Servicede téléchargement de Manuel-Utilisateur ALCATEL Advanced REFLEXES en Français au format PDF - Notice, manuel, mode d'emploi. Rechercher > Téléchargement de manuels techniques Notice d'utilisation, manuel utilisateur, mode d'emploi, manuel d'installation, manuel de service, manuel d'atelier, manuel de réparation, schémas, codes d'erreur, vues

Alcatel Advanced Reflexesℱ Alcatel Advanced Reflexes™ Alcatel OmniPCX 4400 ARCHITECTS OF AN INTERNET WORLD Comment utiliser ce guide Vous disposez d’un poste numĂ©rique Alcatel Advanced REFLEXES. De grandes zones d’affichage, un navigateur et un clavier alphabĂ©tique vous ferons bĂ©nĂ©ficier de son ergonomie et de son confort d’utilisation. Clavier Actions DĂ©crocher Clavier numĂ©rique Raccrocher Clavier alphabĂ©tique Description d’une action ou d’un contexte Navigateur 2 ABC Touche audios Ecoute amplifiĂ©e DĂ©placer la touche de navigation vers le haut, le bas, la droite ou la gauche Mains libres RĂ©glage "moins" Afficheur et touches afficheur RĂ©glage "plus" Vue partielle de l’afficheur Touche afficheur Touches programmables et icones Touche de ligne ou programmable IcĂŽne associĂ©e Ă  une touche Touche prĂ©-programmĂ©e Touche spĂ©cifique du clavier numĂ©rique Autres touches fixes i Touche fixe ex MENU Autres symboles utilisĂ©s Autre alternative Ă  la OU sĂ©quence d’action ET/OU Autre alternative Ă  la sĂ©quence d’action Informations importantes Des petites icones ou du texte peuvent venir enrichir ces symboles. Tous les codes de fonctions implicites ou personnalisĂ©s sont prĂ©sentĂ©s dans le tableau des codes livrĂ© avec le poste. 1 La disponibilitĂ© de certaines fonctions dĂ©crites dans ce guide peut dĂ©pendre de la version ou de la configuration de votre systĂšme. En cas de doute, consultez le responsable de votre installation. Pour une meilleure connaissance de votre poste, nous vous invitons Ă  consulter le manuel utilisateur correspondant. 2 Sommaire DĂ©couvrir votre tĂ©lĂ©phone ................... p. 4 1. TĂ©lĂ©phoner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Etablir un appel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Recevoir un appel . . . . . . . . . . . . . . . . . . . . . . . . . . . Appeler par votre rĂ©pertoire . . . . . . . . . . . . . . . . . . Appeler votre correspondant par son nom . . . . . . . . Rappeler le dernier numĂ©ro Ă©mis Bis . . . . . . . . . . . Faire une demande de rappel . . . . . . . . . . . . . . . . . . . p. p. p. p. p. p. p. 6 6 6 6 7 7 7 2. Traiter plusieurs appels . . . . . . . . . . . . . . . . . . . . . Appeler un second correspondant double appel . . . Recevoir un second appel . . . . . . . . . . . . . . . . . . . . . Passer d'un correspondant Ă  l'autre va-et-vient . . . . TransfĂ©rer un appel . . . . . . . . . . . . . . . . . . . . . . . . . . Converser avec deux correspondant confĂ©rence . . . p. p. p. p. p. p. 8 8 8 9 9 9 3. Personnaliser votre tĂ©lĂ©phone . . . . . . . . . . . . . . . . Programmer votre code personnel . . . . . . . . . . . . . . Programmer votre rĂ©pertoire personnel . . . . . . . . . . Programmer une fonction sur une touche libre . . . . . RĂ©gler la sonnerie . . . . . . . . . . . . . . . . . . . . . . . . . . . RĂ©gler le contraste de l’afficheur et des icones . . . . . Modifier la langue . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 10 p. 10 p. 11 p. 12 p. 12 p. 12 4. En votre absence, Ă  votre retour . . . . . . . . . . . . . . Renvoyer vos appels vers un autre numĂ©ro renvoi immĂ©diat . . . . . . . . . . . . . . . . . . . . . . . . . . . . Renvoyer vos appels vers la messagerie vocale . . . . . A votre retour, annuler les renvois . . . . . . . . . . . . . . A votre retour, consulter les messages laissĂ©s en votre absence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 13 p. 13 p. 14 p. 14 3 DĂ©couvrir votre tĂ©lĂ©phone Navigateur pour parcourir plusieurs pages de l’afficheur et y sĂ©lectionner une ligne la ligne du bas est active implicitement Voyant lumineux indiquant la prĂ©sence de messages pour programmer votre tĂ©lĂ©phone i Secret pour vous isoler de votre correspondant Interphonie pour que votre tĂ©lĂ©phone rĂ©ponde automatiquement Ă  un appel sans que vous n’ayez Ă  dĂ©crocher pour terminer un appel ou sortir de programmation Touches audio Haut-parleur HP Pour partager une conversation Pour diminuer le volume du HP ou du combinĂ© Pour augmenter le volume du HP ou du combinĂ© Mains libres pour appeler ou rĂ©pondre sans dĂ©crocher 4 Clavier alphanumĂ©rique pour l’appel par nom ProtĂ©gĂ© par un rabbat, pour le faire apparaĂźtre, ouvrir le rabbat Afficheur et touches afficheur Comporte 2 lignes et plusieurs pages donnant des informations sur votre correspondant et proposant des fonctions accessibles par les touches afficheur associĂ©es. Touches programmables et icones Ces touches se rĂ©partissent en touches de ligne et touches de fonction. A chacune de ces touches sont associĂ©es des icones. Icone de communication Appel en cours clignotant Communication en cours Communication en attente Communication en garde commune Icone de fonction Fonction activĂ©e Fonction nĂ©cessitant une action Occupation du tĂ©lĂ©phone ou d’une ligne supervision Certaines touches sont prĂ©-programmĂ©es MĂ©moriser temporairement un numĂ©ro AccĂ©der aux services de messagerie RĂ©Ă©mettre automatiquement le dernier numĂ©ro composĂ© ISDN Consulter la liste des appels numĂ©ris restĂ©s sans rĂ©ponse ou accĂ©der aux services numĂ©ris Mettre lÂ’Ă©tiquette sur le tĂ©lĂ©phone Vous disposez d’une Ă©tiquette imprimĂ©e livrĂ©e avec le tĂ©lĂ©phone, Ă  placer sous les touches programmables.  InsĂ©rer un objet Ă  bout plat dans l'encoche imprimĂ©e 1 encoche par bloc de touches. ‚ Soulever le cache du bloc de touches. ƒ Glisser votre Ă©tiquette. „ Remettre le cache en place. 5 1. TĂ©lĂ©phoner 1 1. Etablir un appel OU OU Mains libres DĂ©crocher NumĂ©roter NumĂ©roter directement Pour un appel Ă  l'extĂ©rieur, composer le code "Appel externe". Pour appeler l'opĂ©ratrice, composer le code "Appel des opĂ©ratrices". Pour terminer une conversation OU Raccrocher 1 2. Recevoir un appel OU DĂ©crocher 1 Mains libres 3. Appeler par votre rĂ©pertoire OU Touche afficheur sous le nom choisi 6 Passer aux pages suivantes Nom choisi 4. Appeler votre correspondant par son nom Initia Nom OU Nom-Pr TĂ©lĂ©phoner 1 OU Entrer le nom ou les initiales ou les nom et prĂ©nom de votre correspondant Affichage du premier nom de la liste et de son numĂ©ro OU Si le nom convient OU OU Nom prĂ©cĂ©dent Retour au repos 5. Rappeler le dernier numĂ©ro Ă©mis Bis OU Bis 1 Nom suivant Annule PrĂ©cĂšd 1 Suivt Appel 0122515163 NumĂ©ro mĂ©morisĂ© NumĂ©ro appelĂ© 6. Faire une demande de rappel Correspondant ne rĂ©pond pas ou est occupĂ© Rappel 7 2. Traiter plusieurs appels En cours de communication, vous pouvez rĂ©aliser diffĂ©rentes opĂ©rations comme appeler un second correspondant, transfĂ©rer un correspondant vers un autre, 2 1. Appeler un second correspondant double appel 2°App OU NumĂ©roter NumĂ©roter directement Le premier correspondant est mis en attente Annuler le double appel Fin2°A 2 Vous retrouvez le premier correspondant 2. Recevoir un second appel En cours de communication, un deuxiĂšme correspondant cherche Ă  vous joindre Conslt Dupond Affichage du nom de l'appelant pendant 3 s Le premier correspondant est mis en attente 8 OU Touche de ligne dont l'icone clignote Poste monoligne 3. Passer d’un correspondant Ă  l’autre va-et-vient VaVien Le premier correspondant est mis en attente OU Touche de ligne associĂ©e Ă  l'icone 2 Poste monoligne Traiter plusieurs appels 2 Vous ĂȘtes en communication et un autre appel est en attente. Pour passer alternativement de l'un Ă  l'autre 4. TransfĂ©rer un appel En communication, pour transfĂ©rer votre correspondant sur un autre poste Transf OU Poste monoligne uniquement NumĂ©ro du poste destinataire 2 5. Converser avec deux correspondants confĂ©rence Vous ĂȘtes en communication avec un correspondant, un deuxiĂšme est en attente Conf nConf Converser Ă  3 Annuler la confĂ©rence et retrouver votre premier correspondant Terminer la premiĂšre conversation 9 3. Personnaliser votre tĂ©lĂ©phone 3 1. Programmer votre code personnel Le code par dĂ©faut de votre tĂ©lĂ©phone est 0000. Prog. Code Composer le nouveau code Recomposer le nouveau code i Composer le code actuel Chaque chiffre du code est symbolisĂ© par un astĂ©risque. 3 2. Programmer votre rĂ©pertoire personnel Votre rĂ©pertoire personnel contient jusqu'Ă  45 numĂ©ros. Prog. Touch. i Valid. Vide SĂ©lectionner une touche afficheur libre Composer le n°° Ă  programmer Valid. Saisir le nom du correspondant 6 caractĂšres max. 10 3. Programmer une fonction sur une touche libre Prog. Touch. i Personnaliser votre tĂ©lĂ©phone 3 La liste des fonctions programmables est prĂ©sentĂ©e dans votre manuel utilisateur. OU SĂ©lectionner une touche programmable libre Composer le code ou le n° choisi Serv. Suivt Valid. SĂ©lectionner une liste de fonctions Valid. Touche afficheur sous la fonction choisie 11 3 4. RĂ©gler la sonnerie Poste au repos PrĂ©cĂšd Suivt OU Choisir la mĂ©lodie - + ET/OU ET/OU OU RĂ©gler le volume 3 5. RĂ©gler le contraste de l'afficheur et des icones Affich Prog. i - + OU Choisir le niveau de contraste 3 6. Modifier la langue Prog. Langue i Saisir Ă©ventuellement le code personnel Affichage des diffĂ©rentes possibilitĂ©s 12 Valid. Touche afficheur sous la langue choisie Toutes ces fonctions peuvent ĂȘtre mises en œuvre par une touche programmĂ©e ou par composition du code correspondant. 4 1. Renvoyer vos appels vers un autre numĂ©ro renvoi immĂ©diat Conslt Serv. i Valid. Choisir le type de renvoi Affichage des fonctions du groupe "liste des renvois" Valid. En votre absence, Ă  votre retour 4. En votre absence, Ă  votre retour N° du destinataire 4 2. Renvoyer vos appels vers la messagerie vocale Conslt Serv. i Valid. Choisir le type de renvoi Affichage des fonctions du groupe "liste des renvois" Valid. Vocale 13 4 3. A votre retour, annuler les renvois Serv. Conslt i Valid. Affichage des fonctions du groupe "liste des renvois" nRenvo Valid. 4 4. A votre retour, consulter les messages laissĂ©s en votre absence Le voyant lumineux et l'icone associĂ©e Ă  messages. indiquent la prĂ©sence de Demandes de rappel 2 Msg MsgRap Messages MsgRap Affichage de la premiĂšre personne Ă  rappeler Nombre de demandes de rappel Rappel Rappeler Suivt MĂ©mo OU OU Mettre le message en mĂ©moire Passer au message suivant Toute demande de rappel non mĂ©morisĂ©e est effacĂ©e lors du rappel, lors du passage a la demande suivante ou lorsque vous quittez le mode message. 14 MĂ©vo 2 Msg MĂ©vo Suivre les instructions du guide vocal Nombre de messages vocaux Messages Liste des appels internes Pendant votre absence, les appels internes restĂ©s sans rĂ©ponse ont Ă©tĂ© mĂ©morisĂ©s 16 maximum. NonRep 2 Msg NonRep Affichage du nombre d'appels internes Messages Rappel Dupond IdentitĂ© de l'appelant Consulter la liste Suivt MĂ©mo OU OU Rappeler automatiquement l'auteur du message En votre absence, Ă  votre retour Messages vocaux Mettre en mĂ©moire le message Afficher le message suivant Lors du rappel, le message reste mĂ©morisĂ© si votre correspondant ne rĂ©pond pas. Tout message non mĂ©morisĂ© est effacĂ© lors du passage au message suivant ou lorsque vous quittez le mode message. 15 Liste des appels externes Pendant votre absence, les appels externes provenant d'abonnĂ©s NumĂ©ris ont Ă©tĂ© mĂ©morisĂ©s 16 maximum. L'icone associĂ©e Ă  ISDN ISDN indique la prĂ©sence de messages. Affichage du nombre d'appels externes ISDN .voir § Liste des appels internes 16 NonRep 0122515163 Consulter la liste IdentitĂ© de l'appelant Notes personnelles 17 18 PrĂ©cautions d’emploi Attention, ne mettez jamais votre poste tĂ©lĂ©phonique en contact avec l’eau. Toutefois, pour nettoyer votre poste, vous pouvez utiliser un chiffon doux lĂ©gĂšrement humidifiĂ©. N’utilisez jamais de solvants trichlorĂ©thylĂšne, acĂ©tone, etc. qui risquent d’endommager les surfaces plastiques de votre poste. Ne jamais vaporiser de produits nettoyants. En communication, Ă  proximitĂ© d’une source Ă©lectronique Ă  fort niveau de rayonnement Ă©lectro-magnĂ©tique, le poste est susceptible de produire dans lÂ’Ă©couteur une modulation lĂ©gĂšrement audible. ConformitĂ© cet appareil est conçu pour ĂȘtre raccordĂ© derriĂšre un PABX Alcatel OmniPCX 4400. Il est classĂ© TBTS au sens de la norme NF EN 60950. Le marquage CE indique que ce produit est conforme aux directives suivantes - 89/336/CEE compatibilitĂ© Ă©lectromagnĂ©tique - 73/23/CEE basse tension - 1999/5/CE R&TTE DĂ©claration de conformitĂ© Nous, ALCATEL BUSINESS SYSTEMS 32, avenue KlĂ©ber 92707 Colombes Cedex - France dĂ©clarons que les produits mentionnĂ©s ci-dessous sont prĂ©sumĂ©s conformes aux exigences essentielles de la Directive 1999/5/CE du Parlement EuropĂ©en et du Conseil. ALCATEL Advanced Reflexes Toute modification non autorisĂ©e des produits annule cette dĂ©claration de conformitĂ©. Une copie de l'original de cette dĂ©claration de conformitĂ© peut ĂȘtre obtenue par courrier Ă  ALCATEL BUSINESS SYSTEMS Technical Services - Customer Care 1, rue du Dr. A. Schweitzer F - 67408 Illkirch - France 19 Pour en savoir plus, consulter le site Copyright © ALCATEL 2001. Tous droits rĂ©servĂ©s. Alcatel Business Systems se rĂ©serve le droit, dans l'intĂ©rĂȘt de sa clientĂšle, de modifier sans prĂ©avis les caractĂ©ristiques de ses produits. ALCATEL - 32, avenue KlĂ©ber, F-92707 Colombes Cedex Paris 602 033 185 RĂ©f. 3AK 19524 FRAC Ed. 01 20 ARCHITECTS OF AN INTERNET WORLD

EMS55 ADVANCE Notices Manuels Modes d'emploi Téléchargement PDF Français. Choisissez le document : ALCATEL - 4035 Advanced Reflexes. (Guide de démarrage - Langue garantie : Francais) Téléchargement immédiat. ALCATEL - Advanced.
Dans le domaine de la cybersĂ©curitĂ©, il existe de nombreuses phases du dĂ©veloppement et du dĂ©ploiement des systĂšmes logiciels qui sont sensibles. A l’occasion de la publication d’un rapport du NIST, c’est aux failles logicielles et Ă  leurs correctifs que nous nous intĂ©ressons. Trois experts, Charles Cuvelliez, Jean-Jacques Quisquater & Bram Somers nous expliquent les principaux problĂšmes Ă©voquĂ©s dans ce rapport. Pascal Guitton. Tous les jours, des failles sur les logiciels sont annoncĂ©es par leurs Ă©diteurs, dĂšs lors qu’un correctif est disponible. Plus rarement, la faille n’est pas dĂ©couverte en interne chez l’éditeur ou ni mĂȘme de façon externe, par un chercheur ; elle l’est alors d’une part par des hackers malveillants qui se gardent bien d’en faire la publicitĂ© mais les dĂ©gĂąts causĂ©s par leur exploitation la font vite connaĂźtre. D’autre part, par les services secrets de certains pays qui les apprĂ©cient beaucoup pour rĂ©aliser des attaques plus furtives. Le volume des failles Ă  traiter quotidiennement devient de plus en plus souvent ingĂ©rable pour les entreprises. Parfois l’éditeur du logiciel ne supporte mĂȘme plus la version pour laquelle une vulnĂ©rabilitĂ© a Ă©tĂ© dĂ©couverte il n’y aura pas de correctif. Appliquer un correctif peut demander du temps, nĂ©cessiter la mise Ă  l’arrĂȘt des Ă©quipements, leur redĂ©marrage, le temps de l’installer. Cette indisponibilitĂ© est parfois incompatible avec l’utilisation d’un logiciel qui doit fonctionner en permanence un correctif ne s’applique pas n’importe quand. Dans des cas plus rares, le correctif ne peut ĂȘtre appliquĂ© que par le fabricant, pour des raisons de conformitĂ© ou de certification. Le risque zĂ©ro n’existe pas pour la sĂ©curitĂ© des logiciels, ; dĂšs qu’on installe un logiciel, il y a un risque de faille. C’est l’approche suivie par le NIST dans son standard Guide to Enterprise Patch Management Planning Preventive Maintenance for Technology qui vient d’ĂȘtre publiĂ© il y a peu. Couverture du rapport du NIST Si on ne peut ou ne veut pas appliquer de correctif, on peut dĂ©sactiver le logiciel ou le module dans laquelle la faille a Ă©tĂ© identifiĂ©e. On peut installer une version plus rĂ©cente du logiciel mais avec un autre risque que ce dernier fonctionne diffĂ©remment et perturbe toute la chaĂźne opĂ©rationnelle au sein de laquelle il est un maillon. On peut isoler le logiciel pour qu’aucune personne extĂ©rieure ne puisse l’atteindre en vue d’exploiter la faille en segmentant le rĂ©seau et en le plaçant dans un segment sĂ»r. On peut mĂȘme dĂ©cider que l’impact – si la faille est exploitĂ©e – est minime on accepte alors le risque ce n’est tout de mĂȘme pas conseillĂ©. On peut aussi confier le logiciel Ă  un fournisseur Ă  qui incombera la responsabilitĂ© de gĂ©rer les correctifs. Un vĂ©ritable cycle Si on dĂ©cide d’installer le correctif, c’est tout un cycle qui dĂ©marre et qui ne se rĂ©duit pas Ă  le tĂ©lĂ©charger et Ă  l’installer d’un clic comme on le pense souvent. Il faut chercher oĂč, dans l’organisation, le logiciel est installĂ©. Cela commence par dĂ©tenir l’inventaire des logiciels dans son entreprise, qui n’est correct que si on connait parfaitement toutes les machines installĂ©es. D’ailleurs ce ne sont pas toujours les logiciels d’une machine qu’on doit mettre Ă  jour, c’est parfois la machine elle-mĂȘme et son systĂšme d’exploitation. Dans le cas de l’Internet des objets, la situation se complique on peut quasiment toujours mettre Ă  jour le firmware de ces derniers mais la tĂąche est immense oĂč sont-ils sur le terrain ? Comment les mettre Ă  jour tous sans en oublier un ? Faut-il envoyer des techniciens sur place ? Combien de temps faudra-t-il pour tous les mettre Ă  jour ? Il peut mĂȘme arriver qu’on doive passer Ă  une nouvelle mise Ă  jour alors l’ancienne n’est pas terminĂ©e pour tous les objets, au risque donc de dĂ©synchronisation de l’ensemble. Si on a pu installer le correctif, aprĂšs avoir planifiĂ© son dĂ©ploiement, l’avoir testĂ© pour voir si le programme qu’on utilisait fonctionne toujours correctement comme avant, il faut observer le programme mis Ă  jour le correctif peut lui-mĂȘme receler une faille car il est souvent dĂ©veloppĂ© dans l’urgence ou avoir Ă©tĂ© compromis par un hacker ce sont les fameuses attaques dites supply chain. Par erreur, un utilisateur peut dĂ©sinstaller la mise Ă  jour, rĂ©installer la version prĂ©cĂ©dente, lors par exemple d’une restauration d’une sauvegarde. Si on a optĂ© pour Ă©teindre la machine ou le logiciel car on ne peut appliquer de correctif, il faut aussi surveiller que personne ne la/le redĂ©marre. Un correctif peut par erreur remettre Ă  zĂ©ro la configuration du programme qui l’intĂšgrera, y compris les rĂ©glages de sĂ©curitĂ©. Toutes ces opĂ©rations ne s’organisent pas Ă  la derniĂšre minute, lorsqu’une faille critique est annoncĂ©e. SĂ©curiser les environnements On peut mettre en place un environnement plus sĂ»r de sorte qu’une faille y ait moins d’impact ou n’y trouve pas de terrain favorable. Cela commence par ne mettre Ă  disposition les logiciels qu’aux personnes qui en ont vraiment besoin. De deux logiciels Ă©quivalents, on peut privilĂ©gier celui qui a un historique plus favorable en nombre rĂ©duit de failles. On peut vĂ©rifier la rigueur du dĂ©veloppement, la frĂ©quence des correctifs, leur nombre, les problĂšmes relayĂ©s par les communautĂ©s d’utilisateurs Ă  propos des failles. On peut aussi installer ses logiciels dans des environnements plus favorables et plus faciles Ă  l’application de correctifs comme les containers cloud. Dans son rapport, le NIST distingue quatre rĂ©ponses aux failles l’application de correctifs au fil de l’eau, en respectant un planning et des contraintes comme le week-end pour les logiciels dont on ne peut tolĂ©rer l’interruption. Il y a les correctifs Ă  appliquer d’urgence. Si un correctif n’existe pas encore, ce sont des mesures d’attĂ©nuation qu’on appliquera en fonction des instructions du fournisseur. Si le fournisseur n’apporte plus de support, il faudra isoler la machine qui hĂ©berge le logiciel pour le rendre inatteignable sauf par ses utilisateurs, si on ne peut s’en passer. Que faire face Ă  cette complexitĂ© ? Le NIST propose de classer les actifs informatiques dans des groupes de maintenance. Appliquer un correctif ou gĂ©rer une faille, c’est de la maintenance de sĂ©curitĂ©. Chaque groupe de maintenance aura sa politique de gestion des failles. Et de citer comme groupe de maintenance les ordinateurs portables des employĂ©s oĂč les failles et les correctifs ont trait au systĂšme d’exploitation mĂȘme de la machine, les firmwares et autres programmes installĂ©s. Les portables des utilisateurs ont une plus grande tolĂ©rance Ă  une interruption et l’impact est limitĂ© si un ordinateur subit une faille puisqu’il y a des logiciels de contrĂŽle et d’alerte Ă  la moindre infection qui tourne sur ces machines puissantes. Ces Ă©lĂ©ments permettent une politique de mise Ă  jour des failles adaptĂ©e. A l’autre extrĂȘme, on trouve le groupe de maintenance serveur de donnĂ©es data center » qui ne peut tolĂ©rer quasiment aucune interruption, qui ne peut ĂȘtre mis Ă  l’arrĂȘt qu’à des moments planifiĂ©s longuement Ă  l’avance. Les mesures d’attĂ©nuation du risque sont tout autre, la dĂ©fense en profondeur, les protections mises en place dans le rĂ©seau, la segmentation. Autre exemple le groupe de maintenance liĂ©s aux tablettes et autres smartphones utilisĂ©s par les employĂ©s, avec, aussi, sa tolĂ©rance aux interruptions, ses mesures propres de protection
