondial de la sécurité numérique » ( !), dont la NSA américaine a volé les clés de chiffrement des cartes SIM (gérant toutes les données des téléphones mobiles), est un cas d’école : Gemalto n’aurait pas dû conserver les clés.

Les deux origines majeures des portes dérobées dites “malveillantes” (ce terme est sujet à controverses) sont, d’une part, la pression des services de renseignement sur les éditeurs et, d’autre part, les accords officieux entre entreprises, portant sur l’accès aux données personnelles des clients.

Les révélations d’Edward Snowden ont jeté une lumière crue sur une partie des vastes programmes de la NSA américaine, gigantesques réseaux de collecteurs, puisant leurs informations dans le monde entier, partout où des logiciels ou du matériel américain sont utilisés. Snowden a dévoilé le dispositif des États-Unis, mais il est certain que toutes les puissances ont des méthodes similaires, à plus ou moins grande échelle. Il s’agit d’un impératif de sécurité nationale et de renseignement, tant intérieur qu’extérieur.

La légitimité du renseignement national est complexe, mais l’illégitimité des accords, souvent illégaux, entre sociétés privées ne fait pas débat. Dans le monde de la santé et de l’assurance, les données personnelles sont de l’or. De nombreux acteurs forment un vaste marché gris des données personnelles. Des portes dérobées, donnant accès directement aux données des clients, sous l’apparence de banales failles, sont un outil de choix pour alimenter ces marchés. Elles permettent de cacher sous le motif du “piratage”, un trafic de données personnelles.

La sécurité absolue n’existera jamais et la Haute Technologie (High Tech) amplifie les erreurs par sa complexité. En matière de sécurisation des échanges et des données, des solutions sont peut-être à chercher du côté de la « Basse Technologie » (Low Tech), voie explorée actuellement par les services russes, entre autres : ceux-ci utilisent depuis 2013 des machines à écrire pour la rédaction de tout document classifié. Sans doute une piste à explorer chez nous, afin d’éviter bien des fuites.

L’informatique n’est qu’un outil, pas un remède, car aucune technologie bonne par principe ou morale par essence.