 Avoir une politique de mise Ă  jour et de correction des failles par groupe de maintenance Ă©vite le goulot d’étranglement de tout vouloir faire en mĂȘme temps et au final de laisser des failles bĂ©antes, peut-ĂȘtre critiques. Le dĂ©ploiement des correctifs. Le NIST propose de dĂ©ployer le correctif par groupes d’utilisateurs pour voir si tout se dĂ©roule correctement, puis de l’étendre graduellement pour limiter l’impact d’un correctif qui ne serait pas au point. Le dĂ©ploiement progressif peut se faire en fonction de la qualification des utilisateurs, de leur compĂ©tence. MĂȘme pour les correctifs Ă  appliquer d’urgence, le NIST propose ce dĂ©ploiement graduel mais plus rapide, en heures, sinon en minutes plutĂŽt qu’en jours. S’il n’y pas de correctifs disponibles, on est dans les mesures d’attĂ©nuation, comme isoler le logiciel quand on ne peut pas s’en passer, migrer dans un segment la machine qui le contient, adapter les droits d’accĂšs des utilisateurs on parle de micro-segmentation ou de software-defined perimeters ». Tout ceci ne se fait pas le jour oĂč l’entreprise fait face pour la premiĂšre fois Ă  un logiciel qui n’aura plus jamais de correctif. Les architectes doivent avoir rĂ©flĂ©chi et proposĂ© Ă  l’avance les bonnes politiques et maniĂšre de faire. Il faut d’ailleurs les rĂ©Ă©valuer en permanence car le rĂ©seau Ă©volue le risque est-il bien limitĂ© et le reste-t-il avec cette architecture ? Oublier qu’il y a lĂ  une partie du rĂ©seau qui hĂ©berge les cas Ă  problĂšmes serait la pire chose Ă  faire. Il faut aussi interpeller les utilisateurs Ă  intervalles rĂ©guliers pour voir s’ils utilisent vraiment ce logiciel vulnĂ©rable ? Peut-on se permettre de garder un trou de sĂ©curitĂ© ? N’y a-t-il pas une alternative sur le marchĂ© ? MĂ©trique L’organisation et sa direction doivent pouvoir vĂ©rifier que la politique d’application des correctifs est efficace. Mesurer et affirmer que 10 % des machines ou des logiciels n’ont pas pu recevoir des correctifs n’apporte aucune information si ce n’est faire peur car on imagine ces 10 % des machines ouvertes Ă  tout vent. Le NIST propose de donner trois indicateurs la proportion de correctifs appliquĂ©s Ă  temps par rapport Ă  un objectif fixĂ©, le temps moyen et le temps mĂ©dian d’application du correctif qui doivent bien sĂ»r ĂȘtre infĂ©rieur Ă  lobjectif. Cet objectif peut ĂȘtre fixĂ© par groupe de maintenance ou selon la criticitĂ© de la vulnĂ©rabilitĂ© et l’importance du logiciel dans le fonctionnement de l’entreprise. En fin de compte, le mieux est d’acquĂ©rir un logiciel qui connaitra le moins de failles possibles il faut mener, dit le NIST, une vĂ©ritable due diligence avec le fournisseur combien de failles, combien par annĂ©e ? Combien de temps pour produire un correctif quand une faille est trouvĂ©e ? Les correctifs sont-ils groupĂ©s ? Publiez-vous les correctifs sur la base de donnĂ©es des vulnĂ©rabilitĂ©s CVE ? Publiez-vous les correctifs ad hoc ou Ă  intervalles rĂ©guliers ? Cela vous arrive-t-il de ne pas publier des correctifs mais d’alors proposer des mesures d’évitement ? Vos correctifs ont-ils dĂ©jĂ  crĂ©Ă© des problĂšmes ? Testez-vous les correctifs avant de les publier ? Quel est le retour de vos clients ? Les rĂ©ponses Ă  ces questions en diront long sur le sĂ©rieux du fournisseur. Charles Cuvelliez Ecole Polytechnique de Bruxelles, UniversitĂ© de Bruxelles, Jean-Jacques Quisquater Ecole Polytechnique de Louvain, UniversitĂ© de Louvain & Bram Somers Group Chief Technology Officer, Belfius Banque Sur binaire, nous avons souvent traitĂ© du sujet des cyberattaques qui se dĂ©veloppent de plus en plus. La sinistre actualitĂ© nous a conduit Ă  attendre » que de telles agressions se dĂ©roulent tant en Ukraine que dans les autres pays. Pour l’instant, il semblerait que rien de tel ne se soit encore produit. Pour mieux comprendre cette situation, nous avons interrogĂ© plusieurs experts dont les noms ne peuvent pas apparaitre pour des obligations de rĂ©serve et qui ont choisi Jean-Jacques Quisquater comme porte-parole. Pascal Guitton & Pierre Paradinas Photo de Tima Miroshnichenko provenant de Pexels Alors que tout le monde s’y attendait, il semblerait qu’à l’heure oĂč nous publions ce texte aucune cyberattaque d’ampleur n’a eu lieu de la part de la Russie contre l’Occident, en rĂ©ponse aux sanctions Ă©conomiques, ni mĂȘme contre l’Ukraine Ă  peine a-t-on relevĂ© deux effaceurs de donnĂ©es wipers en anglais dont on n’est mĂȘme plus trĂšs sĂ»r de l’origine offensive. Il s’agit de HermeticWiper et WhisperGate dĂ©jĂ  actif au moins de janvier et IsaacWiper sans compter quelques variantes. Ils devaient s’infiltrer dans des rĂ©seaux informatiques des autoritĂ©s ukrainennes, effacer le contenu des disques durs jusque dans la partie qui empĂȘche ensuite la machine de redĂ©marrer. HermeticWiper, lancĂ© quelques heures avant l’attaque, se cachait derriĂšre un rançongiciel HermeticRansom qui avait pour but de leurrer les victimes et de dĂ©tourner leur attention. HermeticRansom s’avĂšre de piĂštre qualitĂ© car des chercheurs des sociĂ©tĂ©s Crowdstrike et Avast ont pu proposer un script et un outil de dĂ©chiffrement, comme si le code avait Ă©tĂ© Ă©crit Ă  la va-vite sans ĂȘtre testĂ©. Il n’utilisait mĂȘme pas les techniques classiques de brouillages des rançongiciels. Son prĂ©fixe, Hermetic, vient du certificat numĂ©rique usurpĂ© Ă  une sociĂ©tĂ© Hermetica Digital Ltd. Les auteurs ont pu se faire passer pour cette sociĂ©tĂ© et acquĂ©rir le certificat en tout rĂ©gularitĂ©. Aujourd’hui, l’Ukraine est toujours une cible les sociĂ©tĂ©s qui offrent un service de blocage d’accĂšs Ă  des serveurs web compromis, ont vu une augmentation d’un facteur 10 des requĂȘtes bloquĂ©es provenant d’Ukraine c’est la preuve qu’on clique de plus en plus souvent sur des liens d’hameçonnage ou que des malwares essaient d’établir une connexion avec un site Ă  partir duquel ils peuvent ĂȘtre dirigĂ©s. Entretemps, les certificats numĂ©riques utilisant les protocoles SSL/TLS venant de Russie ne pourront plus ĂȘtre renouvelĂ©s Ă  la date d’échĂ©ance Ă  titre d’embargo. Les Russes Ă©mettent maintenant leurs propres certificats que les navigateurs les plus rĂ©pandus n’accepteront pas », ont dĂ©jĂ  annoncĂ© les Google et autres Microsoft qui les conçoivent. Ces certificats made in Russia » posent d’ailleurs plus un problĂšme pour les russes que pour les Ă©trangers c’est une porte ouverte pour mieux espionner les citoyens qui, dans leurs communications sur le web, utiliseront des certificats dont les clĂ©s de chiffrement sont connues des autoritĂ©s russes
. Plus problĂ©matique est l’apparition des protestwares il s’agit de modifications apportĂ©es dans les logiciels open source qui s’activeront si la bibliothĂšque est utilisĂ©e sur une machine avec des rĂ©glages russes un message inoffensif de protestation contre la guerre s’affiche. Cette initiative n’est cependant pas innocente car elle met Ă  mal le paradigme mĂȘme de la communautĂ© open source, Ă  savoir la bonne volontĂ© et la transparence, pas l’hacktivisme. A ce stade, les protestware sont anecdotiques et minimalistes mais c’est une nouvelle menace Ă  suivre, surtout pour les dĂ©veloppeurs Pourquoi lancer une cyberattaque contre l’Occident ? Si le gouvernement russe n’a pas lancĂ© de cyberattaque contre l’Occident, c’est peut-ĂȘtre par manque de prĂ©voyance car il ne s’attendait sans doute pas Ă  une rĂ©action si vive des dĂ©mocraties occidentales. Il a sous-estimĂ© la cohĂ©sion de nos pays Ă  s’opposer, sanctions Ă  la clĂ© en un rien de temps, Ă  son coup de force. Peut-ĂȘtre pensait-il pouvoir faire un remake du printemps de Prague avec un Occident qui n’avait pas prise sur l’Union SoviĂ©tique Ă  moins d’entrer en guerre avec elle. Mais contrairement Ă  l’Union SoviĂ©tique, la Russie fait partie du systĂšme Ă©conomique mondial. Le prĂ©sident russe doit casser cette cohĂ©sion occidentale, poussĂ©e et soutenue par les opinions publiques dans tous les pays. Des attaques cyber ont ce potentiel, en perturbant le fonctionnement de l’économie via la mise Ă  l’arrĂȘt d’infrastructures critiques, de transports, de banques, de services de l’administration. Le but est de saper la confiance du citoyen face Ă  ses gouvernants qui n’auraient alors plus l’assise – ni le temps du fait des perturbations cyber » sur leurs propres Ă©conomies – pour consacrer tous leurs efforts Ă  lutter contre l’agresseur. Celui-ci peut encore lancer des attaques de dĂ©ni de service DDoS en anglais qui inondent les rĂ©seaux de requĂȘtes artificielles pour les saturer et rendre inaccessibles les sites web des banques ou leurs applications mobiles, et qui peuvent aussi mettre Ă  plat les systĂšmes de paiement ou les rĂ©seaux de carte de crĂ©dit. Les institutions financiĂšres remarquent une augmentation des attaques de dĂ©ni de service, qu’on peut sans doute attribuer Ă  un Ă©chauffement » des forces cyber-russes qui testent leur force de frappe au cas oĂč. Les institutions financiĂšres sont une cible de choix elles sont directement reliĂ©es Ă  Internet pour permettre Ă  leurs clients de s’y connecter et d’y mener leurs opĂ©rations. Les attaques de dĂ©ni de service sont trĂšs bien contrĂ©es mais il faut rester humbles on ne sait pas ce que les attaquants pourraient avoir prĂ©parĂ©. Toujours avec l’objectif de saper la confiance, le prĂ©sident russe pourrait ordonner de dĂ©figurer les sites des banques pour faire peur aux clients qui n’auraient alors plus confiance dans leurs banques incapables d’éviter des graffitis sur leurs sites. Avec la mise au ban des banques russes via Swift, le gouvernement russe pourrait chercher Ă  faire Ɠil pour Ɠil, dent pour dent et aller un cran plus loin pĂ©nĂ©trer les rĂ©seaux des infrastructures de marchĂ©s financiers Financial Market Infrastructure ou FMI en anglais. Ce sont les organisations-rouages des marchĂ©s financiers, peu connues du grand public, qui sont essentielles Ă  leur fonctionnement. Il en va de mĂȘme pour MasterCard et Visa qui, eux aussi, sont allĂ©s un cran plus loin en suspendant leurs services en Russie. Ce sont des scĂ©narios mais c’est ainsi qu’il faut procĂ©der. Ils prennent en compte le mobile du crime pour ne pas disperser ses efforts et cerner la menace. Imaginer ce que visent les autoritĂ©s russes dans une Ă©ventuelle cyberattaque, c’est cibler le renforcement des dĂ©fenses lĂ  oĂč c’est nĂ©cessaire et dĂ©tecter au plus vite les signes annonciateurs. Que faire ? Sans savoir quand viendra le coup, et mĂȘme si on sait d’oĂč il viendra et ce qu’il visera, il faut appliquer la tolĂ©rance-zĂ©ro en cyber-risque. Toutes les entreprises, surtout celles qui administrent des infrastructures critiques ou qui opĂšrent des services essentiels, comme les banques, doivent doper leur threat intelligence, c’est-Ă -dire activer tous les canaux qui peuvent les renseigner sur les malwares qui circulent, d’oĂč ils viennent, comment les repĂ©rer, inclure leur empreinte numĂ©rique dans les systĂšmes de dĂ©tection interne dans le rĂ©seau IT. Il existe, heureusement, une communautĂ© cyber efficace qui publie et relaie tout ce qu’un de ses membres trouve ce sont les sociĂ©tĂ©s de sĂ©curitĂ© promptes Ă  dĂ©couvrir ces malwares pour mettre Ă  jour leurs propres produits en publiant sur leur blog leur trouvaille comme preuve de leur savoir-faire. Mentionnons Ă©galement les agences de cybersĂ©curitĂ© nationale comme l’ANSSI en France, les CERT et les agences gouvernementales qui relaient ces informations. Les entreprises doivent corriger patcher les vulnĂ©rabilitĂ©s qui apparaissent dans les logiciels et composants informatiques qu’elles utilisent, dĂšs que les constructeurs les annoncent avec un correctif Ă  la clĂ©. Il faudra aussi penser Ă  prioriser ces mises Ă  jour correctives car c’est tous les jours que des vulnĂ©rabilitĂ©s sont annoncĂ©es grĂące au dynamisme des scientifiques qui, jusqu’à prĂ©sent, sont plus rapides que les attaquants. Cependant, soyons honnĂȘtes, cela ne suffit pas car ces derniers ont toujours tout le loisir d’exploiter des vulnĂ©rabilitĂ©s anciennes que trop d’entreprises tardent Ă  corriger. On voit rĂ©guliĂšrement apparaĂźtre des mises en garde sur des vulnĂ©rabilitĂ©s qui, tout Ă  coup, sont exploitĂ©es par des hackers pour compromettre les systĂšmes des entreprises qui ne les ont pas mis Ă  jour. Il est alors minuit moins une pour ces derniĂšres. Il faut par ailleurs continuer Ă  surveiller les groupes d’activistes ou les espions Ă©tatiques, ce qui permet de savoir quel type de cible est visĂ© au niveau des Ă©tats. Aujourd’hui, c’est l’Ukraine, demain, ce sera peut-ĂȘtre un autre pays. On surveillera les groupes de hackers notoirement connus pour avoir des accointances en Russie. Ils vont sĂ»rement s’exercer dans le sens d’une mission freelance » que pourrait leur demander leur pays de tutelle. Enfin, les entreprises doivent refaire le tour des mesures techniques qui rendent leurs rĂ©seaux Ă©tanches aux attaques, mesures qu’elles appliquent dĂ©jĂ  certainement mais il faut contrĂŽler qu’aucune exception qui aurait Ă©tĂ© accordĂ©e n’est restĂ©e active par mĂ©garde. Les plus avancĂ©es parmi les entreprises auront dĂ©jĂ  implĂ©mentĂ© le concept de rĂ©seau zĂ©ro confiance zero-trust network, une nouvelle maniĂšre de penser les rĂ©seaux d’entreprise. Son principe est que toute machine dans le rĂ©seau de son entreprise pourrait, Ă  l’insu de tous, avoir Ă©tĂ© compromise. Aucune machine ne peut faire confiance Ă  aucune machine, comme sur Internet. C’est considĂ©rer son propre rĂ©seau comme un Far-West Ă©quivalent Ă  Internet. L’autre concept est la dĂ©fense en profondeur une dĂ©fense informatique doit toujours ĂȘtre en tandem avec une autre dĂ©fense informatique. Si l’une est compromise, l’autre fonctionnera encore et l’attaque sera un Ă©chec. L’authentification Ă  deux facteurs que certains activent dĂ©jĂ  pour leurs compte Gmail est un exemple. Ne connaitre que le mot de passe et le login ne vous permet plus d’accĂ©der Ă  votre boite email. Il faut encore un code qui parviendra Ă  votre smartphone par exemple. Pour vaincre ces deux couches, un voleur doit non seulement connaitre le mot de passe et login mais aussi possĂ©der le smartphone du titulaire du login. Plus prosaĂŻquement, les sociĂ©tĂ©s seraient bien inspirĂ©es de jeter un coup d’Ɠil Ă  leurs sous-traitants et contractants qui pourraient connaitre des manquements bien pires que les leurs. Enfin, tout cette communautĂ© peut avoir du personnel liĂ© aux zones de conflit, donc trĂšs affectĂ© par la situation, qui pourrait partir protĂ©ger leur famille, aller combattre ou qui serait tentĂ© par des actions patriotiques sur leur lieu de travail avec les ressources IT de leur employeur. Deutsche Bank en fait pour l’instant l’amĂšre expĂ©rience cette banque dispose d’un centre Ă  Moscou oĂč travaillent 1500 experts dont la banque a besoin tous les jours en support de son trading. Elle est forcĂ©e d’élaborer Ă  toute vitesse des plans d’urgence pour accompagner » la perte future de ce centre, soit parce que le gouvernement russe le ferme en reprĂ©sailles, soit parce que l’embargo occidental intense rend impossible la collaboration, soit parce Deutsche Bank n’arrive tout simplement plus Ă  verser les salaires du fait de l’isolement financier de la Russie. Elle a par exemple menĂ© rĂ©cemment un stress test en fonctionnant trois jours sans faire appel Ă  son centre de Moscou. Ce qui ne manque pas de frapper, c’est le niveau inĂ©dit de coopĂ©ration public-privĂ© on voit un Microsoft coopĂ©rer directement avec le gouvernement ukraininen. Les partenariats privĂ©-public sont depuis des annĂ©es appelĂ©s de leur vƓux en cybersĂ©curitĂ©. Les voilĂ  mis en Ɠuvre, enfin. Quand la Russie attaquera-t-elle au niveau cyber ? On se perd en conjectures sur l’absence d’attaques cyber d’ampleur pour l’instant Ă  l’extĂ©rieur de l’Ukraine certains analystes pensent que le prĂ©sident russe n’a pas averti/impliquĂ© ses agences de renseignement Ă  temps pour les prĂ©venir de l’imminence de l’attaque, de sorte que ces derniĂšres n’ont rien prĂ©parĂ© et ont continuĂ© leurs opĂ©rations d’infiltrations/espionnages habituelles. Lancer une attaque cyber sur plusieurs pays Ă  la fois, simultanĂ©ment, cela se prĂ©pare. Ce n’est pas comme s’introduire dans une entreprise donnĂ©e Ă  la recherche de secrets ou pour lancer un petit rançongiciel, histoire de garder la main. Jean-Jacques Quisquater UniversitĂ© de Louvain Ecole Polytechnique de Louvain. Depuis plusieurs jours le rĂ©seau SWIFT est Ă  la une de tous les mĂ©dias qui dĂ©crivent les sanctions envisagĂ©es contre le gouvernement russe. Il s’agit d’un rĂ©seau auquel sont connectĂ©es les banques et qui est utilisĂ© pour les Ă©changes financiers internationaux. Pour aller plus loin et comprendre prĂ©cisĂ©ment Ă  quoi sert SWIFT, nous avons interrogĂ© trois experts Jean-Jacques Quisquater, Charles Cuvelliez et Gael Hachez. Pascal Guitton & Pierre Paradinas Photo de Life Of Pix provenant de Pexels Depuis plusieurs jours, la coupure de l’accĂšs de 7 grandes banques russes au systĂšme SWIFT occupe le devant de la scĂšne comme si elle Ă©tait de nature Ă  changer le cours de la guerre. Pourquoi et surtout Ă  quoi sert SWIFT au point d’avoir cet espoir ? Tout d’abord, SWIFT n’a pas vraiment de concurrent et toutes les banques sont connectĂ©es Ă  ce service qui fonctionne trĂšs bien. En effet, bien que SWIFT ne soit pas une institution financiĂšre, c’est un pilier de la finance mondiale car il permet Ă  une banque de transfĂ©rer de l’argent Ă  toute autre banque dans le monde 11 000 banques dans 200 pays y sont connectĂ©es. Pour le commun des mortels, transfĂ©rer de l’argent entre comptes semble aller tellement de soi qu’on peut se demander pourquoi il faut un systĂšme comme SWIFT. Le plus simple est d’imaginer SWIFT comme un service de messagerie trĂšs sĂ©curisĂ© entre banques utilisant des messages standardisĂ©s. Contrairement Ă  un systĂšme classique d’échange d’e-mail, SWIFT garantit l’identitĂ© des banques connectĂ©es et la sĂ©curitĂ© des messages. Pour pouvoir transfĂ©rer de l’argent entre une banque A et une banque B dans un autre pays, il faut qu’elles entretiennent une relation commerciale. Si tel est le cas et qu’elles sont toutes les deux connectĂ©es Ă  SWIFT, le transfert va passer par des messages respectant un format spĂ©cifique MT103 en utilisant comme identifiant le code BIC de la banque. Si A n’a pas de relation commerciale avec B, la situation se complique car il faut passer par des banques intermĂ©diaires dites correspondantes car elles ont une relation commerciale avec A et B. Les messages SWIFT, qui donnent les ordres de transfert de proche en proche, constituent donc le fil d’Ariane du transfert d’argent entre A et B. SWIFT transporte 40 millions de message par jour Ă  peine 1% implique les banques russes. C’est une coopĂ©rative dont les actionnaires sont les banques elles-mĂȘmes. Les messages SWIFT ont aussi des fonctionnalitĂ©s avancĂ©es de groupe comme l’implĂ©mentation de plafond ou l’imposition de contingences imposĂ©es par une banque centrale 
. Si SWIFT n’existait pas, le transfert de A vers B pourrait fonctionner quand mĂȘme mais au prix d’une coordination sans faille, avec une synchronisation avec la/les banques intermĂ©diaires via plusieurs systĂšmes de messagerie et de formats diffĂ©rents. Comme nous l’avons Ă©crit prĂ©cĂ©demment, pour que A puisse transfĂ©rer de l’argent vers B, il faut qu’il existe une relation commerciale entre elles qui se traduit dans SWIFT par un systĂšme d’autorisation B accepte de recevoir des messages de A. En d’autres termes, on aurait pu isoler les banques russes en demandant tout simplement Ă  toutes les banques non russes de ne plus avoir de relation commerciale avec elles. C’est l’objectif de ces sanctions mais elles ne sont pas appliquĂ©es par exemple par des banques chinoises. Pour des banques, Ă©tablir une relation commerciale l’une avec l’autre n’est pas innocent. La sociĂ©tĂ© Morgan qui est une des principales banques correspondantes dans le monde, au point d’ĂȘtre une plaque tournante des transferts internationaux, n’acceptera pas n’importe qui comme nouvelle banque. Dans la banque de dĂ©tail, il existe un examen approfondi screening pour chaque nouveau client via la procĂ©dure dite KYC pour Know Your Customer en anglais pour Ă©viter d’hĂ©berger les comptes d’un criminel ou d’un terroriste. Sachez que ce contrĂŽle existe aussi entre banques qui acceptent de correspondre entre elles. Les risques Que tous les Ă©changes entre Ă©tablissements financiers reposent sur un unique systĂšme de messagerie constitue un risque systĂ©mique majeur. Si pour une raison ou une autre, SWIFT tombait en panne, c’est la finance mondiale qui s’arrĂȘterait. Une attaque par dĂ©ni de service qui arriverait Ă  bloquer SWIFT qui n’est pas connectĂ© Ă  Internet ferait autant de dĂ©gĂąts. L’autre risque majeur avec SWIFT, c’est le vol d’argent. Le Bangladesh a connu cette mĂ©saventure la RĂ©serve FĂ©dĂ©rale amĂ©ricaine reçut un jour plusieurs ordres de versement d’argent d’un compte dĂ©tenu par la banque centrale du Bangladesh vers diffĂ©rents comptes dont celui d’un particulier. Cette demande particuliĂšrement Ă©trange une banque centrale ne transfĂšre pas d’argent sur le compte d’un particulier a permis de dĂ©tecter la fraude mais une partie de l’argent avait dĂ©jĂ  Ă©tĂ© versĂ©e. Cette malversation venait Ă  coup sĂ»r d’un expert du systĂšme financier car il fallait dĂ©tenir beaucoup de connaissances savoir utiliser le terminal SWIFT, savoir que la banque centrale du Bangladesh possĂ©dait de l’argent dans la RĂ©serve FĂ©dĂ©rale, sur quel compte
. Le personnel qui manipule les terminaux SWIFT doit Ă©videmment faire l’objet d’un examen approfondi que certaines banques vont certainement rĂ©itĂ©rer au vu des tensions entre deux pays dont les ressortissants pourraient trĂšs bien se trouver au contact de terminaux SWIFT. Comment cela va se passer. ConcrĂštement, quand SWIFT, une sociĂ©tĂ© de droit belge, recevra l’obligation lĂ©gale sous quelle forme ? d’exclure les 7 banques russes, elle bloquera sans doute les transactions depuis et Ă  destination de ces Ă©tablissements sur la base de leur code BIC. Elle appliquera l’article 16c de ses statuts qui mentionne que le conseil d’administration peut suspendre ou rĂ©voquer un actionnaire s’il n’a pas respectĂ© ses engagements ou si une rĂ©gulation amĂšne Ă  une contradiction Ă  le garder connectĂ© Ă  SWIFT. Mais ce n’est pas sans risque car certaines opĂ©rations faites via SWIFT s’étalent dans le temps. Le blocage pourrait par exemple arrĂȘter une opĂ©ration commencĂ©e plus tĂŽt. L’interrompre en plein milieu risque de provoquer des dĂ©sĂ©quilibres dans des flux de paiement et des transferts qui peuvent dĂ©boucher sur une situation chaotique. Photo de Mohamed Almari provenant de Pexels Pour l’éviter, il est question de crĂ©er des sauf-conduits pour garantir Ă  une opĂ©ration en cours de s’achever mĂȘme sous un rĂ©gime de sanctions. L’autre dĂ©fi est l’immĂ©diatetĂ© de la sanction. Lorsqu’une rĂ©gulation impose un changement dans les rĂšgles, du temps est laissĂ© Ă  SWIFT pour s’adapter. Ici, du jour au lendemain, il faut adapter les rĂšgles de surveillance des transactions. Des opĂ©rations lĂ©gitimes qui utilisent les banques russes comme intermĂ©diaires risquent d’ĂȘtre stoppĂ©es sans raison et interprĂ©tĂ©es comme illĂ©gales. La dĂ©cision de couper les 7 banques russes a Ă©tĂ© prise le 2 mars mais ne sera d’application que le 12 mars 10 jours pour s’adapter, c’est peu ! Alternatives La Russie n’a pas rĂ©ussi Ă  dĂ©velopper un systĂšme alternatif Ă  SWIFT elle a tentĂ© de mettre sur pied le SPFS sur lequel 23 banques sont connectĂ©es en provenance de pays comme l’ArmĂ©nie, le Belarus, le Kazakhstan, plus quelques pays europĂ©ens et la Suisse, mais sa taille rĂ©duite le handicape. Il y a bien des plans pour interconnecter SPFS avec les systĂšmes de paiement en Chine, Inde et Iran. La Russie peut aussi se connecter sur le systĂšme CIPS chinois mais la Chine ne serait sans doute pas prĂȘte Ă  subir des sanctions secondaires qui le priverait d’un accĂšs au dollar. La Russie peut aussi se passer de SWIFT et tenter d’effectuer des paiements en direct, de grĂ© Ă  grĂ©, Ă  des banques Ă©trangĂšres mais celles-ci refuseront certainement. Ce qui est sĂ»r, c’est que la lĂ©galitĂ© de la coupure sera attaquĂ©e si la Russie prend cette peine. Ce dont on parle moins Comme on l’a dit plus haut, la dĂ©connexion de SWIFT a un impact mais il est limitĂ© car le rĂ©gime de sanctions impose dĂ©jĂ  Ă  la plupart des banques dans le monde de ne plus travailler avec ces banques russes. Via les systĂšmes SPFS et/ou CIPS, elles pourraient toujours travailler avec des banques qui n’appliquent pas ces sanctions. SWIFT Ă  dĂ©faut d’ĂȘtre l’arme Ă©conomique ultime aura Ă©tĂ© une arme mĂ©diatique pour exprimer la volontĂ© et l’unitĂ© de l’Europe. Si SWIFT n’était pas installĂ© en Belgique, soumise Ă  la lĂ©gislation europĂ©enne mais en Asie qui marque trĂšs peu d’empressement Ă  appliquer des sanctions Ă©conomiques, il n’est pas sĂ»r que les banques russes eussent Ă©tĂ© bannies. Jean-Jacques Quisquater UniversitĂ© de Louvain Ecole Polytechnique de Louvain, Charles Cuvelliez UniversitĂ© de Bruxelles, Ecole Polytechnique de Bruxelles et Gael Hachez expert en gestion du risque technologique dans le secteur financier Un bug ne se manifeste pas nĂ©cessairement dĂšs l’instant oĂč il est dans un systĂšme. Les bugs les plus discrets sont d’ailleurs souvent les plus dangereux. Quand ils surgissent, la catastrophe peut ĂȘtre terrible comme celle d’Ariane 5 en 1996, qu’on a qualifiĂ©e de bug le plus cher de l’histoire. Plus rares, il y a des bugs dont l’effet nuisible n’apparaĂźt que lentement et progressivement, sans qu’on ose ou puisse les corriger et dont les consĂ©quences dĂ©sastreuses s’empirent jusqu’à devenir gravissimes. Celui dont nous parle ici Jean-Paul Delahaye est de ce type. Serge Abiteboul, Thierry ViĂ©ville. Il s’agit du bug dans le protocole de distribution de l’incitation du rĂ©seau Bitcoin, la fameuse cryptomonnaie. On va voir qu’il est bien pire que celui d’Ariane 5. Pour que le rĂ©seau Bitcoin fonctionne et fasse circuler en toute sĂ©curitĂ© l’argent auquel il donne vie, il faut que des volontaires acceptent de participer Ă  sa surveillance et Ă  la gestion des informations importantes qu’il gĂšre et qui s’inscrivent sur une chaĂźne de pages », ou blo Explosion du vol 501 d’Ariane V du Ă  un bug informatique © ckchain ». Une rĂ©munĂ©ration a donc Ă©tĂ© prĂ©vue pour rĂ©compenser ces volontaires, appelĂ©s validateurs. Elle provient de nouveaux Bitcoins crĂ©Ă©s ex-nihilo et est distribuĂ©e toutes les 10 minutes environ Ă  un et un seul des validateurs. Qu’il n’y en ait qu’un Ă  chaque fois n’est pas grave car dix minutes est un intervalle court et donc la rĂ©compense est distribuĂ©e un grand nombre de fois — plus de 50000 fois par an. Reste que distribuer cette incitation pose un problĂšme quand les ordinateurs ne sont pas obligĂ©s d’indiquer qui les contrĂŽle, ce qui est le cas du rĂ©seau Bitcoin oĂč tout le monde peut agir anonymement en utilisant des pseudonymes ou ce qui revient au mĂȘme un simple numĂ©ro de compte. Distribuer l’incitation par un choix au hasard qui donne la mĂȘme chance Ă  chaque validateur d’ĂȘtre retenu serait une solution parfaite si tout le monde Ă©tait honnĂȘte. Ce n’est pas le cas bien sĂ»r, et un validateur pourrait apparaĂźtre sous plusieurs pseudonymes diffĂ©rents pour augmenter la part de l’incitation qu’il recevrait avec un tel systĂšme. Avec k pseudonymes un validateur tricheur toucherait l’incitation k fois plus souvent que les validateurs honnĂȘtes. S’il apparaĂźt sous mille pseudonymes diffĂ©rents, il toucherait donc mille fois plus qu’un validateur honnĂȘte
 qui ne le resterait peut-ĂȘtre pas. Le rĂ©seau serait en danger. En langage informatique, on appelle cela une attaque Sybil » du nom d’une patiente en psychiatrie qui Ă©tait atteinte du trouble des personnalitĂ©s multiples ou trouble dissociatif de l’identitĂ©. Plusieurs solutions sont possibles pour empĂȘcher ces attaques, et le crĂ©ateur du protocole Bitcoin dont on ne connait d’ailleurs que le pseudonyme, Satoshi Nakamoto, en a introduite une dans son systĂšme qu’au dĂ©part on a jugĂ©e merveilleuse, mais dont on a compris trop tard les consĂ©quences dĂ©sastreuses. Ces consĂ©quences sont si graves qu’on peut affirmer que le choix de la mĂ©thode retenue et programmĂ©e par Nakamoto pour contrer les attaques Sybil est un bug. Sa solution est la preuve de travail » Proof of work » en anglais. L’idĂ©e est simple on demande aux validateurs du rĂ©seau de rĂ©soudre un problĂšme arithmĂ©tique nouveau toutes les dix minutes. La rĂ©solution du problĂšme exige un certain temps de calcul avec une machine de puissance moyenne, et elle ne s’obtient qu’en cherchant au hasard comme quand on tente d’obtenir un double 6 en jetant de maniĂšre rĂ©pĂ©tĂ©e deux dĂ©s. Le premier des validateurs qui rĂ©sout le problĂšme gagne l’incitation pour la pĂ©riode concernĂ©e. Toutes les dix minutes un nouveau problĂšme est posĂ© permettant Ă  un validateur de gagner l’incitation. Si tous les validateurs ont une machine de mĂȘme puissance les gains sont rĂ©partis Ă©quitablement entre eux, du moins sur le long terme. Si un validateur utilise deux machines au lieu d’une seule pour rĂ©soudre les problĂšmes posĂ©s, il gagnera deux fois plus souvent car avec ses deux machines c’est comme s’il lançait deux fois plus souvent les dĂ©s que les autres. Cependant c’est acceptable car il aura dĂ» investir deux fois plus que les autres pour participer ; son gain sera proportionnĂ© Ă  son investissement. Il pourrait gagner plus souvent encore en achetant plus de machines, mais ce coĂ»t pour multiplier ses chances de gagner l’incitation impose une limite. On considĂšre que ce contrĂŽle des attaques Sybil est satisfaisant du fait que les gains d’un validateur sont fixĂ©s par son investissement. Il faut noter que celui qui apparaĂźt avec k pseudonymes diffĂ©rents ne gagne rien de plus que s’il apparait sous un seul, car les chances de gagner sont proportionnelles Ă  la puissance cumulĂ©e des machines qu’il engage. Qu’il engage sa puissance de calcul sous un seul nom ou sous plusieurs ne change rien pour lui. Avec la preuve de travail, il semble que la rĂ©partition des gains ne peut pas ĂȘtre trop injuste car si on peut amĂ©liorer ses chances de gagner Ă  chaque pĂ©riode de dix minutes, cela Ă  un coĂ»t et se fait proportionnellement Ă  l’investissement consenti. Une usine de minage de bitcoin avec ces immense salles remplies d’unitĂ©s de calcul ©AndreyRudakov/Bloomberg Le rĂ©seau bitcoin fonctionne selon le principe de la preuve de travail. Au dĂ©part tout allait bien, les validateurs se partageaient les bitcoins crĂ©Ă©s et mis en circulation Ă  l’occasion de chaque pĂ©riode, sans que cela pose le moindre problĂšme puisque leurs machines avaient des puissances comparables et que personne n’en utilisait plusieurs pour augmenter ses chance de gagner. La raison principale Ă  cette situation est qu’en 2009 quand le rĂ©seau a Ă©tĂ© mis en marche, un bitcoin ne valait rien, pas mĂȘme un centime de dollar. Investir pour gagner un peu plus de bitcoins n’avait pas d’intĂ©rĂȘt. Cependant, petit Ă  petit, les choses ont mal tournĂ© car le bitcoin a pris de la valeur. Il est alors devenu intĂ©ressant pour un validateur de se procurer du matĂ©riel pour gagner plus souvent les concours de calcul que les autres. Plus la valeur du bitcoin montait plus il Ă©tait intĂ©ressant de mettre en marche de nombreuses machines pour augmenter ses gains en gagnant une plus grande proportion des concours de calcul. Une augmentation de la capacitĂ© globale de calcul du rĂ©seau s’est alors produite. Elle n’a pas fait diminuer le temps nĂ©cessaire pour rĂ©soudre le problĂšme posĂ© chaque dix minutes, car Nakamoto, trĂšs malin, avait prĂ©vu un mĂ©canisme qui fait que la difficultĂ© des problĂšmes soumis s’ajuste automatiquement Ă  la puissance totale du rĂ©seau. Depuis 2009, il faut dix minutes environ pour qu’un des ordinateurs du rĂ©seau rĂ©solve le problĂšme posĂ© et gagne l’incitation, et cette durĂ©e n’a jamais changĂ©e car le rĂ©seau est conçu pour cela. Du bitcoin Ă  la blockchain dans ce double podcast Jean-Paul prend le temps d’expliquer comment ça marche aux Ă©lĂšve de l’enseignement SNT en seconde et au delĂ . Les validateurs associĂ©s parfois avec d’autres acteurs spĂ©cialisĂ©s dans la rĂ©solution des problĂšmes posĂ©s par le rĂ©seau — et pas du tout dans la validation — ont accru leurs capacitĂ©s de calcul. La puissance cumulĂ©e de calcul du rĂ©seau a en gros Ă©tĂ© multipliĂ©e par dix tous les ans entre 2010 et maintenant. C’est Ă©norme ! Les spĂ©cialistes de la rĂ©solution des problĂšmes posĂ©s par le rĂ©seau sont ce qu’on nomme aujourd’hui les mineurs » ils travaillent pour gagner des bitcoins comme des mineurs avec leurs pioches tirent du minerai du sous sol. Il faut soigneusement distinguer leur travail de celui des validateurs les validateurs gĂšrent vraiment le rĂ©seau et lui permettent de fonctionner, les mineurs calculent pour aider les validateurs Ă  gagner l’incitation. Si parfois des validateurs sont aussi mineurs, il faut bien comprendre que deux type diffĂ©rents de calculs sont faits il y a le travail de validation et le travail de minage. Entre 2010 et maintenant, la puissance du rĂ©seau des mineurs a Ă©tĂ© multipliĂ©e par 1011, soit 100 milliards. L’unitĂ© de calcul pour mesurer ce que font les mineurs est le hash ». En janvier 2022, on est arrivĂ© Ă  200×1018 hashs pas seconde, soit 200 milliards de milliards de hashs par seconde, un nombre colossal. Bien sĂ»r les machines utilisĂ©es ont Ă©tĂ© amĂ©liorĂ©es et on a mĂȘme fabriquĂ© des circuits Ă©lectroniques pour calculer rapidement des hashs, et on les perfectionne d’annĂ©e en annĂ©e. Cependant, et c’est lĂ  que le bug est devenu grave, mĂȘme en dĂ©pensant de moins en moins d’électricitĂ© pour chaque hash calculĂ©, on en a dĂ©pensĂ©e de plus en plus, vraiment de plus en plus ! La logique Ă©conomique est simple plus le cours du bitcoin est Ă©levĂ© —il s’échange aujourd’hui Ă  plus de 30 000 euros— plus il vaut la peine d’investir dans des machines et d’acheter de l’électricitĂ© dans le but de miner car cela permet de gagner plus frĂ©quemment le concours renouvelĂ© toutes les dix minutes, et cela rentabilise les investissements et dĂ©penses courantes du minage. Une concurrence fĂ©roce entre les mineurs s’est crĂ©Ă©e, pour arriver en 2022 Ă  une consommation Ă©lectrique des mineurs qu’on Ă©value Ă  plus de 100 TWh/an. La valeur 50 TWh est un minimum absolument certain, mais 100 TWh/an ou plus est trĂšs probable. Sachant qu’un rĂ©acteur nuclĂ©aire de puissance moyenne produit 8 TWh/an, il y a donc l’équivalent de plus de 12 rĂ©acteurs nuclĂ©aires dans le monde qui travaillent pour produire de l’électricitĂ© servant Ă  organiser un concours de calcul qui fixe toutes les dix minutes quel est le validateur qui gagne l’incitation. Je me permets d’insister l’électricitĂ© n’est pas dĂ©pensĂ©e pour le fonctionnement en propre du rĂ©seau, mais uniquement pour dĂ©signer le validateur gagnant. Quand on Ă©tudie le fonctionnement du rĂ©seau bitcoin, on dĂ©couvre qu’il y a au moins mille fois plus d’électricitĂ© dĂ©pensĂ©e par le rĂ©seau pour choisir le gagnant toutes les dix minutes, que pour son fonctionnement propre. S’il dĂ©pense beaucoup, c’est donc Ă  cause de la preuve de travail, pas Ă  cause de sa conception comme rĂ©seau distribuĂ© et bien sĂ©curisĂ© permettant la circulation des bitcoins. Est-ce que cette situation justifie vraiment de parler de bug ? Oui, car il existe d’autres solutions que la preuve de travail et ces autres solutions n’engendrent pas cette dĂ©pense folle d’électricitĂ©. La solution alternative la plus populaire dont de multiples variantes ont Ă©tĂ© proposĂ©es et mises en fonctionnement sur des rĂ©seaux concurrents du bitcoin se nomme la preuve d’enjeu ». Son principe ressemble un peu Ă  celui de la preuve de travail. Les validateurs qui veulent avoir une chance de se voir attribuer l’incitation distribuĂ©e pĂ©riodiquement, engage une somme d’argent en la mettant sous sĂ©questre sur le rĂ©seau oĂč elle se trouve donc bloquĂ©e temporairement. Plus la somme mise sous sĂ©questre est grande plus la probabilitĂ© de gagner Ă  chaque pĂ©riode est grande. Comme pour la preuve de travail, avec la preuve d’enjeu il ne sert Ă  rien de multiplier les pseudonymes car votre probabilitĂ© de gagner l’incitation sera proportionnelle Ă  la somme que vous engagerez. Que vous le fassiez en vous cachant derriĂšre un seul pseudonyme, ou derriĂšre plusieurs ne change pas cette probabilitĂ©. Quand un validateur souhaite se retirer, il rĂ©cupĂšre les sommes qu’il a engagĂ©es ; ce qu’il a gagnĂ© n’est donc pas amputĂ© par des achats de machines et d’électricitĂ©. Cette mĂ©thode ne provoque pas de dĂ©penses folles en Ă©lectricitĂ© et achats de matĂ©riels, car il n’y en a pas ! Avec des configurations Ă©quivalentes de dĂ©centralisation et de sĂ©curisation un rĂ©seau de cryptomonnaie utilisant la preuve d’enjeu dĂ©pensera mille fois moins d’électricitĂ© qu’un rĂ©seau utilisant la preuve de travail. Il y a une façon simple d’interprĂ©ter les choses. La preuve d’enjeu et la preuve de travail limitent toutes les deux les effets des attaques Sybil en distribuant l’incitation proportionnellement aux engagements de chaque validateur —soit du matĂ©riel de calcul et de l’électricitĂ©, soit un dĂ©pĂŽt d’argent —. Cependant la preuve d’enjeu rend son engagement au validateur quand il cesse de participer, et donc rien n’est dĂ©pensĂ© pour participer, alors que la preuve de travail consomme dĂ©finitivement l’électricitĂ© utilisĂ©e et une partie de la valeur des matĂ©riels impliquĂ©s. En un mot, la preuve de travail est une preuve d’enjeu qui confisque une partie des sommes engagĂ©es et les brĂ»le. Avoir utilisĂ© la preuve de travail, avec les consĂ©quences qu’on observe aujourd’hui est de toute Ă©vidence une erreur de programmation dans le protocole du rĂ©seau du bitcoin. Le bug n’est apparu que progressivement mais il est maintenant lĂ , gravissime. Le plus terrible, c’est qu’une fois engagĂ© avec la preuve de travail le rĂ©seau bitcoin est devenu incapable de revenir en arriĂšre. Corriger le bug alors que le rĂ©seau est en fonctionnement est quasiment impossible. En effet, le pouvoir pour faire Ă©voluer la façon dont fonctionne du rĂ©seau, ce qu’on appelle sa gouvernance, est aux mains de ceux qui disposent de la puissance de calcul pour le minage. Ils ont achetĂ© du matĂ©riel, installĂ© leurs usines, appris Ă  se procurer de l’électricitĂ© bon marchĂ©, ils ne souhaitent pas du tout que la valeur de leurs investissements tombe Ă  zĂ©ro. Ils ne souhaitent donc pas passer Ă  la preuve d’enjeu. La correction du bug est donc devenue trĂšs improbable. Aujourd’hui le rĂ©seau Ethereum qui est le second en importance dans cette catĂ©gorie essaie malgrĂ© tout de passer de la preuve de travail Ă  la preuve d’enjeu. Il a beaucoup de mal Ă  le faire et il n’est pas certain qu’il y arrive. Du cĂŽtĂ© du bitcoin rien n’est tentĂ©. Sans interventions extĂ©rieures, le bug du bitcoin va donc continuer Ă  provoquer ses effets absurdes. Est-ce le plus gros bug de l’histoire ? Celui d’Ariane 5 a Ă©tĂ© Ă©valuĂ© Ă  environ 5 millions de dollars. Si on considĂšre, ce qui semble logique, que tout l’argent dĂ©pensĂ© en minage reprĂ©sente le coĂ»t du bug du bitcoin alors c’est beaucoup plus, puisqu’en ordre de grandeur le minage depuis 2009 a coĂ»tĂ© entre 5 et 10 milliards de dollars et peut-ĂȘtre plus. Le piĂšge Ă©conomique qui est rĂ©sultĂ© du bug est d’une perversitĂ© peut-ĂȘtre jamais rencontrĂ©e. Jean-Paul Delahaye, Professeur d’informatique Ă  l’universitĂ© Lille-I Au delĂ  + La preuve de travail a d’autres inconvĂ©nients que celui mentionnĂ© ici de dĂ©penser inutilement en Ă©lectricitĂ© la production d’une dizaine de rĂ©acteurs nuclĂ©aires. Ces autres inconvĂ©nients sont prĂ©sentĂ©s dans un document qui peut ĂȘtre vu comme un complĂ©ment Ă  ce texte Jean-Paul Delahaye, Les arguments en faveur de la preuve d’enjeu contre la preuve de travail pour les chaines de bloc, Institut Rousseau, fĂ©vrier 2022. Une tribune intitulĂ©e Il est urgent d’agir face au dĂ©veloppement du marchĂ© des cryptoactifs et de sĂ©parer le bon grain de l’ivraie » portant sur le problĂšme de la rĂ©gulation des cryptoactifs a Ă©tĂ© publiĂ©e par Le Monde le jeudi 10 fĂ©vrier 2022. Vous pouvez en voir le texte avec la liste des signataires et Ă©ventuellement ajouter votre signature en allant en Attaquant autant les individus que les organisations entreprises, hĂŽpitaux
, les rançongiciels ou ransomware en anglais sont devenus un des flĂ©aux les plus rĂ©pandus dans le monde numĂ©rique. Nos amis Lorenzo Bernardi, Charles Cuveliez et Jean-Jacques Quisquater nous expliquent le fonctionnement de ces logiciels et s’interrogent sur les consĂ©quences des lĂ©gislations qui sont discutĂ©es actuellement aux Etats-unis dĂ©placeront-elles les cibles de ces attaques vers d’autres zones gĂ©ographiques ? Pascal Guitton et Thierry ViĂ©ville. Le 13 octobre dernier, la dĂ©putĂ©e LREM ValĂ©ria Faure-Muntian a publiĂ© un rapport pour l’AssemblĂ©e nationale relatif Ă  la cyber-assurance qui prĂ©conise d’interdire aux assureurs de payer les rançons. C’est un choix sociĂ©tal qui a pris de l’avance outre-Atlantique avec une effervescence lĂ©gislative dans le mĂȘme sens interdire le paiement des rançons pour stopper cette criminalitĂ© trĂšs rentable. De fait, si la France et l’Europe ne font rien, les hackers risquent de dĂ©ferler chez nous si, aux USA, il n’est plus possible de payer discrĂštement les rançons. La sĂ©natrice dĂ©mocrate E. Warren a ainsi proposĂ© une loi qui imposerait de dĂ©clarer les paiements de rançon dans les 48 heures pour toutes les sociĂ©tĂ©s. Un site web serait mis en place pour permettre aussi Ă  tout un chacun de dĂ©clarer sur base volontaire les paiements de rançon. Le Department of Homeland Security ou DHS le ministĂšre amĂ©ricain de l’intĂ©rieur aurait alors la tĂąche d’exploiter ces donnĂ©es le montant, les devises utilisĂ©es – crypto ou pas – et tout ce que la victime a pu comprendre/apprendre du gang avec qui il a nĂ©gociĂ©. Image de Maulucioni extraite du site WikiMedia. L’objectif ? Comprendre l’écosystĂšme criminel, dans une optique follow the money’ qui manque, c’est vrai, Ă  la plupart des lois qui imposent de notifier des incidents de sĂ©curitĂ©. Cela dit, une telle obligation et la publicitĂ© nĂ©gative qui en rĂ©sulterait pourraient aussi dissuader les entreprises de payer la rançon et les conduire Ă  se mettre ainsi dans une situation parfois irrĂ©cupĂ©rable. DĂ©clarer un incident dans un laps de temps aussi court, en pleine crise, n’est pas un cadeau il y a d’autres prioritĂ©s Ă  gĂ©rer. Ce n’est pas comme rapporter une brĂšche de sĂ©curitĂ© dans les 72 heures de sa dĂ©couverte comme l’impose le RGPD une fois dĂ©couverte, elle a dĂ©jĂ  eu lieu et il n’y a plus rien Ă  gĂ©rer d’autre que les dĂ©gĂąts, dĂ©jĂ  actĂ©s. Dans une autre proposition de loi, elle aussi dĂ©posĂ©e en septembre, c’est dans les 24 heures cette fois que les organisations de plus de 50 personnes seraient obligĂ©e de dĂ©clarer le paiement de rançon et les opĂ©rateurs d’infrastructure critiques devraient rapporter leurs incidents de sĂ©curitĂ© dans les 72 heures. Les autoritĂ©s devraient poursuivre activement toutes les sociĂ©tĂ©s qui ne respecteraient pas cette obligation et leur interdire de devenir sous-traitant des administrations fĂ©dĂ©rales. L’autoritĂ© compĂ©tente, le CISA agence amĂ©ricaine de cybersĂ©curitĂ© et de sĂ©curitĂ© des infrastructures, aurait ainsi, d’aprĂšs les auteurs de la loi, une vue globale des cyberattaques sur le territoire amĂ©ricain. Cryptomonnaie aussi Les cryptomonnaies ne sont pas oubliĂ©es une proposition de loi du SĂ©nat amĂ©ricain chargerait le dĂ©partement du TrĂ©sor de suivre activement le minage des cryptomonnaies dans le monde. Le rĂ©sultat de leur analyse serait communiquĂ© au CongrĂšs il s’agirait de voir quel pays rĂ©gule ou, au contraire, encourage les cryptomonnaies. Il faut dire qu’en plus d’ĂȘtre un moyen de paiement des rançons, elles sont accusĂ©es de bien d’autres maux redĂ©marrage des centrales Ă  charbon pour faire face Ă  la demande d’électricitĂ© pour le minage, pĂ©nurie de microprocesseurs et hausse des prix, dues, dit-on, Ă  la demande de puces pour le minage aussi. On imagine facilement l’étape suivante les USA qui appliqueraient des sanctions aux pays trop complaisants. La Chine n’en ferait pas partie car elle vient d’interdire toutes les transactions en cryptomonnaie. La soudaine inflation de lois, trĂšs opĂ©rationnelles, du cĂŽtĂ© US est impressionnante. Elle traduit et s’attaque au manque de comprĂ©hension des rançongiciels, Ă  leur Ă©tendue et aux dĂ©gĂąts qu’elle engendre. Le FBI, dans une audition au SĂ©nat en marge du dĂ©pĂŽt de ces lois, a annoncĂ© qu’en 2020, 350 millions de dollars avaient Ă©tĂ© payĂ©s en rançon rien qu’aux USA, une augmentation de 311 % par rapport Ă  2019. La moyenne des rançons payĂ©es est de 300 000 USD. La victime idĂ©ale Aucun pays europĂ©en ne va aussi loin et encore moins la Commission europĂ©enne au nom de tous. Mais on peut se demander si les USA ne sont pas dĂ©jĂ  en retard d’une guerre la sociĂ©tĂ© KE-LA connue pour ses capacitĂ©s d’infiltration du dark web a mis en Ă©vidence le profil idĂ©al de victime d’un rançongiciel en analysant les forums d’acheteurs d’accĂšs aux entreprises. Car les hackers ne veulent plus perdre de temps Ă  d’abord pĂ©nĂ©trer dans le rĂ©seau des victimes. Leur temps prĂ©cieux se concentre sur l’attaque et le blocage de l’entreprise, la partie utile, en fait. Par profil idĂ©al, il faut comprendre le portrait de la sociĂ©tĂ© qui paiera facilement une rançon. Elle est amĂ©ricaine, avec un chiffre d’affaires de 100 millions de dollars. Pour la moitiĂ© des acheteurs d’accĂšs, qui, au fond, sur ces forums, ne font rien d’autre que de publier un cahier de charge, la victime ne doit pas ĂȘtre active dans le secteur mĂ©dical ni dans l’éducation, un peu pour des raisons Ă©thiques disent-ils, un peu parce qu’elles n’auront pas les moyens de payer la rançon. L’accĂšs est payĂ© jusqu’à 100 000 USD, en moyenne 56 000 USD. Il peut aussi y avoir une partie de la rançon partagĂ©e. L’accĂšs n’est pas forcĂ©ment un accĂšs au rĂ©seau de la victime lui-mĂȘme mais toute forme de point d’entrĂ©e dans une base de donnĂ©es, un serveur courriel comme ce fut le cas pour la vulnĂ©rabilitĂ© sir Microsoft Exchange, un site web. Si cet accĂšs ne peut ĂȘtre utilisĂ© pour rĂ©pandre un rançongiciel, il servira Ă  bien d’autres plaisirs » minage, installation d’un malware qui sera ensuite redistribuĂ© aux gens qui vont sur le site dĂ©sormais contaminĂ©, collecte de donnĂ©es dans la base de donnĂ©es infiltrĂ©e, utilisation des ressources infiltrĂ©es pour du spam ou phishing. Les Etats-unis sont de loin le pays le plus recherchĂ© dans les cahiers des charges » avec 47 % des demandes. Le Canada vient ensuite pour 37 %, l’Australie pour 37 % et enfin, l’Europe, tous pays confondus pour 31 %. Que se passera-t-il quand les 47 % dattaques vers les USA devront trouver d’autres preneurs ? Et Ă©videmment, les pays de l’ex-Union SoviĂ©tique restent toujours en dehors des accĂšs recherchĂ©s, comme quoi rĂšgne toujours la rĂšgle selon laquelle on ne mord pas la main de celui qui vous nourrit. Comment se fait-on piĂ©ger par un rançongiciel ? Qu’on se le dise, puisque la vague amĂ©ricaine de rançongiciels va refluer vers nos cĂŽtes les emails restent un point d’entrĂ©e prĂ©fĂ©rĂ©, car simple, des rançongiciels, via une piĂšce attachĂ©e ou un lien Ă  cliquer vers un exĂ©cutable qui relĂąche un ransomware. Il y a aussi les sites web infectĂ©s, sous le contrĂŽle des pirates, Ă  partir desquels rien qu’en y navigant ou en cliquant sur un lien, un malware ou un rançongiciel peut ĂȘtre tĂ©lĂ©chargĂ© sur votre machine. Ce malware pĂ©nĂštre via des plugins vulnĂ©rables du navigateur web et arrive en arriĂšre-plan sans qu’on s’en rende compte. Ces points d’entrĂ©e un peu trop Ă©vidents pour lesquels l’utilisateur final porte hĂ©las souvent une lourde responsabilitĂ© de leur donner une suite justifient, ĂŽ combien, les ennuyantes restrictions que les salariĂ©s rencontrent dans leur entreprise ne pas pouvoir accĂ©der Ă  un site web sans qu’il ne passe par un filtre de classification de son contenu et de reconnaissance de son innocuitĂ© au point de devoir attendre 24 heures si ce site n’a jamais Ă©tĂ© identifiĂ© auparavant. Les liens dans les emails ne sont plus cliquables tels quels ils vous redirigent vers un site relais qui sert de bouclier testeur du site rĂ©ellement accĂ©dĂ© auquel vous n’accĂ©derez d’ailleurs qu’à travers ce bouclier. Image extraite du site wezengroup Il y a des rançongiciels plus sophistiquĂ©s qui tirent profit de vulnĂ©rabilitĂ©s non corrigĂ©es dans le systĂšme IT de l’organisation qui auront Ă©tĂ© identifiĂ©es auparavant par d’autres. Pour Ă©chapper Ă  la dĂ©tection, le rançongiciel peut s’installer morceau par morceau mais en tout cas, une fois qu’il s’active, aprĂšs avoir bien reconnu le rĂ©seau de la victime, on estime qu’il peut chiffrer 1000 fichiers sur un laps de temps entre 16 s et 18 min pour Ă©chapper Ă  la dĂ©tection de par sa lenteur. Soit le rançongiciel chiffre Ă  l’aide des primitives de chiffrement contenus dans le systĂšme d’exploitation de la machine mĂȘme Linux, iOS, Windows, soit ce sont des primitives de chiffrement faites maison pour leurrer les outils de dĂ©tection qu’un processus de chiffrage est en cours d’exĂ©cution. Souvent, des copies des fichiers de la victime sont exfiltrĂ©es avant leurs chiffrements avec une menace de les dĂ©voiler publiquement si l’entreprise ne paie pas la rançon. Mais la tentation de payer et de ne rien dire l’emporte car si bĂątir une rĂ©putation exige beaucoup de temps, il peut suffire d’un cyber incident pour la dĂ©truire. Et pourtant, ce souci de discrĂ©tion est souvent vain car sur les forums spĂ©cialisĂ©s dans le dark web, les gangs de rançongiciels auront tĂŽt fait d’annoncer qu’ils ont frappĂ© une nouvelle victime, non pour se vanter mais pour avertir d’autres acteurs de la chaĂźne de valeur qu’ils peuvent prendre le relais rĂ©colter le paiement,
. C’est la raison pour laquelle il vaut mieux, en tant que victime ĂȘtre le premier Ă  annoncer avoir Ă©tĂ© impactĂ© par un rançongiciel la transparence paie et montrera que vous gĂ©rez la situation. Autre erreur fatale rapidement rĂ©installer les machines, ne garder aucune trace de ce qui s’est passĂ©. C’est permettre au hacker de revenir par la mĂȘme porte par laquelle il est entrĂ© la premiĂšre fois car on n’aura pas pris le temps de comprendre comment il a pu venir. Effacer les fichiers chiffrĂ©s ou redĂ©marrer les machines pour stopper le rançongiciel sont des rĂ©flexes naturels mais, dans un cas, on perd aussi la clĂ© de dĂ©chiffrement qui se trouve parfois cachĂ©e dans le fichier chiffrĂ©. Dans le deuxiĂšme cas, le hacker peut le repĂ©rer et bloquer la machine elle-mĂȘme en reprĂ©sailles. Tout sauf paniquer Quand un rançongiciel est dĂ©tectĂ©, il faut dĂ©connecter les machines infectĂ©es, dĂ©connecter le rĂ©seau et les espaces de stockage partagĂ©s et ce n’est pas le moment de chercher la carte du rĂ©seau. Les rĂ©seaux en un seul tenant seront dĂ©savantagĂ©s car on ne pourra pas en isoler certaines parties. Il faut sĂ©curiser ses sauvegardes, les dĂ©connecter si possible, stopper toutes les synchronisations entre serveurs qui propageraient les fichiers chiffrĂ©s Ă  la place du rançongiciel. Toutes les techniques qui permettent de se mouvoir latĂ©ralement dans le rĂ©seau doivent ĂȘtre dĂ©sactivĂ©es veillez Ă  les documenter et Ă  les connaitre pour votre propre rĂ©seau comme par exemple les serveurs virtuels reliant des serveurs physiques et les machines virtuelles stoppez-les quand c’est possible, ne les Ă©teignez pas car ils peuvent contenir des infos prĂ©cieuses sur le rançongiciel, les clĂ©s utilisĂ©es pour chiffrer,
.. Et ce n’est pas parce qu’un rançongiciel a Ă©tĂ© dĂ©tectĂ© et isolĂ© que vous en ĂȘtes quitte. Certains sont dissĂ©minĂ©s en plusieurs exemplaires sur le rĂ©seau pour prendre le relais en cas d’isolement et de neutralisation du premier. Il est intĂ©ressant de dĂ©terminer le type de ransomware qui vous a frappĂ©, par exemple via le message que vous aurez reçu vous pourrez alors Ă  l’aide d’experts dĂ©terminer son modus operandi et mieux rĂ©agir qu’en mode on dĂ©connecte tout, on rĂ©flĂ©chit aprĂšs ». Vous saurez ainsi, par l’expĂ©rience d’autrui, si ce rançongiciel peut redĂ©marrer plus tard quand vous pensez qu’il a fini son Ɠuvre ou s’il est susceptible de revenir aprĂšs un redĂ©marrage, ce qui pose la question de sa persistance dans le rĂ©seau. Il faut aussi dĂ©terminer par oĂč il a pĂ©nĂ©trĂ© dans votre systĂšme car en fonction de ce point d’entrĂ©e, vous saurez quelle partie du rĂ©seau sera atteinte et quelles parties ne le seront pas, si vous avez appliquĂ© une politique de segmentation forte du rĂ©seau. Cela ne sert Ă  rien de stopper toute l’entreprise si on peut l’éviter mais qui arrive Ă  garder la tĂȘte froide dans de telles circonstances ? Quant Ă  la question des outils de dĂ©chiffrement offerts par les autoritĂ©s, ils fonctionneront dautant mieux que vous aurez Ă©tĂ© frappĂ© par un rançongiciel ancien. Mais il en existe peu pour les rançongiciels rĂ©cents. Quant aux sauvegardes, prĂ©parez-vous Ă  ĂȘtre déçus peu de sociĂ©tĂ©s en possĂšdent qui soient intĂ©graux, les seuls capables de restaurer votre environnement dans l’état oĂč il Ă©tait avant l’attaque. La plupart des organisations ont des sauvegardes fragmentĂ©es mises en place pour tenir compte d’une corruption isolĂ©e d’une base de donnĂ©es, d’un crash disque et non pas d’un chiffrement 360° de toute votre informatique. L’initiative des Etats-Unis montrera qu’agir seul en cybersĂ©curitĂ© ne supprime pas la menace, elle la dĂ©place c’est l’Europe et l’Asie qui vont hĂ©riter du dynamisme du marchĂ© des rançongiciels. L’OCDE vient de se mettre d’accord sur une taxe minimum pour les GAFAs. Et si les initiatives lĂ©gislatives pour tarir les flux financiers des rançongiciels et au passage pour cadrer les cryptomonnaies se prenaient Ă  ce niveau aussi. Lorenzo Bernardi Offensive Security Lead, Ernst & Young, Charles Cuvelliez Ecole Polytechnique de Bruxelles, UniversitĂ© de Bruxelles et Jean-Jacques Quisquater Ecole Polytechnique de Louvain, UniversitĂ© de Louvain. Les logiciels libres ont pris aujourd’hui une place importante dans le dĂ©veloppement de pratiquement tous les systĂšmes numĂ©riques. Malheureusement, dans certains cas, l’utilisation de composants parfois obsolĂštes posent des questions de sĂ©curitĂ©. AprĂšs nous avoir expliquĂ© les attaques supply chain dans un article prĂ©cĂ©dent, Charles Cuveliez, Jean-Jacques Quisquater et Tim Vaes commentent une Ă©tude portant sur 1500 logiciels qui rĂ©vĂšle un grand nombre de failles dues Ă  ces dĂ©pendances mal maĂźtrisĂ©es. Pascal Guitton Aujourd’hui, la plupart des programmes informatiques utilisent du code open source, c’est-Ă -dire des composants et des librairies informatiques prĂȘts Ă  l’emploi, proposĂ©s librement sur le Net par une communautĂ© qui les maintient, ainsi que par des sociĂ©tĂ©s commerciales. Cela permet aux dĂ©veloppeurs informatique de ne pas devoir chaque fois rĂ©inventer la roue quand ils mettent au point leurs propres applications. Ils peuvent se concentrer sur ce qui est nouveau, fera la diffĂ©rence et ne pas perdre de temps Ă  reprogrammer ce que d’autres ont fait avant eux. En fait, pratiquement tous les programmes commerciaux, y compris des systĂšmes d’exploitation comme Windows ou MacOSX, font largement appel Ă  l’open source. L’open source se retrouve donc dans un large spectre de contextes depuis des librairies Ă©crites par des dĂ©veloppeurs isolĂ©s sans connaissance particuliĂšre en sĂ©curitĂ© jusque des librairies entretenues par des organisations professionnelles avec des standards de sĂ©curitĂ© Ă©levĂ©s. Dans le premier cas, il est facile pour un hacker malveillant de compromettre le code open source sous couvert de participer au dĂ©veloppement. Dans le deuxiĂšme cas, on retrouve l Apache Software Foundation ou la Linux Foundation qui maintiennent des suites entiĂšres de logiciels open source au sein desquels chaque changement fait l’objet d’une revue par les pairs et est discutĂ© par plusieurs Ă©chelons de dĂ©veloppeurs par exemple, dans des forums. Ce type d’approche peut permettre Ă  des codes open source d’atteindre une meilleure qualitĂ© que des logiciels proposĂ©s par des sociĂ©tĂ©s commerciales. La garantie de sĂ©curitĂ© de ces codes open source reste pourtant vague. Elle se base sur l’idĂ©e – pas totalement fausse, mais pas garantie – que la communautĂ© qui participe Ă  un projet open source demeurera active dans la durĂ©e. Quand cette communautĂ© fonctionne bien, les logiciels open source sont revus en permanence par la communautĂ© qui y ajoute souvent en continu de nouvelles fonctionnalitĂ©s. Des sociĂ©tĂ©s commerciales proposent, en sus de la communautĂ©, du support et de la maintenance Ă  leurs clients qui voudraient utiliser cet open source sans s’y investir eux-mĂȘmes. Un bel exemple de ce modĂšle vertueux est Kubernetes un logiciel pour le dĂ©ploiement d’applications qui est Ă©normĂ©ment utilisĂ© et qu’on retrouve dans de nombreux systĂšmes informatiques et qui se dĂ©cline en plusieurs variantes professionnelles avec support et maintenance Red Hat Openshift, Azure Kubernetes, Google Kubernetes Engine, etc.. Malheureusement cette belle rĂ©ussite ne s’applique pas Ă  la majoritĂ© des codes open source disponibles en ligne. Les chiffres rĂ©vĂ©lĂ©s par Synopsys, une sociĂ©tĂ© spĂ©cialisĂ©e dans la promotion de logiciels de qualitĂ©, le mettent en Ă©vidence. En 2020, elle a auditĂ© 1500 programmes pour le compte de clients. Parmi eux, 84 % contenaient au moins une vulnĂ©rabilitĂ© provenant de l’open source. C’est 9 % de plus qu’en 2019. De plus, 60 % contenait une vulnĂ©rabilitĂ© Ă  haut risque, c’est-Ă -dire dire qui pouvait ĂȘtre exploitĂ©e par des moyens dĂ©jĂ  connus. Plus ennuyant le top 10 des vulnĂ©rabilitĂ©s qui apparaissaient le plus en 2019 se retrouvent dans le palmarĂšs 2020. Le problĂšme ne se rĂ©sout pas. DĂ©pendance des composants. Extrait de Licence Creative Commons S’il y a un domaine oĂč l’open source rĂšgne en maitre, c’est bien celui des applications pour smartphones sous Android 98 % d’entre elles contiennent de l’open source et selon le constat de Synopsys, 63 % rĂ©vĂ©laient une vulnĂ©rabilitĂ© critique. Comme pendant la pandĂ©mie, les utilisateurs ont tĂ©lĂ©chargĂ© encore plus d’applications que prĂ©cĂ©demment, le risque de malveillances a donc augmentĂ© mĂ©caniquement. Parmi les 1500 programmes analysĂ©es, 91 % contenaient des dĂ©pendances Ă  des codes open sources qui ne connaissaient plus de dĂ©veloppement actif, d’amĂ©lioration du code, de rĂ©solution des soucis rencontrĂ©s sur les deux derniĂšres annĂ©es. Le fait que la communautĂ© ne soit plus active augmente considĂ©rablement les risques. Et puis, 85 % des programmes contenaient des dĂ©pendances Ă  du code open source pĂ©rimĂ© depuis 4 ans. De nouvelles versions existaient qui rĂ©solvaient peut-ĂȘtre les vulnĂ©rabilitĂ©s mais les programmes n’en tenaient pas compte. Pourquoi? Comment expliquer des chiffres aussi alarmants ? Les Ă©quipes de dĂ©veloppement se battent avec le cĂŽtĂ© ultra dynamique des codes open sources qui Ă©voluent en permanence et dont l’usage s’est installĂ© partout. Une bibliothĂšque open source qui Ă  un moment donnĂ© est, sans vulnĂ©rabilitĂ©, peut ne pas le rester pas longtemps car son environnement Ă©volue vite . Le bĂąt blesse au niveau organisationnel car il faudrait mettre en place un moyen simple d’avertir les dĂ©veloppeurs, lorsqu’ils utilisent une bibliothĂšque open source, qu’une vulnĂ©rabilitĂ© y a Ă©tĂ© dĂ©tectĂ©e. Mais comment ? Cela demande beaucoup de discipline au sein mĂȘme de l’entreprise et de ses dĂ©veloppeurs. Cela se complique encore plus si l’entreprise fait appel Ă  des tiers pour ses dĂ©veloppements. Des plateformes comme GitHub dont l’activitĂ© consiste Ă  mettre Ă  disposition des codes open source jouent un rĂŽle important pour combler ce trou sĂ©curitaire elles intĂšgrent des contrĂŽles de sĂ©curitĂ©, scannent les codes qui s’y trouvent, mĂȘme gratuitement quand il s’agit de code open source. Elles s’attaquent au problĂšme Ă  la source en Ă©quipant les dĂ©veloppeurs eux-mĂȘmes avec les outils adĂ©quats plutĂŽt que de laisser cette tĂąche du cĂŽtĂ© des utilisateurs d’open source qui n’auraient pas tous la mĂȘme discipline. Il se peut aussi que la mĂ©moire collective oublie » la vulnĂ©rabilitĂ© d’une librairie de logicielle. La vulnĂ©rabilitĂ© a bien Ă©tĂ© dĂ©tectĂ©e mais elle a Ă©tĂ© mal ou pas documentĂ©e et de nouveaux dĂ©veloppeurs l’ignorent. Ou bien encore, on continue Ă  utiliser de vieilles bibliothĂšques qui ne sont plus maintenues alors que leur anciennetĂ© procure un faux sentiment de confiance s’il existait une vulnĂ©rabilitĂ©, cela se saurait, pense-t-on. Or le bug Heartbleed a prouvĂ© le contraire cette bibliothĂšque Ă©tait animĂ©e et entretenue par des doctorants pendant leur thĂšse mais un jour ce travail cessa faute de combattants sans que tous ne soient prĂ©venus de l’arrĂȘt de la maintenance. Symbole utilisĂ© pour communiquer sur HeartBleed. Par Leena Snidate – WikiMedia Le problĂšme des licences Il n’y a pas que les vulnĂ©rabilitĂ©s qui posent problĂšme, il faut aussi Ă©voquer les licences. Ces licences sont plus ou moins libres d’utilisation et un logiciel peut proposer involontairement des usages qui ne respectent pas les licences de logiciel open source qu’il utilise. Par exemple, 65 % des programmes analysĂ©s par Synopsys recelaient un conflit de licence. Et les 3/4 d’entre elles Ă©taient en conflit spĂ©cifiquement avec une version ou un autre de la cĂ©lĂšbre GNU General Public Licence » qui est trĂšs limitante. 26% des programmes utilisaient de l’open source sans licence ou alors avec une licence modifiĂ©e par l’auteur, ce qui place souvent l’utilisateur en conflit car la licence risque d’ĂȘtre mal rĂ©Ă©crite ou pas adaptĂ©e Ă  l’usage qui est fait du code. Les conflits sur les licences open sources sont d’ailleurs en croissance copyright, contrat, antitrust, brevet et fair usage. Et il y a parfois des situations ubuesques la licence GNU General Public Licence v2 crĂ©e un conflit si le code est inclus dans un programme commercial compilĂ© et distribuĂ© mais ce ne sera pas le cas si c’est un service de type SaaS car on ne distribue pas de code SaaS, on y accĂšde
. Dans un article prĂ©cĂ©dent, nous avons dĂ©crit les attaques supply chain qui utilisaient des codes sur lesquels s’appuyaient un logiciel. Mais au moins, le ou les fournisseurs de tels codes dans une supply chain sont connus. Avec l’open source, la situation est encore plus complexe qui est le fournisseur des codes qu’on utilise ? Ceci dit, Synopsys a pu faire ce rapport et Ă©tablir ces statistiques grĂące Ă  une transparence qui est dans l’ADN de l’open source. Avec un code commercial, le secret qui l’entoure ne permettrait mĂȘme pas d’établir un tel Ă©tat des lieux. Que faire Ă  court terme du cĂŽtĂ© utilisateur ? Pour affronter ces nouveaux dĂ©fis, on peut rĂ©aliser soi-mĂȘme une vĂ©rification approfondie des logiciels open source qu’on utilise comment le code est-il maintenu ? Combien de dĂ©veloppeurs travaillent sur le projet ? Informent-ils sur les vulnĂ©rabilitĂ©s ? Combien de temps entre deux versions successives du logiciel ? Le code est-il revu par les pairs ? La licence est-elle compatible avec l’usage qu’on veut en faire ? C’est tout un faisceau de questions qu’on pourrait tout aussi bien poser pour les logiciels commerciaux. Une telle vĂ©rification n’est pas la fin de l’histoire. Il faut aussi vĂ©rifier dans le temps que le logiciel et les bibliothĂšques restent Ă  jour et sĂ»res. Des outils qui partent du principe que les vulnĂ©rabilitĂ©s sont de toute façon prĂ©sentes dans le code voient aussi le jour. Ils protĂšgent le code considĂ©rĂ© comme vulnĂ©rable par dĂ©faut » contre des modĂšles d’attaques Ă  la maniĂšre d’un mini-firewall dans le logiciel mĂȘme en fonctionnement. Enfin, mĂȘme si toutes ces barriĂšres se sont rĂ©vĂ©lĂ©es inefficaces, il faut aussi mettre en place des outils pour dĂ©tecter les attaques. On a compris l’ampleur de l’attaque SolarWinds suite Ă  une dĂ©tection lancĂ©e par Fireeye qui en a Ă©tĂ© victime. Charles Cuvelliez Ecole Polytechnique de Bruxelles, UniversitĂ© de Bruxelles, Jean-Jacques Quisquater Ecole Polytechnique de Louvain, UniversitĂ© de Louvain & Tim Vaes Ernst & Young, Cyber Security Lead, EY Financial Services Pour en savoir plus 2021 Open Source Security and Risk Analysis Report, Synopsys, June 2021, La crĂ©ativitĂ© des malfaiteurs numĂ©riques ne connait pas de limite. Nos amis Charles Cuveliez, Jean-Michel Dricot et Jean-Jacques Quisquater nous parlent d’un type d’attaque, dite supply chain » qui exploitent les vulnĂ©rabilitĂ©s des logiciels complexes entraĂźnĂ©es par la cascade de composants nĂ©cessaires Ă  leur conception. Laissons-leur la parole ! Pascal Guitton L’attaque SolarWinds, du nom d’un logiciel de gestion de rĂ©seaux professionnels, dont une mise Ă  jour contaminĂ©e a impactĂ© des dizaines de milliers de clients dans le monde, semble faire partie des menaces imparables On nous rĂ©pĂšte sans arrĂȘt qu’il faut installer les mises Ă  jour des programmes dĂšs qu’elles arrivent parce qu’elles fixent peut-ĂȘtre des trous de sĂ©curitĂ©. Si de surcroit, elles nous parviennent automatiquement par le biais du vendeur lui-mĂȘme, de maniĂšre sĂ©curisĂ©e, pourquoi s’en inquiĂ©ter ? Et voilĂ  qu’en installant l’une d’elles, on contamine son rĂ©seau ; c’est ce qu’on appelle les attaques supply chain. Un pirate s’infiltre dans votre rĂ©seau via un partenaire, un fournisseur, dans ce cas via une mise Ă  jour d’un de ses programmes. C’est que pour concevoir des produits numĂ©riques, la chaĂźne de valeur est devenue d’une complexitĂ© inouĂŻe avec chaque maillon fournissant le composant souvent essentiel dans le produit final. Mais parfois, la hiĂ©rarchie des responsabilitĂ©s entre dĂ©veloppeurs majeurs et sous-traitants en cascade » est tellement diluĂ©e, qu’on ne peut plus la tracer avec certitude et ainsi assurer la suretĂ© d’un composant. » Graphe de dĂ©pendance visualisant la complexitĂ© du logiciel Parrot environ lignes de code C. Image produite par Bram Adams et extraite du Dossier Les systĂšmes complexes. Le Magazine de l’UniversitĂ© de Mons. T. Mens & M. Goeminne En plus, ces attaques supply chain sont attirantes compromettre un logiciel, c’est avoir une porte d’entrĂ©e chez les milliers de clients qui l’ont acquis sans s’échiner Ă  forcer la porte. C’est le client lui-mĂȘme qui le fait pour vous en installant la mise Ă  jour vĂ©rolĂ©e. Ces logiciels peuvent avoir un rĂŽle central comme, pour SolarWinds, contrĂŽler le rĂ©seau de l’entreprise. Ces logiciels demandent aussi souvent des privilĂšges Ă©levĂ©s pour s’installer de façon Ă  ĂȘtre plus efficaces, ce que nous leur accordons facilement pensons aux antivirus, aux logiciels d’accĂšs Ă  distance au rĂ©seau de l’entreprise
 Ces logiciels communiquent beaucoup avec l’extĂ©rieur pour les mises Ă  jour et l’envoi de donnĂ©es de tĂ©lĂ©mĂ©trie. C’est autant de trafic dans lequel peut se cacher celui des pirates qui vont mĂȘme parfois interdire aux mises Ă  jour lĂ©gitimes » de parvenir au bon endroit. Une fois dans le rĂ©seau, le logiciel compromis, et par consĂ©quent l’attaquant, a accĂšs Ă  tout il est vu comme lĂ©gitime par le systĂšme infectĂ©. Comment le malfaiteur s’y prend-t-il ? Le malfaiteur cherche Ă  s’infiltrer dans le rĂ©seau de la sociĂ©tĂ© qui a conçu le logiciel il peut alors compromettre les mises Ă  jour qu’elle s’apprĂȘtait Ă  distribuer en y insĂ©rant son propre code. Le pirate peut Ă©galement contourner la signature du code code signing en anglais, c’est-Ă -dire la preuve que le logiciel reçu dans la mise Ă  jour est bien celui qui, au caractĂšre prĂšs, a Ă©tĂ© mis au point par l’équipe de dĂ©veloppement officielle. Plus subtil il peut compromettre ou utiliser des vulnĂ©rabilitĂ©s des codes open source qui sont rĂ©employĂ©s dans des logiciels existants, y compris ceux des sociĂ©tĂ©s privĂ©es qui y piochent et elles ont bien raison !. Le dernier rapport de Synopsys paru en avril 2021 est Ă  cet Ă©gard Ă©difiant il a auditĂ© plus de 1500 codes et a ainsi dĂ©couvert que 84 % d’entre eux contenaient au moins une vulnĂ©rabilitĂ© dans l’open source qu’ils utilisaient. Pire 60 % des codes contenait une vulnĂ©rabilitĂ© Ă  haut risque. Selon le domaine d’activitĂ©s, de 70 % Ă  89 % des logiciels qui sont dĂ©veloppĂ©s contiennent de l’open source sauf dans les tĂ©lĂ©coms et le e-commerce. Les pirates proposent parfois leurs propres bibliothĂšques en ne changeant qu’une lettre par rapport Ă  la version correcte. Les dĂ©veloppeurs distraits ne s’en rendent pas compte et les intĂšgrent alors dans leur logiciel ! Enfin, le malfaiteur peut Ă©galement s’infiltrer chez un fournisseur ou un sous-fournisseur de la sociĂ©tĂ© qui a conçu le programme. Les pirates qui recourent Ă  ces attaques sont hautement spĂ©cialisĂ©s et trĂšs compĂ©tents. Ils Ă©laborent une liste de cibles les intĂ©ressant et sur lesquelles ils se concentreront une fois l’attaque lancĂ©e pendant qu’ils laisseront toutes les autres entreprises infectĂ©es avec un rĂ©seau compromis. Les attaquants vont ensuite introduire du logiciel supplĂ©mentaire sur les systĂšmes des heureux Ă©lus » pour exfiltrer les donnĂ©es qu’ils convoitent. Ils ne vont pas dĂ©penser beaucoup d’argent Ă  mettre au point cette attaque juste pour tout dĂ©truire. Rupture de la chaĂźne de confiance. Conçue par les auteurs. Comment en est-on arrivĂ© lĂ  ? Le monde du logiciel est rempli de paradoxes son Ă©cosystĂšme est massivement basĂ© sur la confiance par exemple via les communautĂ©s open source et massivement interdĂ©pendant puisque fait de briques diverses et de rĂ©utilisations de logiciels Ă  large Ă©chelle, ce qui expose cette industrie Ă  des vulnĂ©rabilitĂ©s systĂ©miques. Les interdĂ©pendances maillĂ©es sont, en gĂ©nĂ©ral une source de rĂ©silience pour Ă©viter des dĂ©faillances en cascade car un systĂšme dĂ©pendant linĂ©airement d’un autre peut le faire s’effondrer. Mais dans le monde cyber, cette connectivitĂ© peut, au contraire, faciliter les effondrements en cascades dans les industries basĂ©es sur un fonctionnement en rĂ©seaux comme les tĂ©lĂ©coms, l’énergie ou les services financiers. Pour se prĂ©munir, il faut notamment introduire de la diversitĂ© dans les architectures et les produits utilisĂ©s, de la mĂȘme façon, au fond, que la monoculture ou le monoĂ©levage intensif crĂ©ent un terrain propice aux infections vĂ©ritables cette fois. Franchement, est-il raisonnable de n’utiliser qu’un seul logiciel pour gĂ©rer tout un rĂ©seau ? Est-il normal que le mĂȘme fournisseur puisse Ă©quiper toutes les sociĂ©tĂ©s du top 500 US ? C’était le cas d’Orion son logiciel, SolarWinds, Ă©tait au centre de tout gestion du rĂ©seau, de l’infrastructure, gestion de performances, etc. C’est un risque de concentration inacceptable. Trust me. Extrait du site Les clients doivent prendre l’hypothĂšse qu’ils sont permĂ©ables. Ce n’est pas parce qu’un logiciel reçoit un label de confiance parce qu’il a Ă©tĂ© testĂ©, qu’il restera digne de confiance sur un temps long. Le rĂ©sultat d’un test n’est valable que le jour oĂč il a Ă©tĂ© rĂ©alisĂ© et par ailleurs, on sait qu’il n’est que partiel parce qu’il est totalement impossible de tester l’exhaustivitĂ© des configurations et des conditions d’usage mĂȘme si des techniques existent pour contourner cette impossibilitĂ©. La valeur de la certification et du test ne repose que sur l’équipe qui les ont rĂ©alisĂ©s. Ils ne doivent pas crĂ©er un faux sentiment d’invincibilitĂ© d’autant plus qu’un label tested and approved » fiĂšrement mis en avant va dĂ©courager des organismes indĂ©pendants de retester et les clients de les payer Ă  quoi bon ? Quelle serait la solution ultime ? Mais alors, comment garantir que tous les composants d’un logiciel ou d’un produit sont sĂ»rs ? Il y a des solutions techniques comme les certificats, Ă  clĂ© publique/clĂ© privĂ©e, les mĂȘmes qui garantissent en cascade que site web que vous contactez est bien celui qu’il prĂ©tend ĂȘtre. Ces certificats de garantie d’origine contrĂŽlĂ©e se valident en cascade, dans une chaine de confiance qu’on pourrait appliquer Ă  tous les sous-traitants dans l’écriture d’un programme par exemple. Mais ces infrastructures Ă  clĂ© publique prendront des annĂ©es Ă  se mettre en place. Peut-ĂȘtre la solution viendra-t-elle d’une utilisation originale et rapide d’un blockchain ? On peut faire des dues diligences, inspirĂ©es de celles qui se font quand une sociĂ©tĂ© A veut acheter une sociĂ©tĂ© B qui doit alors se mettre Ă  nu. La due diligence, appliquĂ© aux logiciels critiques, impliquerait d’avoir accĂšs Ă  toutes les facettes du dĂ©veloppement du code, comment il a eu lieu, avec toute l’assurance-qualitĂ© requise. Il faudrait Ă©numĂ©rer et connaitre les sous-traitants, les freelances impliquĂ©s, leur nationalité  On doit aussi s’assurer que la sociĂ©tĂ© qui a dĂ©veloppĂ© le logiciel publie bien les vulnĂ©rabilitĂ©s de ses produits On doit contrĂŽler qu’elle intĂšgre les pratiques de sĂ©curitĂ© aussi dans le dĂ©veloppement du code et qu’elle connait bien tous ses sous-traitants et les sous-traitants de ses sous-traitants et en rester lĂ  en termes de couches successives de sous-traitants. La liste des contrĂŽles n’est pas finie applique-t-elle l’analyse de code statique et dynamique, fait-elle une revue manuelle du code, fait-elle des tests de pĂ©nĂ©trations de son logiciel. Son code est-il vĂ©rifiĂ© par un tiers ? Comment gĂšre-t-elle la distribution des correctifs ? Se soumet-elle Ă  des audits ? Une fois en fonctionnement, on peut imposer aux logiciels lorsqu’ils discutent avec Internet de n’y accĂ©der que de maniĂšre restreinte vers une seule adresse IP et le site avec les mises Ă  jour. Au moins si le logiciel essaie de s’en Ă©carter, c’est une alerte de son dĂ©tournement mais ce n’est pas la panacĂ©e. Les adresses IP peuvent changer et le vendeur peut lui aussi utiliser un cloud pour fournir le service. Enfin on peut exiger plus de tests de l’intĂ©gritĂ© du logiciel de la part du client ou les imposer via les rĂ©gulateurs, ce qui mĂ©caniquement en fera baisser le coĂ»t. C’est vrai qu’on peut espĂ©rer qu’une obligation crĂ©era un appel d’air pour plus d’acteurs sur ce marchĂ©, donc plus de concurrence
. Il y a du pain sur la planche en termes de prĂ©vention. Il ne reste Ă  court terme que de privilĂ©gier la rĂ©silience. Charles Cuvelliez et Jean-Michel Dricot Ecole Polytechnique de Bruxelles, UniversitĂ© de Bruxelles, Jean-Jacques Quisquater Ecole Polytechnique de Louvain, UniversitĂ© de Louvain Acheter en ligne, rĂ©aliser des transactions bancaires, communiquer de façon sĂ©curisĂ©e, autant d’opĂ©rations qui nĂ©cessitent d’ĂȘtre protĂ©gĂ©es par des fonctions ou primitives cryptographiques. Notre confiance envers ces briques de base repose sur la cryptanalyse, c’est Ă  dire l’analyse de la sĂ©curitĂ© par des experts, qui essayent de “casser” les primitives cryptographiques proposĂ©es, et ainsi dĂ©terminer celles qui semblent robustes et qu’on pourra recommander, ou celles qui semblent dangereuses et qu’il ne faut pas utiliser. C’est ce que nous explique Maria Naya-Plasencia dans deux articles qui terminent la sĂ©rie entamĂ©e Ă  l’occasion de la publication par Inria du livre blanc sur la cybersĂ©curitĂ©. Dans ce second article, Maria nous dĂ©crit la situation actuelle et les Ă©volutions envisagĂ©es dans ce domaine. Pascal Guitton . D’oĂč peuvent venir les faiblesses ? L’expĂ©rience nous montre que des attaques sur les primitives cryptographiques sont basĂ©es sur diffĂ©rents types de faiblesse. Dans le cas de la cryptographie asymĂ©trique, la faille vient parfois d’un assouplissement dans la preuve pour lier le problĂšme cryptographique au problĂšme mathĂ©matique associĂ©. Dans d’autres cas, le problĂšme mathĂ©matique considĂ©rĂ© s’avĂšre plus facile Ă  rĂ©soudre que prĂ©vu. Des faiblesses peuvent aussi venir d’une configuration ou de paramĂštres spĂ©cifiques d’une certaine instance, parfois non apparents, qui rendent le problĂšme moins difficile que l’original. Dans le cas des primitives symĂ©triques, les preuves formelles de sĂ©curitĂ© reposent sur des suppositions irrĂ©alistes, mais cela ne les rend pas faciles Ă  attaquer pour autant. Si jamais une attaque est trouvĂ©e rappelons qu’elle doit ĂȘtre plus efficace que l’attaque gĂ©nĂ©rique, la primitive correspondante est considĂ©rĂ©e comme cassĂ©e. Ce fut le cas par exemple du chiffrement Gost. Le besoin de la transparence Nous avons vu que mĂȘme les primitives cryptographiques les plus robustes ne possĂšdent pas de vĂ©ritable preuve de sĂ©curitĂ© – tout au plus des indices qui semblent garantir leur sĂ»retĂ©, mais sans qu’on en soit absolument certain. La mesure de sĂ©curitĂ© la plus tangible et la plus acceptĂ©e par la communautĂ© cryptographique est en fin de compte la rĂ©sistance avĂ©rĂ©e Ă  la cryptanalyse si une fonction cryptographique a rĂ©sistĂ© aux attaques de dizaines d’experts pendant des dĂ©cennies, on est en droit de se sentir en bonne sĂ©curitĂ© malgrĂ© le manque de preuve formelle. C’est en fait le rĂŽle principal de la cryptanalyse la mesure empirique de la sĂ©curitĂ©. Elle est donc la base de la confiance que nous portons aux algorithmes cryptographiques. C’est une tĂąche essentielle qui n’a pas de fin. Il est important de rĂ©aliser que cette sĂ©curitĂ© ne peut s’obtenir que grĂące Ă  une transparence totale si on conçoit un algorithme cryptographique, il faut le rendre complĂštement public dans ses moindres dĂ©tails pour le soumettre Ă  l’analyse des cryptographes, car seuls leurs efforts continus pour casser cet algorithme pourront ĂȘtre un gage tangible de sa sĂ©curitĂ© s’ils Ă©chouent, bien sĂ»r. Ce principe est paradoxalement dĂ» Ă  un militaire et connu depuis plus de 100 ans sous le nom de principe de Kerkhoffs. Le symĂ©trique est Ă©galement vrai les cryptanalystes doivent publier leur travaux et leurs avancĂ©es pour permettre Ă  la communautĂ© scientifique de rĂ©utiliser leurs idĂ©es, et ainsi disposer des meilleures techniques pour analyser les crypto-systĂšmes existants. Cette premiĂšre transparence – celle des algorithmes cryptographiques – est assez communĂ©ment appliquĂ©e, mĂȘme si certains acteurs s’entĂȘtent Ă  concevoir des crypto-systĂšmes “cachĂ©s” en espĂ©rant que cela augmentera leur sĂ©curitĂ©. Par contre, il reste assez commun, pour des hackers isolĂ©s comme pour de grosses organisations, privĂ©es ou publiques comme la NSA amĂ©ricaine, de conserver leurs progrĂšs pour eux, en espĂ©rant peut-ĂȘtre obtenir un avantage stratĂ©gique s’ils parvenaient Ă  cryptanalyser avec succĂšs un algorithme que le reste du monde considĂšre sĂ»r. Nous avons donc un rĂ©el besoin de cryptanalystes bienveillants, travaillant dans la transparence et ayant pour but de faire progresser la cryptographie en gĂ©nĂ©ral. Forces et faiblesses Un aspect prĂ©occupant vient du fait que la sĂ©curitĂ© n’est jamais prouvĂ©e. Quelle que soit la fonction cryptographique, on ne pourra jamais Ă©carter complĂštement la possibilitĂ© d’une cryptanalyse, mĂȘme trĂšs tardive. Un aspect rassurant est que le modus operandi est trĂšs bien Ă©tabli, depuis des dĂ©cennies. La communautĂ© des cryptographes adopte par dĂ©faut une attitude qu’on pourrait qualifier de paranoĂŻaque quand il s’agit d’évaluer si tel ou tel algorithme pourrait se faire attaquer. En effet, la cryptanalyse moderne parvient trĂšs rarement Ă  vĂ©ritablement “casser” un crypto-systĂšme, et la plupart des rĂ©sultats sont en fait des attaques partielles, c’est-Ă -dire sur une version rĂ©duite du systĂšme. Par exemple, en cryptographie symĂ©trique, de nombreuses primitives sont formĂ©es en appliquant R fois une mĂȘme fonction interne on parle de R tours. TrĂšs souvent, les cryptanalystes s’attaquent Ă  une version rĂ©duite, avec un nombre de tours r infĂ©rieur Ă  R. On peut alors jauger la “marge” de sĂ©curitĂ© grĂące Ă  la diffĂ©rence entre le plus grand r d’une attaque et le nombre de tours R si r = R, la fonction est vĂ©ritablement cassĂ©e. Pour Ă©viter tout risque, de nombreuses primitives sont abandonnĂ©es tout en restant loin d’avoir Ă©tĂ© cassĂ©es on a besoin de peu de primitives cryptographiques, au final, et les plus sĂ»res ont une marge de sĂ©curitĂ© trĂšs importante. Pour que ce systĂšme reste valide, il est important que la cryptanalyse bienveillante reste trĂšs active et dynamique. L’exemple d’AES AES est le standard actuel de chiffrement Ă  clĂ© secrĂšte. Nous allons analyser l’effet de la cryptanalyse sur la version de l’AES qui utilise une clĂ© de 128 bits. Cette version utilise 10 tours, c’est Ă  dire qu’on applique 10 fois la mĂȘme fonction interne. En 1998, lors de sa conception, la meilleure attaque connue, trouvĂ©e par les auteurs, s’appliquait sur 6 tours du chiffrement il existait donc une attaque, meilleure que l’attaque gĂ©nĂ©rique, mais seulement sur une version affaiblie qui n’applique que 6 fois la fonction interne. La marge de sĂ©curitĂ© Ă©tait donc de 4 tours sur 10. En 2001, une attaque sur 7 tours fut dĂ©couverte. Bien que la marge fut donc rĂ©duite de 4 Ă  3 tours, AES Ă©tait loin d’ĂȘtre cassĂ©. Depuis 2001, plus de 20 nouvelles attaques sur des versions rĂ©duites de l’AES ont Ă©tĂ© publiĂ©es, amĂ©liorant la complexitĂ©, c’est-Ă  dire diminuant la quantitĂ© de calcul nĂ©cessaire. Aujourd’hui, la meilleure attaque connue est toujours sur 7 tours pendant 18 ans, la marge de sĂ©curitĂ© en nombre de tours n’a pas bougĂ©. Plusieurs compromis sur le temps de calcul, la quantitĂ© de donnĂ©es et de mĂ©moire nĂ©cessaire Ă  l’attaque sont possibles, mais celle qui optimise le temps de calcul a tout de mĂȘme besoin de 299 opĂ©rations, et d’une quantitĂ© de donnĂ©es et de mĂ©moire Ă©quivalente. Ce nombre Ă©norme Ă  30 chiffres est bien au delĂ  de la capacitĂ© de calcul de l’ensemble des ordinateurs de la planĂšte, mĂȘme pendant des centaines d’annĂ©es. Et la comparaison avec l’attaque gĂ©nĂ©rique, qui a besoin de 2128 opĂ©rations mais d’une quantitĂ© de donnĂ©es et de mĂ©moire nĂ©gligeable, n’est pas si Ă©vidente en termes d’implĂ©mentation. De toute Ă©vidence, en prenant en compte tous les efforts fournis par la communautĂ© cryptographique pendant tant d’annĂ©es, il semble trĂšs peu probable que des attaques sur la version complĂšte apparaissent en l’état actuel. On laisse peu de place aux surprises ! AES reste encore un des chiffrements les plus analysĂ©s au monde, et de nouveaux rĂ©sultats pour mieux comprendre sa sĂ©curitĂ© et son fonctionnement apparaissent tous les ans. Et dans un monde post-quantique ? Imaginons des attaquants ayant accĂšs Ă  un ordinateur quantique, qui utilise les propriĂ©tĂ©s quantiques des particules Ă©lĂ©mentaires pour effectuer certains types de calculs de maniĂšre beaucoup plus performante que les ordinateurs classiques cf ces articles [1], [2] rĂ©cent de binaire. De tels attaquants pourraient casser la plupart des crypto-systĂšmes asymĂ©triques utilisĂ©s actuellement. C’est d’ailleurs une des applications les plus prĂ©gnantes de l’ordinateur quantique tel qu’on l’imagine. Les crypto-systĂšmes dit “post-quantiques” sont en plein essor pour rĂ©pondre Ă  ce besoin. En ce moment mĂȘme, le NIST amĂ©ricain organise une compĂ©tition pour trouver des nouveaux standards de chiffrement post-quantique. Ces crypto-systĂšmes se basent sur des problĂšmes difficiles qui – contrairement Ă  la factorisation des entiers, base de RSA – rĂ©sisteraient, dans l’état actuel des connaissances, Ă  l’arrivĂ©e de l’ordinateur quantique. Ces primitives post-quantiques, asymĂ©triques et symĂ©triques, ont besoin, de la mĂȘme façon que dans le cas classique, d’avoir leur sĂ©curitĂ© analysĂ©e face Ă  un attaquant quantique, et la cryptanalyse quantique est donc d’une importance primordiale. Mentionnons que la cryptographie doit parfois pouvoir rĂ©sister dans le temps on voudrait pouvoir garder certains documents confidentiels Ă  long terme, malgrĂ© les progrĂšs scientifiques en matiĂšre de cryptanalyse incluant donc l’arrivĂ©e possible de l’ordinateur quantique. Il serait donc opportun de commencer dĂšs aujourd’hui Ă  utiliser des crypto-systĂšmes qu’on pense rĂ©sistants mĂȘme dans un contexte post-quantique. L’importance des recommandations. Il ne faut pas sous-estimer l’importance de suivre les recommandations de la communautĂ© scientifique cryptographique. Notamment, seule la poignĂ©e de primitives recommandĂ©es par cette communautĂ© doit ĂȘtre utilisĂ©e, car ce sont celles qui focalisent la cryptanalyse et dont la marge de sĂ©curitĂ© est de loin la meilleure. Heureusement, ce principe est de mieux en mieux respectĂ© par la communautĂ© informatique dans son ensemble, comme vous pourrez le constater avec lĂ©gĂšretĂ© en effectuant une recherche sur le Web d’images contenant les termes “roll your own crypto”. Une notion Ă©galement importante et parfois plus nĂ©gligĂ©e est de rester Ă  jour, et de rĂ©agir rapidement quand la communautĂ© cryptographique recommande d’abandonner un crypto-systĂšme prĂ©cĂ©demment recommandĂ©, mais jugĂ© insuffisamment sĂ»r Ă  l’aune de progrĂšs rĂ©cents. Les grandes failles de sĂ©curitĂ© informatique sont souvent le cas de mauvaises implĂ©mentations, mais la faute incombe parfois Ă  l’usage de crypto-systĂšmes non recommandĂ©s. Citons par exemple une attaque parue en 2013 sur le protocole TLS qui protĂšge les connexions https sur nos navigateurs, utilisant des failles du stream cipher RC4 dont on connaissait l’existence depuis 2001 ! Pire en 2015, l’attaque FREAK exploitait la petite taille des clĂ©s RSA-512, qu’on savait trop faible depuis les annĂ©es 90. Ces brĂšches de sĂ©curitĂ© et beaucoup d’autres auraient pu et dĂ» ĂȘtre Ă©vitĂ©es ! Conclusion Ces illustrations montrent que la cryptanalyse demande des efforts soutenus et continus, par des chercheurs bienveillants travaillant dans un contexte transparent, et publiant leurs rĂ©sultats. Que ce soit dans un contexte classique ou post-quantique, la cryptanalyse doit rester une thĂ©matique en constante Ă©volution, afin d’assurer la maintenance des algorithmes utilisĂ©s, ainsi que pour Ă©valuer les nouveaux types d’algorithmes cryptographiques. Mieux vaut prĂ©venir que guĂ©rir et garder une longueur d’avance sur les adversaires malveillants ! Maria Naya-Plasencia Directrice de recherche Inria, Equipe Cosmiq, Paris Acheter en ligne, rĂ©aliser des transactions bancaires, communiquer de façon sĂ©curisĂ©e, autant d’opĂ©rations qui nĂ©cessitent d’ĂȘtre protĂ©gĂ©es par des fonctions ou primitives cryptographiques. Notre confiance envers ces briques de base repose sur la cryptanalyse, c’est Ă  dire l’analyse de la sĂ©curitĂ© par des experts, qui essayent de “casser” les primitives cryptographiques proposĂ©es, et ainsi dĂ©terminer celles qui semblent robustes et qu’on pourra recommander, ou celles qui semblent dangereuses et qu’il ne faut pas utiliser. C’est ce que nous explique Maria Naya-Plasencia dans deux articles qui terminent la sĂ©rie entamĂ©e Ă  l’occasion de la publication par Inria du livre blanc sur la cybersĂ©curitĂ©. Dans ce premier article, Maria pose les bases des mĂ©canismes de la cryptanalyse. Pascal Guitton . Nos communications doivent ĂȘtre protĂ©gĂ©es pour assurer leur confidentialitĂ© et intĂ©gritĂ©, et pour les authentifier. Des protocoles de sĂ©curitĂ© bien rĂ©flĂ©chis sont utilisĂ©s dans ce but, et les briques de base de tous ces protocoles sont les primitives cryptographiques. Ces primitives cryptographiques peuvent ĂȘtre divisĂ©es en deux grandes familles. La cryptographie symĂ©trique parfois dite “à clĂ© secrĂšte” est la plus ancienne. Si Alice et Bob veulent communiquer Ă  distance de façon confidentielle, malgrĂ© les risques d’interception de leurs messages, ils vont d’abord se rĂ©unir et se mettre d’accord sur une clĂ© secrĂšte, que tous les deux et personne d’autre connaissent. Quand Alice veut envoyer un message Ă  Bob, il lui suffit alors de cacher l’information Ă  l’aide de la clĂ© secrĂšte, avant de l’envoyer. Quand Bob recevra le message chiffrĂ©, il peut le dĂ©chiffrer Ă  l’aide de la mĂȘme clĂ© secrĂšte pour rĂ©cupĂ©rer le message original la clĂ© secrĂšte sert Ă  chiffrer et Ă  dĂ©chiffrer. Bob peut lui aussi envoyer un message Ă  Alice avec la mĂȘme clĂ©, qui est utilisable dans les deux sens. Cette mĂ©thode prĂ©sente l’inconvĂ©nient de devoir se rĂ©unir en secret, sans risque d’interception ou espionnage avant de pouvoir Ă©tablir des communications Ă©loignĂ©es et sĂ©curisĂ©es. Comment pourraient faire Alice et Bob pour communiquer confidentiellement sans se rĂ©unir avant ? Ils peuvent utiliser la cryptographie asymĂ©trique dite ӈ clĂ© publique”, introduite dans les annĂ©es 70. Les dĂ©tails sur ce types de primitives sont prĂ©sentĂ©s dans l’article “De la nĂ©cessitĂ© des problĂšmes que l’on ne sait pas rĂ©soudre”. La cryptographie asymĂ©trique permet d’éviter que les parties qui veulent communiquer se rĂ©unissent avant Ă©tablir la communication sĂ©curisĂ©e, mais elle est aussi lente et coĂ»teuse, pouvant devenir impraticable pour des longs messages. De son cĂŽtĂ©, la cryptographie symĂ©trique nĂ©cessite un Ă©change de clĂ©s avant de pouvoir commencer la communication, mais une fois la clĂ© secrĂšte rĂ©partie, elle est considĂ©rablement plus efficace. Pour exemple, le standard symĂ©trique actuel, AES, recommandĂ© depuis 2002 et utilisĂ© dans la plupart des navigateurs web, peut chiffrer plusieurs gigaoctets par seconde, lĂ  oĂč les standards asymĂ©triques actuels peinent Ă  atteindre un mĂ©gaoctet par seconde plus de 1000 fois plus lents. On utilise donc le plus souvent des systĂšmes mixtes la cryptographie asymĂ©trique pour Ă©changer une clĂ© secrĂšte, normalement de petite taille par exemple 128 bits, et ensuite la cryptographie symĂ©trique en utilisant la clĂ© secrĂšte Ă©changĂ©e pour chiffrer les messages. Pour que les communications soient sĂ»res, les primitives cryptographiques utilisĂ©es doivent rĂ©pondre Ă  un cahier des charges prĂ©cis en matiĂšre de sĂ©curitĂ©. La cryptanalyse constitue le moyen essentiel de s’assurer du respect prolongĂ© de ce cahier des charges. Quelles primitives utiliser ? La sĂ©curitĂ© des primitives asymĂ©triques Ă  clĂ© publique repose en gĂ©nĂ©ral sur la difficultĂ© d’un problĂšme mathĂ©matique bien Ă©tabli et jugĂ© difficile, c’est-Ă -dire Ă  priori insoluble dans un laps de temps raisonnable. Par exemple, le chiffrement RSA repose sur le problĂšme de la factorisation Ă©tant donnĂ© un entier naturel non nul, trouver sa dĂ©composition en produit de nombres. DĂ©chiffrer RSA reviendrait donc Ă  rĂ©soudre le problĂšme de la factorisation de trĂšs grandes nombres entiers, ce qui constituerait une vĂ©ritable bombe dans le milieu scientifique, car de trĂšs nombreux chercheurs Ă©tudient ce problĂšme en vain depuis des dĂ©cennies. Du cĂŽtĂ© de la cryptographie symĂ©trique, on peut prouver formellement de nombreuses propriĂ©tĂ©s de sĂ©curitĂ© d’un chiffrement symĂ©trique idĂ©al si on suppose qu’il gĂ©nĂšre pour chaque message un chiffre alĂ©atoire, ce qui ne nous permettrait pas de retrouver de l’information sur le message original. Mais il est par essence impossible de construire efficacement une telle fonction, et les primitives symĂ©triques essaient d’imiter ce comportement avec des fonctions dĂ©terministes. Pour jauger la sĂ©curitĂ©, on s’en remet donc Ă  la rĂ©sistance aux attaques des cryptanalystes. Une attaque est jugĂ©e efficace et la primitive attaquĂ©e est alors dite cassĂ©e » si elle peut se faire plus facilement plus rapidement, ou en utilisant moins de ressources de calcul que les meilleures attaques gĂ©nĂ©riques, c’est Ă  dire une attaque qu’on peut toujours appliquer, mĂȘme sur les primitives idĂ©ales. Par exemple, une attaque gĂ©nĂ©rique sur un chiffrement symĂ©trique est la recherche exhaustive de la clĂ© secrĂšte en essayant toutes les clĂ©s possibles, on parviendra toujours Ă  trouver la bonne. Comme on ne veut pas qu’une telle attaque soit rĂ©alisable, les clĂ©s secrĂštes ont des tailles variant entre 128 Ă  256 bits, selon la sĂ©curitĂ© voulue cela implique qu’il faudrait essayer respectivement 2128 environ Ă  340 milliards de milliards de milliards de milliards, soit un 3 suivi de 38 zĂ©ros et 2256 clĂ©s diffĂ©rentes. Tester 2128 clĂ©s est Ă  l’heure actuelle hors de portĂ©e mais il est difficile de prĂ©dire pendant combien de temps ce sera le cas ; pour des clĂ©s de 256 bits une recherche exhaustive est cependant totalement au-delĂ  des capacitĂ©s de l’ensemble des ressources de calcul de la planĂšte. L’existence de toute attaque plus performante que ces attaques gĂ©nĂ©riques est considĂ©rĂ©e comme une faiblesse grave de la primitive. Maria Naya-Plasencia Directrice de recherche Inria, Equipe Cosmiq, Paris Nous poursuivons notre balade avec David Pointcheval, Directeur du Laboratoire d’informatique de l’École Normale SupĂ©rieure, Paris, dans l’agrĂ©gation confidentielle ». Il nous conduit aux frontiĂšres de ce domaine de recherche. Serge Abiteboul Pexels Nous avons vu dans un premier article que le FHE chiffrement complĂštement homomorphe permettait d’effectuer des calculs sur les chiffrĂ©s. Mais il ne permet pas le partage des rĂ©sultats toute personne capable de dĂ©chiffrer le rĂ©sultat final est en mesure de dĂ©chiffrer les entrĂ©es du calcul, puisque le tout est chiffrĂ© sous la mĂȘme clef. Le chiffrement fonctionnel [1] fournit un outil complĂ©mentaire il permet la diffusion de rĂ©sultats, restreints par les capacitĂ©s de la clef que possĂšde l’utilisateur et les contraintes choisies par l’émetteur des chiffrĂ©s. Par exemple, la clef peut ne permettre le dĂ©chiffrement que sous certaines conditions d’accĂšs chiffrement basĂ© sur l’identitĂ©, ou sur des attributs, mais peut aussi restreindre le dĂ©chiffrement Ă  certaines agrĂ©gations sur les clairs, et Ă  rien d’autre. Usuellement, Ă  partir d’un chiffrĂ© Ex de x, la clef de dĂ©chiffrement permet de retrouver le clair x. Avec le chiffrement fonctionnel, plusieurs clefs de dĂ©chiffrement peuvent ĂȘtre gĂ©nĂ©rĂ©es, selon diffĂ©rentes fonctions f. A partir d’un chiffrĂ© Ex de x, la clĂ© de dĂ©chiffrement kf associĂ©e Ă  la fonction f permet d’obtenir fx et aucune autre information sur x. Ainsi, la fonction f peut tester l’identitĂ© du destinataire intĂ©grĂ©e dans le clair x au moment du chiffrement, avant de retourner ou non le clair, ce qui conduit Ă  un simple contrĂŽle d’accĂšs. Mais la fonction f peut Ă©galement faire des calculs plus complexes, et notamment ne donner accĂšs qu’à certains types d’agrĂ©gations. AgrĂ©gations de donnĂ©es Le grand intĂ©rĂȘt du chiffrement fonctionnel est en effet la contrainte by design des informations partielles obtenues sur la donnĂ©e en clair, par exemple une moyenne, des agrĂ©gations et toutes sortes de statistiques, sans jamais rĂ©vĂ©ler d’information supplĂ©mentaire. On peut notamment effectuer des chiffrements de vecteurs et n’autoriser que certains calculs statistiques. Mais contrairement au FHE qui retourne le calcul sous forme chiffrĂ©e et nĂ©cessite donc de possĂ©der la clef de dĂ©chiffrement qui permet non seulement de retrouver le rĂ©sultat en clair mais Ă©galement les donnĂ©es initiales en clair, la clef de dĂ©chiffrement fonctionnel effectue le calcul et fournit le rĂ©sultat en clair. Cette derniĂšre ne permet en revanche pas de dĂ©chiffrer les donnĂ©es initiales. Il a Ă©tĂ© montrĂ© possible de gĂ©nĂ©rer des clefs pour Ă©valuer n’importe quel circuit sur des donnĂ©es chiffrĂ©es [2]. NĂ©anmoins, ce rĂ©sultat gĂ©nĂ©rique est trĂšs thĂ©orique, sous des hypothĂšses trĂšs fortes, et notamment la possibilitĂ© d’obfusquer * du code, ce pour quoi nous n’avons pas encore de solution. Ainsi, la premiĂšre construction effective a Ă©tĂ© donnĂ©e pour la famille des produits scalaires, ou moyennes pondĂ©rĂ©es [3] les messages clairs sont des vecteurs et les clefs de dĂ©chiffrement fonctionnel sont associĂ©es Ă  des vecteurs. L’opĂ©ration de dĂ©chiffrement retourne le produit scalaire entre le vecteur chiffrĂ© et le vecteur associĂ© Ă  la clef. Moyennes sur des donnĂ©es temporelles Il s’agit certainement du cas d’usage le plus classique. Bien que trĂšs simple, il semble adaptĂ© Ă  de nombreuses situations concrĂštes des sĂ©ries de donnĂ©es temporelles sont gĂ©nĂ©rĂ©es, et le propriĂ©taire de ces donnĂ©es souhaite ne diffuser que des agrĂ©gations sous formes de moyennes pondĂ©rĂ©es, Ă  chaque pĂ©riode de temps. Ces pondĂ©rations peuvent dĂ©pendre des destinataires, voire s’affiner au cours du temps. Pour cela, pour chaque vecteur de pondĂ©rations, une clef de dĂ©chiffrement fonctionnel est gĂ©nĂ©rĂ©e par le propriĂ©taire des donnĂ©es, une bonne fois pour toutes, et transmise au destinataire autorisĂ©. A chaque pĂ©riode de temps, la sĂ©rie de donnĂ©es est publiĂ©e chiffrĂ©e, et chaque propriĂ©taire de clef peut obtenir le calcul agrĂ©gĂ© autorisĂ©, et rien de plus. Tous les destinataires ont accĂšs aux mĂȘmes donnĂ©es chiffrĂ©es, mais selon la clef en leur possession, des agrĂ©gations diffĂ©rentes seront accessibles. Plus rĂ©cemment, des versions multi-clients [4] ont Ă©tĂ© dĂ©finies, permettant Ă  des fournisseurs de donnĂ©es distincts de contribuer Ă  la sĂ©rie temporelle, et de garder le contrĂŽle des clefs fonctionnelles gĂ©nĂ©rĂ©es. Les exemples d’applications sont multiples, dans la finance, en sĂ©curitĂ©, ou dans le domaine mĂ©dical. ConsidĂ©rons les compagnies d’assurance, qui sont en forte concurrence, et qui n’imaginent pas un instant partager les volumes dans chaque catĂ©gorie de sinistres rencontrĂ©s par leurs clients. Par contre, ces clients seraient intĂ©ressĂ©s par le volume global, au niveau national, toutes compagnies d’assurance confondues. Cela rentre exactement dans le contexte d’une somme pondĂ©rĂ©e gĂ©nĂ©rĂ©e rĂ©guliĂšrement sur des donnĂ©es chiffrĂ©es. Et bien sĂ»r, les compagnies d’assurance doivent contribuer Ă  la gĂ©nĂ©ration des clefs fonctionnelles, afin de s’assurer qu’elles permettront un calcul qu’elles autorisent. Un autre cas d’usage similaire en sĂ©curitĂ© est la remontĂ©e des attaques subies par les entreprises. Ces donnĂ©es sont sensibles au niveau de chaque entreprise, mais sont trĂšs utiles Ă  un niveau global pour connaĂźtre les menaces, et rĂ©agir de façon adaptĂ©e. Le chiffrement fonctionnel, y compris multi-client, est quant Ă  lui parfaitement opĂ©rationnel sur des donnĂ©es rĂ©elles, pour obtenir de telles moyennes pondĂ©rĂ©es. En effet, les calculs Ă  effectuer demeurent relativement simples et peu coĂ»teux. Chiffrement fonctionnel et apprentissage Est-ce la fin de l’histoire ? Non, car de fortes limitations subsistent. La technique permet de rĂ©aliser un grand nombre de statistiques basĂ©es sur des additions avec des coefficients. Elle permet notamment des techniques de classification de donnĂ©es, mais de mĂ©diocre qualitĂ©. On aimerait aller au-delĂ  de tels calculs linaires. C’est indispensable pour rĂ©aliser des calculs statistiques plus riches, par exemple des calculs de variance. Ça l’est aussi pour pouvoir utiliser des mĂ©thodes d’apprentissage automatique plus sophistiquĂ©es [6]. Il n’y a pas d’impossibilitĂ©, juste de belles opportunitĂ©s pour les scientifiques. Conclusion Avec le RGPD ou RĂšglement GĂ©nĂ©ral sur la Protection des DonnĂ©es, la protection de la vie privĂ©e et des donnĂ©es personnelles est dĂ©sormais une exigence pour toute entitĂ© qui stocke et traite des informations Ă  caractĂšre personnel. La cryptographie propose des outils opĂ©rationnels pour des traitements simples, tels que la recherche par mots-clefs parmi des donnĂ©es chiffrĂ©es, la classification de donnĂ©es chiffrĂ©es, et les calculs statistiques sur des donnĂ©es chiffrĂ©es. MĂȘme l’apprentissage fĂ©dĂ©rĂ© peut ĂȘtre efficacement traitĂ©. Mais selon les contextes d’applications, des choix doivent ĂȘtre faits qui auront un impact important sur l’efficacitĂ©, voire la faisabilitĂ©. David Pointcheval, CNRS, ENS/PSL et Inria * obfusquerdu vieux français offusquer Obscurcir, assombrir. En Informatique, rendre un programme ou des donnĂ©es illisibles pour Ă©viter qu’ils soient exploitĂ©s de façon non autorisĂ©e. [1] Dan Boneh, Amit Sahai et Brent Waters. Functional encryption Definitions and challenges. TCC 2011 [2] Sanjam Garg, Craig Gentry, Shai Halevi, Mariana Raykova, Amit Sahai et Brent Waters. Candidate indistinguishability obfuscation and functional encryption for all circuits. FOCS 2013 [3] Michel Abdalla, Florian Bourse, Angelo De Caro et David Pointcheval. Simple functional encryption schemes for inner products. PKC 2015 [4] JĂ©rĂ©my Chotard, Edouard Dufour-Sans, Romain Gay, Duong Hieu Phan, et David Pointcheval. Decentralized multi-client functional encryption for inner product. ASIACRYPT 2018 [5] ThĂ©o Ryffel, Edouard Dufour-Sans, Romain Gay, Francis Bach et David Pointcheval. Partially encrypted machine learning using functional encryption. NeurIPS 2019 [6] ThĂ©o Ryffel, Edouard Dufour-Sans, Romain Gay, Francis Bach et David Pointcheval. Partially encrypted machine learning using functional encryption. NeurIPS 2019 Dans de nombreuses situations, on a envie de garder chaque information confidentielle, mais rĂ©aliser, sur leur ensemble, une agrĂ©gation, leur somme, leur moyenne, leur Ă©volution dans le temps, etc. Par exemple, en tant que cycliste, vous n’avez pas peut-ĂȘtre pas envie que le reste du monde sache oĂč vous ĂȘtes, mais vous aimeriez bien savoir qu’il faut Ă©viter le Boulevard SĂ©bastopol Ă  Paris Ă  cause de sa surcharge. Ça semble impossible ? Et pourtant des avancĂ©es scientifiques basĂ©es sur la cryptographie permettent de le faire. Ce n’est pas de la magie mais de l’algorithmique super astucieuse avec plein de maths derriĂšre. Alors, en voiture avec David Pointcheval, Directeur du Laboratoire d’informatique de l’École Normale SupĂ©rieure, Paris, pour une balade incroyable dans l’agrĂ©gation confidentielle ». Serge Abiteboul David Pointcheval, Cryptographe L’externalisation des donnĂ©es est devenue pratique courante et la volontĂ© de mettre des informations en commun, pour dĂ©tecter des anomalies, prĂ©dire des Ă©vĂ©nements ou juste effectuer des calculs s’intensifie. Nombre de ces donnĂ©es restent nĂ©anmoins sensibles, et leur confidentialitĂ© doit ĂȘtre garantie. Un exemple d’actualitĂ© est l’analyse massive de donnĂ©es mĂ©dicales pour suivre une Ă©pidĂ©mie, son mode d’expansion et son Ă©volution chez les malades. Les hĂŽpitaux ont de telles informations en grande quantitĂ©, mais elles sont d’une extrĂȘme sensibilitĂ©. La cryptographie a dĂ©veloppĂ© plusieurs outils pour concilier ces besoins contradictoires que sont le partage des donnĂ©es et leur confidentialitĂ©, Ă  savoir le calcul multi-parties sĂ©curisĂ© », MPC pour Multi-Party Computation, le chiffrement complĂštement homomorphe, FHE, pour Fully Homomorphic Encryption, et le chiffrement fonctionnel, FE, pour Functional Encryption. Nous allons rapidement rappeler les deux premiĂšres solutions. Dans un prochain article, nous nous attarderons plus longuement sur la derniĂšre approche, dĂ©veloppĂ©e plus rĂ©cemment, qui rĂ©pond efficacement Ă  des besoins concrets de calculs sur des donnĂ©es mutualisĂ©es sensibles. Photo de Cottonbro – Pexels Le calcul multi-parties sĂ©curisĂ© MPC Le MPC a Ă©tĂ© proposĂ© il y a plus de 30 ans [1], pour permettre Ă  des utilisateurs, possĂ©dant chacun des donnĂ©es secrĂštes, d’effectuer un calcul commun et d’obtenir le rĂ©sultat tout en gardant les entrĂ©es confidentielles. Intuitivement, le MPC permet de remplacer la situation idĂ©ale, oĂč chacun transmettrait sa donnĂ©e Ă  un tiers de confiance et ce dernier effectuerait le calcul pour ne retourner que le rĂ©sultat, par un protocole interactif entre les seuls participants. Contrairement Ă  l’utilisation d’un tiers de confiance, dont la capacité à protéger les données et les échanges est essentiel, le MPC ne requiert aucune confiance en qui que ce soit. Un exemple pour illustrer cela est le vote Ă©lectronique, oĂč tous les participants ont leur choix de candidat Ă  l’esprit, et le rĂ©sultat commun annoncĂ© est le nombre total de voix pour chaque candidat. NĂ©anmoins, mĂȘme les opĂ©rations simples, telles que ces sommes dans le cas du vote, nĂ©cessitent un trĂšs grand nombre d’interactions entre tous les participants. Avec seulement deux utilisateurs, on dispose de solutions particuliĂšrement efficaces, avec notamment les versions optimisĂ©es de Garbled Circuits [2]. Un exemple cĂ©lĂšbre du calcul sĂ©curisĂ© entre deux individus est le problĂšme du millionnaire », oĂč deux personnes fortunĂ©es veulent savoir laquelle est la plus riche, mais sans pour autant rĂ©vĂ©ler les montants en question. Il s’agit donc d’effectuer une comparaison sur deux donnĂ©es secrĂštes. De telles comparaisons sont Ă©galement la base de techniques d’apprentissage automatique, au niveau de la fonction d’activation de neurones. Il est donc possible de tester un rĂ©seau de neurones, entre le propriĂ©taire de la donnĂ©e Ă  classifier et le possesseur du rĂ©seau, sans qu’aucune information autre que le rĂ©sultat de classe ne soit disponible au deux. Le chiffrement complĂštement homomorphe FHE Pour Ă©viter les interactions, les donnĂ©es doivent ĂȘtre stockĂ©es en un mĂȘme lieu, de façon chiffrĂ©e pour garantir la confidentialitĂ©. Le chiffrement permet de stocker des donnĂ©es tout en les maintenant Ă  l’abri des regards. Il permet aussi d’exclure toute forme de manipulation, pour en garantir l’intĂ©gritĂ©. Cependant, certaines propriĂ©tĂ©s algĂ©briques ont Ă©tĂ© utilisĂ©es, et notamment la multiplicativitĂ©, avec des schĂ©mas de chiffrement qui permettent de gĂ©nĂ©rer, Ă  partir de deux chiffrĂ©s, le chiffrĂ© du produit des clairs. En d’autres termes, Ă  partir des valeurs chiffrĂ©es Ea et Eb, de deux donnĂ©es a et b, il est possible de calculer la valeur chiffrĂ©e Ea*b de a*b sans avoir Ă  connaitre a et b. D’autres schĂ©mas proposent l’additivitĂ©, ce qui permet d’obtenir le chiffrĂ© de la somme des clairs par une simple opĂ©ration sur les chiffrĂ©s. Mais Ă  quoi cela peut-il servir ? La propriĂ©tĂ© d’additivitĂ© est par exemple largement exploitĂ©e au sein de systĂšmes de vote Ă©lectronique. Les votants chiffrent leur choix 1 ou 0, selon que la case est cochĂ©e ou non, et une opĂ©ration publique permet d’obtenir le chiffrĂ© de la somme de leurs votes. Le dĂ©chiffrement final, menĂ© par le bureau de vote, permet de prendre connaissance du rĂ©sultat, sans avoir besoin de dĂ©chiffrer chaque vote individuellement. On connaissait des mĂ©thodes qui permettent l’additivitĂ© et d’autres la multiplicativitĂ©. Les deux ont semblĂ© longtemps incompatibles jusqu’aux travaux de Craig Gentry [3]. En 2009, il a prĂ©sentĂ© la premiĂšre construction permettant ces deux opĂ©rations en nombre illimitĂ© sur les clairs, par des opĂ©rations publiques sur les chiffrĂ©s. Il devient alors possible d’évaluer n’importe quel circuit boolĂ©en sur des entrĂ©es chiffrĂ©es, avec le rĂ©sultat chiffrĂ© sous la mĂȘme clef. Comment passe-t-on de ces deux propriĂ©tĂ©s aux circuits boolĂ©ens ? Un circuit est composĂ© de portes logiques qui peuvent se traduire en termes d’additions, de nĂ©gations et de multiplications. Ce FHE permet alors Ă  une personne d’externaliser des calculs sur ses donnĂ©es confidentielles, sans aucune interaction. Il lui suffit de les chiffrer sous sa propre clef ; le prestataire peut faire tous les calculs souhaitĂ©s sur ces donnĂ©es, sans en prendre connaissance ; l’utilisateur peut enfin rĂ©cupĂ©rer le rĂ©sultat chiffrĂ© toujours sous sa propre clef. Un exemple peut ĂȘtre le stockage de photos, permettant de faire tourner des algorithmes d’attĂ©nuation des yeux rouges ou de regroupement selon la reconnaissance faciale, tout en garantissant la confidentialitĂ©. On peut mĂȘme imaginer poser des requĂȘtes chiffrĂ©es Ă  un moteur de recherche et obtenir des rĂ©ponses pertinentes, sans rĂ©vĂ©ler ni les questions, ni les rĂ©ponses. Les applications de ces techniques sont extrĂȘmement nombreuses. Mais elles ont une Ă©norme limitation la confidentialitĂ© est garantie au prix d’énormes quantitĂ©s de calculs, de temps parfois prohibitifs mĂȘme pour un supercalculateur. David Pointcheval, CNRS, ENS/PSL et Inria [1] Oded Goldreich, Silvio Micali et Avi Wigderson. How to play any mental game or A completeness theorem for protocols with honest majority. STOC 1987 [2] Andrew Chi-Chih Yao. How to generate and exchange secrets. FOCS 1986 [3] Craig Gentry. Fully homomorphic encryption using ideal lattices. STOC 2009 Tous les ans, la sociĂ©tĂ© Verizon publie un rapport dĂ©crivant les faits saillants de l’annĂ©e Ă©coulĂ©e en termes de sĂ©curitĂ© des donnĂ©es. Nos amis Jean-Jacques Quisquater et Charles Cuvelliez ont lu ce document et nous livrent leur analyse. Parfois surprenant ! Pascal Guitton A lire le dernier Data Breach Investigation Report de Verizon 2020 [1], un monument dans la communautĂ© cyber, 13 Ă©ditions au compteur, il y a quelques idĂ©es reçues bien ancrĂ©es qui doivent ĂȘtre remises en question. Ce ne sont pas moins de 30 000 incidents de sĂ©curitĂ© sur l’annĂ©e 2019 qui ont Ă©tĂ© analysĂ©s Ă  partir des contributions d’à peu prĂšs 80 organismes dans autant de pays qui collaborent dĂ©sormais Ă  ce rapport. 10 % de ces incidents ont menĂ© Ă  une fuite de donnĂ©es. Pour 2/3 d’entre elles, il n’a mĂȘme pas fallu mobiliser des moyens techniques sophistiquĂ©s il a suffi aux criminels d’utiliser des mots de passe volĂ©s, devinĂ©s ou de mettre en Ɠuvre du hameçonnage quand ce ne fut pas tout simplement une erreur humaine un envoi des donnĂ©es de l’entreprise Ă  une mauvaise personne, par email par exemple comme le fameux Autofill de Outlook qui vous propose par dĂ©faut les derniĂšres adresses email utilisĂ©es qui commencent par les mĂȘmes lettres que celle Ă  qui vous destinez vraiment le mail
et si facilement acceptĂ©es par distraction. Les donnĂ©es qui fuitent sont Ă  58 % Ă  caractĂšre privĂ© adresses mails, numĂ©ros de tĂ©lĂ©phone, adresses
 qui se trouvent dans des emails ou des bases de donnĂ©es mal protĂ©gĂ©es. Des donnĂ©es plus sensibles encore comme les donnĂ©es bancaires ou de paiement ou bien les donnĂ©es mĂ©dicales s’y retrouvent moins. Ce n’est pas illogique ces donnĂ©es ont toujours Ă©tĂ© sensibles et sont trĂšs protĂ©gĂ©es depuis longtemps. La mise en place il y a 2 ans du RGPD europĂ©en a permis d’attacher plus d’importance aux donnĂ©es personnelles et donc Ă  leur protection. Les attaques contre les applications web Ă  43 % et le hameçonnage sont les causes premiĂšres de brĂšches de donnĂ©es. LĂ  non plus, rien d’étonnant les applications web sont une porte extĂ©rieure qui donne accĂšs Ă  l’entreprise, certes fermĂ©e mais accessible Ă  tous. Il s’en trouve bien quelques-uns pour rĂ©ussir Ă  l’ouvrir. Avec l’utilisation grandissante du cloud, oĂč tous les logiciels, les bases donnĂ©es sont accessibles via une interface web, cette tendance ne fera que croitre. Attention aussi, dit Verizon, aux infrastructures et autres serveurs qui sont connectĂ©s au web s’ils sont oubliĂ©s, pas mis Ă  jour, ils seront repĂ©rĂ©s automatiquement par des hackers qui en prendront le contrĂŽle comme relais de leurs attaques. Attaque par dĂ©ni de service – CrĂ©dit Everaldo Coelho and YellowIcon / LGPL Les attaques par dĂ©ni de service et les rançongiciels sont les formes les plus prĂ©valentes pour les incidents de sĂ©curitĂ© les premiers inondent les systĂšmes de l’entreprise d’un dĂ©luge de requĂȘtes et les Ă©touffent en saturant leurs capacitĂ©s de traitement. Les deuxiĂšmes chiffrent les contenus qu’ils trouvent sur leur chemin une fois introduit dans les ordinateurs de l’entreprise. Les rançongiciels ne provoquent pas encore de brĂšche de donnĂ©es leurs auteurs exigent une rançon en Ă©change d’une clĂ© de dĂ©chiffrement mais ils n’hĂ©sitent plus Ă  exfiltrer d’abord les donnĂ©es ce qui exige plus d’efforts de leur part et les expose aussi. Ils peuvent alors menacer de les publier si l’entreprise refuse de payer quand elle estime pouvoir s’en sortir avec les copies de sauvegarde. La part des rançongiciels dans les incidents de sĂ©curitĂ© provoquĂ© par un malware s’élĂšve cette annĂ©e Ă  27 % et ne fait que croĂźtre en troisiĂšme position des malwares. 18 % des organisations ont eu Ă  bloquer un malware en 2019. Par contre les chevaux de Troie comme variĂ©tĂ© de malware diminuent Ă  la cinquiĂšme position. Ils restent cependant un maĂźtre-choix pour les attaques sophistiquĂ©es par lesquelles le criminel peut avoir accĂšs Ă  distance aux systĂšmes infectĂ©s via une porte dĂ©robĂ©e. Sans doute, explique Verizon, les versions les plus simples de ces chevaux de Troie sont mieux stoppĂ©es mais les plus Ă©laborĂ©es restent bel et bien actives. Les malwares semblent ĂȘtre principalement dĂ©livrĂ©s par mail peu par le web sous forme de documents Office ou sous forme d’applications Windows, compte-tenu de leur large dĂ©ploiement dans monde de l’entreprise. Les plus courtes sont les meilleures Autre constat les attaques doivent ĂȘtre courtes dans la durĂ©e pour ĂȘtre efficaces. L’époque oĂč le hacker pouvait pĂ©nĂ©trer dans le rĂ©seau et prendre son temps pour trouver les joyaux de la couronne semble rĂ©volue, sinon le criminel finit par ĂȘtre dĂ©couvert. Si l’attaque a besoin de plus de 5 Ă©tapes pĂ©nĂ©trer dans le rĂ©seau cible, y obtenir des droits suffisants, se diriger vers les zones sensibles
 avant d’ĂȘtre effective, elle Ă©chouera. Une attaque ne dĂ©bute jamais de maniĂšre trĂšs sophistiquĂ©e hameçonnage, utilisation de login/mot de passe volĂ©, etc
 Il est amusant de constater d’ailleurs, dit Verizon, qu’une fuite d’une base de donnĂ©es de login/mot de passe ne gĂ©nĂšre aucune excitation, aucun effet d’aubaine. On ne voit pas d’augmentation d’activitĂ© en la matiĂšre. Non, ces fuites alimentent simplement le corpus, la documentation utilisĂ©e pour tenter d’accĂ©der aux systĂšmes. Un fois dans le rĂ©seau, le criminel y installe des malwares ou fait appel Ă  des techniques plus sophistiquĂ©es pour prendre possession des lieux. 70 % des brĂšches de donnĂ©es proviennent d’acteurs extĂ©rieurs Ă  l’entreprise et 86 % d’entre elles, quand ce ne sont pas des accidents, reposent sur des motivations financiĂšres l’employĂ© qui cherche Ă  se venger est donc plus rare tandis que le cyber-espionnage n’est Ă  l’origine que de 1/5 de ces attaques. L’erreur humaine est la seule cause de brĂšche de donnĂ©es qui augmente alors que toutes les autres malware, hameçonnage, intrusion physique diminuent. C’est un mauvais signe rĂ©sultant certainement de la pression grandissante sur les Ă©quipes de sĂ©curitĂ© qui doivent suivre les logiques de DevOps dĂ©velopper vite, mettre en production vite dans un cycle qui se rĂ©pĂšte sans fin. A quand le SecureDevOps ? Parmi ces erreurs, une mention spĂ©ciale pour les erreurs de configuration qui amĂšnent, par exemple, des chercheurs Ă  dĂ©couvrir des bases de donnĂ©es accessibles facilement sur le web. Si les erreurs humaines progressent, c’est aussi, dit Verizon, dĂ» au RGPD qui exige de donner les causes des brĂšches de donnĂ©es on ne peut plus cacher le cĂŽtĂ© humain de nombreuses erreurs. La dĂ©croissance des autres formes d’attaques est, par contre, une bonne nouvelle s’il y a moins d’hameçonnage, c’est grĂące Ă  la formation du personnel Ă  le reconnaitre. S’il y a moins de malwares, c’est le signe que les entreprises se protĂšgent mieux et investissent dans les technologies pour les contrer. Mais il ne faut pas croire que les malwares ont disparu. By jaUserゐ – Transferred from to Commons by Maksim., Public Domain, Vos appareils sont tracĂ©s Si vous l’ignoriez, sachez que vos adresses IP sont constamment scannĂ©es toutes les quelques secondes Ă  la recherche de portes ouvertes vers votre rĂ©seau. Les chercheurs de Verizon ont cherchĂ© Ă  savoir quelles portes les criminels testaient aujourd’hui Telnet et ssh arrivent toujours en tĂȘte ces deux services permettent de se connecter au systĂšme et de le contrĂŽler comme un utilisateur normal enregistrĂ© sur la machine. Mais en positions 3, 4 et 5 on trouve les camĂ©ras connectĂ©es, les routeurs domestiques et les portes d’entrĂ©es pour dĂ©bogger Android. Il faut dire que ces appareils sont en gĂ©nĂ©ral moins bien sĂ©curisĂ©s, y compris le mode dĂ©bogage des smartphones qui connait le mot de passe du routeur de son domicile, qui ne s’est jamais prĂ©occupĂ© du mot de passe de la camĂ©ra de surveillance qu’il a installĂ©, ou encore de son Ă©clairage intelligent surtout quand le mĂȘme mot de passe initial est partout le mĂȘme. Les vulnĂ©rabilitĂ©s, la partie Ă©mergĂ©e de l’iceberg Moins de 5 % des incidents de sĂ©curitĂ© sont le rĂ©sultat de l’exploitation d’une vulnĂ©rabilitĂ©. On le sait peu mais il y a Ă©normĂ©ment de vulnĂ©rabilitĂ©s dĂ©couvertes et les organisations en dĂ©couvrent tout autant sur leurs rĂ©seaux. Mais en fait, seul un faible pourcentage est utilisĂ© pour des fuites de donnĂ©es. Dans leurs systĂšmes SIEM, les organisations ont moins de % d’alertes qui sont liĂ©es Ă  l’exploitation d’une vulnĂ©rabilitĂ©. Pour Verizon, ceci signifie que les entreprises colmatent les vulnĂ©rabilitĂ©s de maniĂšre rapide mais ce qui pose problĂšme, c’est la mĂ©connaissance de ce qu’il faut colmater. Verizon a fait un test des adresses IP qui se trouvent ĂȘtre sujettes Ă  une vulnĂ©rabilitĂ© rĂ©cente le sont pour de vieilles vulnĂ©rabilitĂ©s. C’est le signe d’un asset oubliĂ© dans le rĂ©seau 
 Les cyberattaques ont encore de beaux jours devant elles. Jean-Jacques Quisquater UniversitĂ© de Louvain, Ecole Polytechnique de Louvain et MIT & Charles Cuvelliez UniversitĂ© de Bruxelles, Ecole Polytechnique de Bruxelles Pour en savoir plus [1] Data Breach Investigation Report 2020, L’avĂšnement des vĂ©hicules autonomes VA et des VA communicants VAC pose des questions de sĂ©curitĂ© routiĂšre, de cybersĂ©curitĂ© et de protection de la vie privĂ©e des passagers. Binaire publiait en 2018 une contribution SĂ©curitĂ© routiĂšre et cybersĂ©curitĂ© qui nous alertait sur les risques encourus. Nathalie Nevejans et GĂ©rard Le Lann reviennent sur ce sujet pour en donner un rapide Ă©clairage scientifique, technologique, et juridique. Une premiĂšre partie est consacrĂ©e aux vĂ©hicules autonomes. Une seconde, Ă  venir, traitera des VA communicants. Serge Abiteboul Les contes de fĂ©es des annĂ©es 2010 ont vĂ©cu ‱ SĂ©curitĂ© Les VA ont parcouru des millions de miles/km sans accident Faux. Le premier accident impliquant un VA s’est produit en 2011 devant le quartier gĂ©nĂ©ral de Google en Californie. ‱ EfficacitĂ© Les vĂ©hicules totalement autonomes seront disponibles en 2020 Faux, Ă  l’évidence. Six niveaux d’autonomie ont Ă©tĂ© dĂ©finis par la Society of Automotive Engineers, de 0 conduite humaine Ă  5 conduite totalement automatisĂ©e, en tous lieux. Certains constructeurs affirment Ă  prĂ©sent qu’il n’y aura pas de VA de niveau supĂ©rieur Ă  3 tandis que d’autres, en coopĂ©ration avec les meilleurs laboratoires du monde acadĂ©mique, verrouillent les droits de propriĂ©tĂ© intellectuelle et les brevets relatifs aux vĂ©hicules de niveau 5. Les VA disponibles Ă  l’achat, de niveaux 2, rarement 3, circulent sous le contrĂŽle de conducteurs, aidĂ©s de systĂšmes ADASS Advanced Driver-Assistance Systems, certains nĂ©cessitant un rĂ©cepteur GNSS Global Navigation Satellite System comme GPS, Galileo, Glonass, ou Beidou. En mode autonome, le comportement d’un VA est dĂ©terminĂ© par un systĂšme de bord qui exĂ©cute des logiciels alimentĂ©s par des donnĂ©es provenant de divers capteurs radars, lidars, camĂ©ras, etc., de cartes numĂ©riques et d’algorithmes de reconnaissance environnementale exploitant l’apprentissage automatique. Les six niveaux d’autonomie. Source ResearchGate Cockpit de VA vue synthĂ©tique. Source LinkedIn SĂ©curitĂ© et efficacitĂ©. En 2017, aux États-Unis, on dĂ©nombrait 34 247 morts sur les routes, environ 10 fois moins en France. Les objectifs avec les VA sont ‱ sĂ©curitĂ© approcher 0 accident mortel et 0 blessure grave irrĂ©versible, et ‱ efficacitĂ© rĂ©duire les temps de trajets. Il est quasiment trivial de rĂ©aliser au moins en partie les objectifs sĂ©curitaires en imposant de grandes sĂ©parations inter-vĂ©hiculaires et/ou de faibles vitesses. L’exigence d’efficacitĂ©, trop souvent ignorĂ©e, est donc essentielle. Outre des dizaines d’hospitalisations, six accidents mortels ont Ă©tĂ© causĂ©s Ă  ce jour par des VA en mode autonome, cinq aux États-Unis et un en Chine. Les Ă©chantillons disponibles sont trop petits pour pouvoir conclure. NĂ©anmoins, rien ne permet d’affirmer que le taux de mortalitĂ© avec les VA est ou sera infĂ©rieur Ă  1,13 par 100 millions de vĂ©hicules miles le fatality rate en 2018 aux États-Unis pour des vĂ©hicules actuels conduits par des humains. Ce constat est confortĂ© par une Ă©tude publiĂ©e par le IIHS [i] en juin 2020. Parmi les principales faiblesses, on trouve la faillibilitĂ© des capteurs et des techniques IA actuelles les faux nĂ©gatifs, le manque de communications explicites cf. l’article Ă  venir sur les VA communicants, ainsi que le partage d’autoritĂ© entre humain et systĂšme de bord. Ce problĂšme, bien connu en transport aĂ©rien, n’a pas de solution gĂ©nĂ©rale. Partant du diagnostic selon lequel The human is the bug », l’un des pionniers des Google cars choisit Ă  l’époque de viser d’emblĂ©e la conduite automatisĂ©e. Accident mortel d’un VA, 2018, Highway 101, CA, États-Unis. Source Paloalto Online La question des responsabilitĂ©s. Tous les VA sont Ă©quipĂ©s d’enregistreurs infalsifiables – de boĂźtes noires. L’examen de l’historique des Ă©vĂ©nements datĂ©s qui prĂ©cĂšdent un accident permet de dĂ©terminer, dans chaque vĂ©hicule impliquĂ©, le ou les Ă©vĂ©nements qui a/ont causĂ© l’accident. Donc, contrairement Ă  ce qu’on lit parfois, il est possible d’identifier ce qui est Ă  l’origine d’un accident un conducteur, un Ă©quipement, un logiciel, etc. Ce travail d’enquĂȘte destinĂ© Ă  rĂ©unir des faits est menĂ© par des experts mandatĂ©s par des tribunaux, des compagnies d’assurance, etc. Les tribunaux peuvent alors attribuer les responsabilitĂ©s civiles les dommages et intĂ©rĂȘts et/ou pĂ©nales en dĂ©terminant qui doit rĂ©pondre des consĂ©quences de l’accident. Quel que soit le pays, un conducteur de VA est censĂ© aujourd’hui ĂȘtre prĂȘt Ă  intervenir, si nĂ©cessaire, sous peine d’ĂȘtre tenu responsable en cas d’accident. Cette obligation est ambiguĂ«. En conditions accidentogĂšnes, en mode autonome, il n’y a que deux possibilitĂ©s. Ou bien le systĂšme de bord fonctionne correctement il Ă©met une alerte sur dĂ©sengagement. Les expĂ©rimentations [ii] dĂ©montrent que les dĂ©lais de rĂ©action des humains vont de 2 Ă  8 secondes, trop Ă©levĂ©s pour Ă©viter des collisions, mais suffisants pour en crĂ©er. Ainsi, un conducteur qui reprend la conduite sur alerte ne peut ĂȘtre systĂ©matiquement tenu responsable, sauf Ă  imaginer qu’il est dotĂ© de capacitĂ©s surhumaines. Ou bien le systĂšme de bord est dĂ©faillant il reste muet et ne signale pas d’alerte. Afin de parer Ă  des silences injustifiĂ©s, un humain doit donc surveiller son VA quasiment continuellement. De facto, cet humain conduit tout le temps ; avec certains modĂšles, il y est d’ailleurs contraint, voir plus loin. La contradiction avec les promesses liĂ©es aux VA est flagrante. Bien Ă©videmment, un conducteur ne peut ĂȘtre tenu responsable des dysfonctionnements d’un systĂšme de bord. Des lĂ©gislations nationales Ă©voluent significativement pour tenir compte des rĂ©alitĂ©s technologiques [iii]. Concepteurs, dĂ©veloppeurs, intĂ©grateurs, certificateurs, sont Ă  l’origine des VA ou sont impliquĂ©s dans leur mise en service. Dans tous les cas des niveaux 1 Ă  4, leur responsabilitĂ© peut donc ĂȘtre engagĂ©e. Elle l’est obligatoirement en niveau 5, les conducteurs n’existant pas. Dans le cycle qui va de la conception d’un VA Ă  son autorisation de commercialisation, puis Ă  ses utilisations, il y a toujours in fine un ou des humains sur qui faire peser la responsabilitĂ©. Il ne sert donc Ă  rien d’inventer une personnalitĂ© juridique des robots [iv] sur roues, dans le cas des VA. CybersĂ©curitĂ©. Les capteurs extĂ©rieurs des VA peuvent dĂ©faillir et faire l’objet d’attaques comme des aveuglements visuels, des radars brouillĂ©s ou des signaux GNSS falsifiĂ©s, destinĂ©es Ă  crĂ©er des collisions. La redondance des capteurs et les VA communicants permettent de gĂ©rer de telles dĂ©faillances ou attaques. Protection des donnĂ©es personnelles. Traçage et collecte de donnĂ©es personnelles sont inĂ©vitables avec les applications de navigation payantes ou gratuites Google Maps, Waze, Here WeGo, etc.. Mais leur activation est optionnelle, soumise au choix des passagers. Par contre, des capteurs intĂ©rieurs camĂ©ras, micros, etc. des VA actuels collectent en permanence des donnĂ©es sur les occupants. Au nom de la sĂ©curitĂ©, il est pertinent de surveiller l’état de vigilance d’un conducteur. Par exemple, avec les Cadillac CT6, si le conducteur cesse de regarder la route plus de 5 secondes, une alarme est dĂ©clenchĂ©e par une camĂ©ra qui surveille en permanence le point focal de ses pupilles. Pour la recherche des responsabilitĂ©s, il est lĂ©gitime d’enregistrer dans une boĂźte noire les donnĂ©es de suivi de conducteur. Mais il n’est pas indispensable d’enregistrer aussi des donnĂ©es Ă  caractĂšre personnel comme qui voyage avec qui, Ă  quelle heure, ou les conversations entre passagers. Au regard du RGPD et de la position rĂ©cente de la Commission europĂ©enne sur la reconnaissance faciale, de tels enregistrements sont illĂ©gaux sans le consentement prĂ©alable des personnes concernĂ©es. Comment manifester un tel consentement ? Cette question, qui reste ouverte, a une rĂ©ponse offrir une option intimitĂ© intĂ©rieure, dont l’activation entraĂźne la dĂ©sactivation des capteurs, sauf ceux dĂ©diĂ©s au suivi du conducteur. À l’exception des VA professionnels flottes d’entreprises, transport public, etc., le choix d’activer ou de ne pas activer cette option est laissĂ© aux occupants d’un VA, qui n’ont pas nĂ©cessairement envie que des donnĂ©es personnelles soient enregistrĂ©es dans des serveurs inconnus, Ă©ventuellement revendues ou piratĂ©es. L’activation de cette option doit ĂȘtre aussi simple et intuitive que pour l’option start/stop » moteur, exprimable via une commande tactile ou vocale. Un article Ă  venir est consacrĂ© aux VA communicants. Nathalie Nevejans, Directrice de la Chaire IA Responsable UniversitĂ© d’Artois et Membre du ComitĂ© d’éthique du CNRS COMETS, et GĂ©rard Le Lann, Directeur de Recherche ÉmĂ©rite, INRIA Paris-Rocquencourt, [i] Insurance Institute for Highway Safety [ii] Par exemple, Stanford University et Robert Bosch, ConfĂ©rence ITS 2015, pages 2458-2464 [iii] “Autonomous vehicles Driving regulatory and liability challenges”, Automotive World, 7 avril 2020 [iv] Parlement EuropĂ©en, 2017, dans une rĂ©solution sur les rĂšgles de droit civil en robotique. Le Groupe d’experts de haut niveau de la Commission EuropĂ©enne s’est opposĂ© Ă  cette dĂ©rive GrĂące aux auteurs du Livre blanc sur la cybersĂ©curitĂ© qu’Inria a publiĂ© en 2019, nous vous proposons une sĂ©rie d’articles sur cette question majeure. Abdelkader Lahmadi et Isabelle Chrisment nous parle des questions de sĂ©curitĂ© soulevĂ©s par l’utilisation des objets connectĂ©s de plus en plus prĂ©sents autour de nous. Alors faut-il s’en mĂ©fier ? Pascal Guitton. De plus en plus nombreux chez les particuliers et les entreprises, les objets connectĂ©s font partie de notre quotidien. Montres, bracelets, interrupteurs, thermostats, systĂšmes d’éclairage ou de vidĂ©osurveillance sont maintenant capables de communiquer avec leur environnement et d’utiliser l’infrastructure de l’Internet ils transmettent Ă  des serveurs des informations qui peuvent ensuite ĂȘtre analysĂ©es et sont aussi, pour certains, contrĂŽlables et configurables Ă  distance. La domotique entre davantage dans les maisons surveillance et commande, via notre tĂ©lĂ©phone, du chauffage, des camĂ©ras, des volets, etc. et les diffĂ©rentes campagnes publicitaires nous vantent dĂ©jĂ  un monde futur plus connectĂ©, oĂč les Ă©volutions, au niveau robotique et intelligence artificielle, devraient rendre notre quotidien plus facile en anticipant mĂȘme des besoins que nous ne connaissons pas encore. Plateforme domotique d’objets connectĂ©s. CrĂ©dit © Inria / Photo D. Betzinger. On estime aujourd’hui Ă  environ 30 milliards le nombre d’objets connectĂ©s avec un accroissement de plus de 20% chaque annĂ©e[1]. Le passage vers le rĂ©seau 5G va certainement accroĂźtre ce nombre et faciliter le dĂ©ploiement des objets connectĂ©s dans de multiples domaines d’application, notamment dans l’industrie VulnĂ©rabilitĂ© des objets connectĂ©s Devant la multiplication des applications, fabricants et produits, la commercialisation d’un objet connectĂ© reprĂ©sente une vĂ©ritable course contre la montre. Un large Ă©ventail d’objets connectĂ©s dĂ©diĂ©s au grand public s’appuie donc principalement sur des composants logiciels et de communication pris sur Ă©tagĂšre, souvent dĂ©jĂ  obsolĂštes au moment mĂȘme de la conception desdits objets, et donc possĂ©dant des vulnĂ©rabilitĂ©s connues et rĂ©pertoriĂ©es dans des bases de donnĂ©es. Un exemple rĂ©cent est celui du robot-cuiseur connectĂ© vendu Ă  un prix dĂ©fiant toute concurrence dans une chaĂźne de grande distribution[2]. Non seulement, l’utilisation de la tablette du robot-cuiseur a pu ĂȘtre dĂ©tournĂ©e pour regarder une vidĂ©o ou consulter des sites web, mais de plus, il a Ă©tĂ© montrĂ© qu’un micro Ă©tait installĂ© sans que le consommateur n’en soit informĂ©. Certes, le micro Ă©tait dĂ©sactivĂ© par dĂ©faut, mais la tablette fonctionnait avec une version ancienne d’Android prĂ©sentant des failles de sĂ©curitĂ©. Ces objets connectĂ©s sont donc le plus souvent peu ou pas sĂ©curisĂ©s. Les fabricants limitent, Ă  tort ou Ă  raison, les ressources capacitĂ©s de calcul, mĂ©moire, stockage, etc. nĂ©cessaires pour ces appareils. Leur sĂ©curitĂ© est donc frĂ©quemment sacrifiĂ©e, pour des raisons de gain de temps, de coĂ»t, et de simplicitĂ© d’usage pour l’utilisateur final, avec comme justification – souvent erronĂ©e – que l’objet est installĂ© dans un rĂ©seau privĂ© sĂ©curisĂ© le rĂ©seau WiFi de l’utilisateur et donc non vulnĂ©rable. Les mises Ă  jour et correctifs sont rares, voire inexistantes, et consistent principalement en des modifications cosmĂ©tiques de l’interface de contrĂŽle. Objets connectĂ©s et cyberattaques Les objets connectĂ©s vulnĂ©rables reprĂ©sentent une menace grandissante puisqu’une faille dans leurs composants peut avoir un impact sur des milliers, voire des millions d’usagers, et ce pour une pĂ©riode potentiellement longue dans le temps. En effet, une fois installĂ©s et configurĂ©s, ils restent en service tant qu’ils sont fonctionnels soit quelques annĂ©es et la raretĂ© des mises Ă  jour et de celles de leurs applications si elles existent augmente considĂ©rablement le risque d’attaques ou de compromissions. Les failles peuvent ainsi ĂȘtre exploitĂ©es pour dĂ©tourner les objets de leurs usages principaux, comme par exemple les faire participer Ă  de grandes cyberattaques coordonnĂ©es. Ce fut le cas il y a quelques annĂ©es avec l’infection de centaines de milliers d’objets connectĂ©s par un logiciel malveillant appelĂ© Mirai[3]. Les appareils contaminĂ©s, notamment les camĂ©ras accessibles Ă  distance, ont Ă©tĂ© utilisĂ©s pour bombarder de requĂȘtes le principal hĂ©bergeur français, jusqu’à ce qu’il ne puisse plus fonctionner attaque par dĂ©ni de service distribuĂ© » de type DDoS. En 2017, des chercheurs ont mis en Ă©vidence une faille dans un contrĂŽleur rĂ©seau utilisant le protocole sans fil Z-Wave[4], largement dĂ©ployĂ© pour les objets connectĂ©s domotiques Ă©clairage, prises, thermostats, etc.. Dans un rĂ©seau Z-wave, l’un des rĂŽles du contrĂŽleur est d’associer les Ă©quipements au rĂ©seau pour que l’utilisateur puisse les commander Ă  distance. La vulnĂ©rabilitĂ© dĂ©couverte permet Ă  un attaquant de dupliquer le contrĂŽleur Z-Wave et ainsi de prendre le contrĂŽle Ă  distance de tous les Ă©quipements de ce rĂ©seau, comme s’il Ă©tait l’utilisateur lĂ©gitime. MalgrĂ© sa dangerositĂ©, la faille reste trĂšs spĂ©cifique et n’affecte qu’un produit particulier des fabricants de contrĂŽleurs. Diagnostic des failles de sĂ©curitĂ© On peut en vouloir aux fabricants de ne pas avoir identifiĂ© et rĂ©parĂ© les failles de sĂ©curitĂ© des objet connectĂ©s, mais il faut rappeler ici que concevoir et dĂ©velopper des composants logiciels sĂ»rs, mĂȘme pour les systĂšmes classiques de l’Internet constitue un problĂšme notoirement complexe. Plusieurs bases de donnĂ©es et outils existent pour rĂ©pertorier les vulnĂ©rabilitĂ©s des attaques connues de ces objets connectĂ©s, mais aussi de leurs composants logiciels. Il s’agit d’une tĂąche trĂšs fastidieuse qui nĂ©cessite une expertise et des compĂ©tences techniques trĂšs pointues. Cela reprĂ©sente un travail colossal et on est encore trĂšs loin d’un monde idĂ©al oĂč 100%, des systĂšmes informatiques, en particulier des objets connectĂ©s, sont prouvĂ©s sĂ»rs et sans aucune faille. Les pratiques courantes, souvent artisanales, ne garantissent pas une Ă©valuation prĂ©cise et sont partielles Ă  cause de l’hĂ©tĂ©rogĂ©nĂ©itĂ©, pour ces appareils connectĂ©s, des protocoles de communication, des usages et des composants logiciels et matĂ©riels. Pour faire face Ă  ce dĂ©fi, des travaux de recherche[5][6] proposent des approches capables de cartographier et diagnostiquer les failles de sĂ©curitĂ© de ces objets, pour leur associer un niveau de risque liĂ© Ă  leur usage dans un environnement particulier. L’automatisation de la cartographie et de l’évaluation de la sĂ©curitĂ© des appareils connectĂ©s permet d’allĂ©ger considĂ©rablement les tĂąches de dĂ©tection et de prĂ©vention de cyberattaques et elle garantit aussi une meilleure sĂ©curitĂ© et confiance dans les appareils numĂ©riques et connectĂ©s Ă  la fois pour le grand public et les systĂšmes industriels actuels et pour l’usine du futur. La suite d’outils SCUBA 1 permet ainsi d’évaluer automatiquement le risque d’un objet connectĂ© dans son environnement d’usage et de lui attribuer une note, Ă  l’image des labels de performances Ă©nergĂ©tiques attribuĂ©s aux appareils Ă©lectromĂ©nagers. L’originalitĂ© de ce travail est de permettre d’auditer la sĂ©curitĂ© d’un appareil connectĂ© dans son environnement global et non plus de façon isolĂ©e. On Ă©tudie notamment les interactions de l’appareil connectĂ© avec tous les Ă©lĂ©ments qui se situent dans son pĂ©rimĂštre une ampoule connectĂ©e n’est pas soumise au mĂȘme environnement ni aux mĂȘmes risques si elle est branchĂ©e directement sur une simple prise ou sur un interrupteur Ă©galement connectĂ©. L’outil SCUBA a permis de diagnostiquer une faille de sĂ©curitĂ© entre une sonnette connectĂ©e et son service dans le cloud. La sonnette, Ă©quipĂ©e d’une camĂ©ra, envoie vers le cloud la photo de la personne prĂ©sente Ă  votre porte pour l’acheminer ensuite vers votre tĂ©lĂ©phone. En revanche, cette communication entre la sonnette et le cloud n’est pas chiffrĂ©e et la photo est envoyĂ©e dans un message en clair, ce qui permet Ă  un attaquant d’intercepter le message contenant la photo et de la remplacer par une autre. Illustration de l’exploitation d’une faille de sĂ©curitĂ© d’une sonnette connectĂ©e. Compte tenu de la cĂ©lĂ©ritĂ© avec laquelle les objets connectĂ©s sont crĂ©Ă©s et dĂ©ployĂ©s, de nombreux enjeux sont Ă  relever notamment ceux liĂ©s Ă  la diversitĂ© des protocoles de communication utilisĂ©s par les objets connectĂ©s il n’y a pas de standard commun et il y a presque autant de protocoles de communication que de catĂ©gories d’équipements les camĂ©ras et les thermostats, par exemple, utilisent des protocoles diffĂ©rents. La complexitĂ© des algorithmes Ă  considĂ©rer dans le cadre de l’évaluation du niveau de sĂ©curitĂ© est Ă©galement Ă  prendre en compte ceux-ci doivent en effet ĂȘtre en mesure de traiter de vastes gisements de donnĂ©es hĂ©tĂ©rogĂšnes et non-structurĂ©es, gĂ©nĂ©rĂ©es par des machines. Abdelkader Lahmadi UniversitĂ© de Loraine, LORIA et Isabelle Chrisment TĂ©lĂ©com Nancy, LORIA SCUBA est un outil permettant d’analyser automatiquement le risque des objets connectĂ©s. Il est dĂ©veloppĂ© dans l’équipe RESIST de l’Inria Nancy et du LORIA [1] [2] [3] Une prĂ©sentation de Mirai est disponible sur cette page wikipedia. [4] Une prĂ©sentation de la faille dĂ©couverte par des membres de l’équipe de recherche RESIST est disponible sous ce lien. [5] [6] Jean-Marc Jezequel, est Professeur d’informatique Ă  l’UniversitĂ© de Rennes 1 et directeur de l’IRISA. Il a reçu en 2016 la mĂ©daille d’argent du CNRS. Jean-Marc nous explique d’oĂč viennent ces petites bĂȘtes que sont les bugs qui rĂ©guliĂšrement nous dĂ©rangent dans nos activitĂ©s numĂ©riques et peuvent coĂ»ter cher
 et nous emmĂšne au fond des enjeux thĂ©oriques et techniques de cette dĂ©boguisation. Pierre Paradinas Photo Univ Rennes 1, Dircom/Cyril Gabbero Le processus de crĂ©ation du logiciel est assez extraordinaire. D’un cotĂ©, il est si facile d’écrire des programmes simples qu’un enfant de 6 ans peut, aprĂšs seulement quelques minutes de formation, dĂ©jĂ  rĂ©aliser des programmes spectaculaires avec des langages comme Logo ou Scratch. Mais d’un autre cotĂ©, il est si difficile d’écrire des programmes complexes que, fondamentalement, personne n’est capable d’écrire de grands programmes sans bugs. Pour Ă©crire un programme de 100 lignes de code source, la mĂ©thode ou le langage de programmation utilisĂ© n’a pas vraiment d’importance, et si vous Ă©chouez, vous pouvez tout simplement recommencer Ă  zĂ©ro Ă  trĂšs peu de frais. Cependant, il est bien connu depuis l’époque des annĂ©es 70 oĂč Fred Brooks a Ă©crit son livre The Mythical Man Month », que la rĂ©daction d’un programme de 100 000 lignes est beaucoup plus difficile que 1000 fois l’effort nĂ©cessaire pour Ă©crire un programme de 100 lignes. Courtesy of the Naval Surface Warfare Center, Dahlgren, VA., 1988. Naval History and Heritage Command Photograph. Catalog NH 96566-KN D’oĂč vient cette complexitĂ©, cause premiĂšre de l’occurrence de bugs » dans les programmes informatiques? En mettant de cĂŽtĂ© les vrais bugs » voir photo au dessus, les fautes de frappes et autres Ă©tourderies qui sont pour l’essentiel Ă©liminĂ©es Ă  la source dans les environnements de dĂ©veloppement modernes, nous pouvons classer leurs principales sources en 3 catĂ©gories fondamentales complexitĂ© inhĂ©rente, complexitĂ© due Ă  la taille, et complexitĂ© due Ă  l’incertitude. ComplexitĂ© inhĂ©rente des logiciels Cela est dĂ» aux racines du logiciel, comme expliquĂ© dans la thĂ©orie du calcul universel d’Alan Turing, Ă  l’origine de l’informatique. MĂȘme les programmes extrĂȘmement courts et simples peut ĂȘtre impossible Ă  prouver ou mĂȘme avoir des propriĂ©tĂ©s indĂ©cidables, c’est Ă  dire que l’on ne peut pas prouver qu’elles sont vraies, ni qu’elles sont fausses. Des choses trĂšs simples, comme savoir si une variable a une certaine valeur, ou si on va passer par une certaine instruction, ou si on va faire une division par 0 Ă  un moment donnĂ©, ne sont dans le cas gĂ©nĂ©ral, tout simplement pas prouvables. En d’autres termes, rĂ©pondre Ă  la question ce petit bout de code a-t-il un bug? » n’est en gĂ©nĂ©ral pas possible. C’est donc une limitation intrinsĂšque de la nature de ce qu’est un logiciel, pris en tant qu’objet mathĂ©matique. Petite illustration de la difficultĂ© Ă  prouver mĂȘme des programmes simples, issue de la conjecture de Syracuse. Prenons ce petit programme Lire une valeur positive Tant que n > 1 faire si n est pair alors n prend la valeur n / 2 sinon n prend la valeur 3 n + 1 Fin du tant que Sonner alarme Peut-on prouver que l’alarme est sonnĂ©e pour tout n ? En fait on ne sait pas si on peut le prouver, ni mĂȘme si c’est vrai car c’est une traduction informatique de la cĂ©lĂšbre conjecture de Syracuse. Mais si je suis ingĂ©nieur et que je dois me rassurer sur le fait que ce code n’a pas de bug, j’ai usuellement recours au test, c’est-Ă -dire que j’essaye pour diffĂ©rentes valeurs de n, et je regarde si l’alarme est sonnĂ©e Ă  chaque fois. Mais je n’aurai aucune certitude tant que je n’aurai pas essayĂ© toutes les valeurs, c’est Ă  dire pour une machine 32 bits, 2^31, soit environ 10 milliards de cas de tests pour ces malheureuses 6 lignes de code. Tester exhaustivement un logiciel un tant soit peu complexe est donc en pratique impossible. ComplexitĂ© due Ă  l’échelle. Un ĂȘtre humain a la capacitĂ© de le comprendre dans son intĂ©gralitĂ© un logiciel relativement petit, mais rapidement, quand celui-ci grandit, la comprĂ©hension complĂšte devient difficile. Ceci n’est, au contraire du cas prĂ©cĂ©dent, pas propre Ă  l’informatique, et se retrouve sous une forme ou une autre dans tout domaine d’ingĂ©nierie complexe. Il faut cependant savoir que les logiciels grandissent Ă  peu prĂšs d’un facteur 10 tous les 10 ans Ă  notre Ă©poque du Covid-19, tout le monde est maintenant familier avec la signification d’une croissance exponentielle. De plus, l’une des caractĂ©ristiques des logiciels est qu’ils relĂšvent des sciences discrĂštes le numĂ©rique » et non pas continues comme c’est gĂ©nĂ©ralement le cas en physique, sauf aux Ă©chelles quantiques. Ils peuvent ĂȘtre constituĂ©s de centaines de millions de piĂšces individuelles, toutes diffĂ©rentes, interagissant entre elles de maniĂšre complexe et non linĂ©aire, voire chaotique. C’est Ă  dire qu’un petit problĂšme, Ă  un moment donnĂ©, peut se propager et complĂštement mettre par terre l’ensemble du logiciel c’est le bug !, ce que l’on ne va pas trouver dans d’autres disciplines d’ingĂ©nierie beaucoup plus continues ce n’est pas parce qu’il y a un Ă©crou qui saute d’un pont que le pont va s’écrouler, alors que l’équivalent dans un logiciel peut faire s’écrouler l’ensemble voir Ă  ce propos E. Dijkstra. Dans cette dimension de complexitĂ©, Fred Brooks encore lui avait identifiĂ© deux sous-catĂ©gories la complexitĂ© essentielle et la complexitĂ© accidentelle. La premiĂšre est inhĂ©rente au problĂšme que le logiciel doit rĂ©soudre, et peut dĂ©couler, par exemple, de la variĂ©tĂ© des Ă©vĂ©nements ou des donnĂ©es d’entrĂ©e qui doivent ĂȘtre correctement traitĂ©s par le logiciel, ou encore de la criticitĂ© des fonctions qu’il doit rĂ©aliser, comme dans le cas des logiciels de contrĂŽle d’un avion commercial. La complexitĂ© accidentelle provient en revanche de choix technologiques inappropriĂ©es au contexte ou qui furent appropriĂ©s mais qui ne le sont plus, ce qui conduit Ă  des efforts humains importants voire dĂ©mesurĂ©s consacrĂ©s au dĂ©veloppement et Ă  la maintenance du logiciel. Le fiasco du logiciel de paye de l’armĂ©e française en est sans doute un exemple parmi tant d’autres. ComplexitĂ© due Ă  l’incertitude Cette dimension de complexitĂ©, n’ayant Ă  nouveau rien Ă  voir avec les deux premiĂšres, est liĂ©e au fait que les logiciels ne sont pas seulement des algorithmes abstraits, mais sont plongĂ©s dans le monde rĂ©el. Le raisonnement mathĂ©matique s’arrĂȘte Ă  la limite de ce passage dans le monde rĂ©el, puisque qu’il ne peut atteindre qu’un modĂšle du monde, et non la rĂ©alitĂ© de celui ci. Or dans le monde rĂ©el, les logiciels sont comme pris en sandwich entre d’une part la machine sur laquelle ils s’exĂ©cutent et d’autres part les humains qui les utilisent. Or il y a toujours un Ă©cart entre le logiciel et ce qu’on est capable de savoir formellement sur son environnement la rĂ©alitĂ© de la machine d’une part et la rĂ©alitĂ© de ce que veulent les humains d’autre part. En particulier sur les grands logiciels ayant de multiples parties prenantes, beaucoup d’utilisateurs aux mĂ©tiers trĂšs diffĂ©rents doivent interagir. Les exigences auxquelles doit se conformer le logiciel, notamment les rĂšgles commerciales ou juridiques et le comportement humain attendu sont gĂ©nĂ©ralement non seulement incomplĂštes mais encore Ă©voluent avec le temps. Cela conduit Ă  des exigences qui peuvent ĂȘtre floues, voire contradictoires, instables et donc source de malentendus. Ceci est en pratique la plus grande source de bugs des logiciels. Mais l’incertitude dans le dĂ©veloppement de logiciels provient aussi de nombreuses autres sources par exemple les hypothĂšses sur le monde dans lequel Ă©volue le logiciel sont gĂ©nĂ©ralement assez grossiĂšres, implicites, et sauf pour les projets les plus critiques avionique, centrales nuclĂ©aires
, ne prennent pas en compte de tous les cas particuliers. L’incertitude peut encore provenir de la machine sur laquelle s’exĂ©cute le logiciel, soit de maniĂšre inhĂ©rente pannes de matĂ©riel ou mĂȘme simples perturbations sur le rĂ©seau, ou accidentellement en raison, par exemple, de mauvaises interprĂ©tations ou de modifications des API. Ainsi mĂȘme un logiciel comme le compilateur CompCert prouvĂ© correct dans le monde abstrait ce qui est en soi une prouesse intellectuelle qui force le respect, se rĂ©vĂšle truffĂ© de bugs lorsqu’on le teste pour de vrai dans certains contextes un peu tordus les recoins glauques de la norme du langage C, ou les comportements surprenants de certaines architectures de processeurs. Et tout ceci sans mĂȘme compter les cyber-attaques et autres altĂ©rations malveillantes de l’environnement de notre logiciel. Ce tableau est bien sombre, mais bien sĂ»r les chercheurs et les ingĂ©nieurs ne sont pas restĂ©s les bras croisĂ©s devant ces difficultĂ©s. Pour faire face Ă  la complexitĂ© inhĂ©rente aux logiciels, on a inventĂ© toute une gamme de techniques allant de la preuve formelle complĂšte d’élĂ©ments de logiciels sous certaines hypothĂšses, Ă  la construction d’une forme de confiance avec des mĂ©canismes tels que la conception par contrat ou les tests unitaires, qui ne peuvent en aucun cas suffire, mais c’est dĂ©jĂ  bien mieux que ne rien faire. En raison de la capacitĂ© limitĂ©e de l’esprit humain personne ne peut comprendre pleinement un million de lignes de code, faire face Ă  la complexitĂ© due Ă  l’échelle ne peut se faire que par l’abstraction et la modularitĂ©. En effet si un programme d’un million de lignes est composĂ© de 10 modules, chacun composĂ© de 10 sous-modules, chacun composĂ© de 10 autres sous-modules, et chacun de ces modules de 1000 lignes de code, alors je peux Ă  la fois comprendre totalement » un module donnĂ© et comment il s’intĂšgre dans les 999 autres, Ă  condition d’avoir un rĂ©sumĂ© hiĂ©rarchisĂ© abstraction pour la comprĂ©hension de ces derniers ce qu’ils font, pas comment ils le font. Pour faire face Ă  la complexitĂ© due Ă  l’incertitude, il faut intĂ©grer la gestion de l’incertitude au processus de dĂ©veloppement, ce qui est par exemple en partie le cas des mĂ©thodes dites agiles », avec leurs retours frĂ©quents vers les utilisateurs finaux pendant la phase de dĂ©veloppement. Il faut aussi ĂȘtre capable d’anticiper correctement les zones des changements Ă©ventuels, en identifiant et en isolant ou du moins en rĂ©duisant le couplage avec les parties incertaines, et donc qui pourraient changer. C’est l’idĂ©e de la sĂ©paration des prĂ©occupations, ainsi que la gestion explicite des variations, selon les deux dimensions de l’espace existence de plusieurs variantes simultanĂ©es pour prendre en compte des particularitĂ©s locales ou des contradictions dans les exigences et du temps existence de versions successives. Sur ce dernier plan, les recherches actuelles portent sur le fait de donner de la flexibilitĂ© sur comment et quand peut ĂȘtre prise la dĂ©cision de choisir une variante dans le cycle de vie des logiciels au moment de la formulation des exigences domaine de l’ingĂ©nierie des exigences, au moment de la conception domaine des lignes de produit logiciels, ou au temps de l’exĂ©cution domaine des systĂšmes adaptatifs, avec Ă  l’intersection de ces deux domaines, le temps de la compilation, du chargement, et celui de la compilation Ă  la volĂ©e, dite Just In Time ». L’ensemble de ces dimensions forme ce que l’on appelle de nos jours les sciences du logiciel, qui, aux frontiĂšres des mathĂ©matiques et de l’ingĂ©nierie des systĂšmes complexes sont des domaines passionnants oĂč beaucoup reste encore Ă  dĂ©couvrir. Jean-Marc JĂ©zĂ©quel jmjezequel Pour en aller plus loin Le livre de Brooks Quel lien entre Covid 19 et 5G ? Des sites conspirationnistes tentent de rĂ©pondre Ă  la question en inventant une relation de causalitĂ© conduisant parfois Ă  des actes violents. Nos amis Jean-Jacques Quisquater et Charles Cuvelliez nous dĂ©crivent une consĂ©quence potentielle de la survenue de la pandĂ©mie au milieu des dĂ©bats sur le passage Ă  la 5G et l’utilisation d’équipements de la sociĂ©tĂ© chinoise Huawei. Le virus va-t-il faire pencher la balance du cotĂ© de l’interdiction ? Ou comment numĂ©rique, santĂ© et gĂ©opolitique se rejoignent. Pascal Guitton Les astres sont dĂ©sormais alignĂ©s pour permettre aux Etats-Unis de rĂ©aliser leur rĂȘve non seulement interdire Huawei et ZTE de leur marchĂ© mais enfin convaincre leurs alliĂ©s de faire de mĂȘme. Tous les pays Ă©voquent dĂ©sormais le retour sur leur sol du tissu industriel qu’ils ont laissĂ© filer en Chine dans un refrain unanime Plus jamais ça ! ». Ce n’est pas tellement l’espionnage qui devrait effrayer les Etats-Unis il suffit au fond de chiffrer tout ce qui transite par des Ă©quipements Huawei pour ĂȘtre tranquille. C’est plutĂŽt la menace que la Chine ordonne un jour Ă  Huawei ou menace d’arrĂȘter tous les rĂ©seaux tĂ©lĂ©com de son cru Ă  travers le monde en cas de conflit ou de tensions gĂ©opolitiques extrĂȘmes. Cette dĂ©pendance vis Ă  vis de l’étranger surprend dans le cas des Etats-Unis car, effectivement, ce pays si technologique ne dispose plus d’aucun Ă©quipementier tĂ©lĂ©com ils dĂ©pendent de Nokia et Ericsson et un peu de Huawei prĂ©sent au sein des rĂ©seaux opĂ©rateurs ruraux US. Comment est-on arrivĂ© lĂ  ? Les Etats-Unis hĂ©bergeaient pourtant les Bell Labs qui ont donnĂ© naissance Ă  Lucent. Ce dernier Ă©tait devenu l’équipementier attitrĂ© et neutre des opĂ©rateurs tĂ©lĂ©com amĂ©ricains un peu comme Siemens et Alcatel l’étaient en Europe. Pour le Canada, c’était Nortel, issu lui aussi des Bell Labs en 1949. Lucent a ratĂ© le virage internet la sociĂ©tĂ© pensait pouvoir dĂ©velopper son propre protocole. Lucent Ă©tait aussi leader dans les technologies de rĂ©seau optique avec Nortel et Ă©tait donc en pole position pour le boom d’Internet sauf que ces capacitĂ©s ont Ă©tĂ© dĂ©ployĂ©es bien plus vite que la demande. La bulle Internet du dĂ©but des annĂ©es 2000 en a rĂ©sultĂ©. Site des Laboratoires Bell Ă  Murray Hill – Extrait de WikiPedia Lucent possĂ©dait Ă©galement une technologie 3G supĂ©rieure avec le CDMA mais n’a pas rĂ©ussi Ă  capturer les marchĂ©s europĂ©en et asiatique qui avaient dĂ©jĂ  optĂ© pour la norme GSM et son successeur UMTS pour la 3G. Toutes ces opportunitĂ©s ratĂ©es ont amenĂ© leur lot de fusions et d’acquisitions Ericsson a absorbĂ© Nortel aprĂšs sa faillite en 2009. Nokia a acquis Motorola Solution en 2011, puis la partie tĂ©lĂ©com de Siemens. En 2006, Alcatel absorbait Lucent pour ĂȘtre finalement lui-mĂȘme absorbĂ© par Nokia ! Pendant ces temps douloureux, deux acteurs ZTE et Huawei Ă©mergeaient, au bon moment, juste aprĂšs la bulle Internet, en profitant du marchĂ© chinois qu’il fallait Ă©quiper. Qui allait imaginer que les lois anti-trusts aux Etats-unis en cassant ATT en 1982, allaient donner un avantage Ă©norme Ă  Huawei fondĂ© en 1987, ZTE 1985 et un peu Samsung 1938 ? Et qu’aujourd’hui, l’histoire se retourne en laissant les Etats-Unis les mains vides 
 Pour les AmĂ©ricains, interdire leur territoire Ă  Huawei n’est pas suffisant si la menace rĂ©sulte de la capacitĂ© Ă  stopper tous les rĂ©seaux Ă©quipĂ©s par Huawei Ă  travers le monde en cas de conflit. Les opĂ©rations militaires nord-amĂ©ricaines ne s’arrĂȘtent pas aux frontiĂšres de leur territoire. Et de rappeler, dans une Ă©tude amĂ©ricaine de la National Defense University, qui Ă©mane du dĂ©partement de la DĂ©fense US que les rĂ©seaux tĂ©lĂ©coms en Irak sont Ă©quipĂ©s par Huawei. Les États-Unis ne peuvent pas complĂštement se baser sur les satellites et dans le monde interconnectĂ© aujourd’hui, utiliser des fibres dans un pays ami » ne garantira pas que les communications ne passent pas par un Ă©quipement contrĂŽlĂ© par ZTE ou Huawei. Les alliĂ©s pas trĂšs partants Les pays alliĂ©s ont rĂ©pondu aux États-Unis en expliquant qu’ils localiseraient les Ă©quipements Huawei aux extrĂ©mitĂ©s du rĂ©seau et pas en son cƓur comme la France mais en 5G, la diffĂ©rence entre cƓur de rĂ©seaux et ses extrĂ©mitĂ©s est Ă©vanescente. Qui plus est, lorsqu’on passera Ă  la 5G qui fera plus que simplement augmenter la vitesse, le cƓur de rĂ©seau devra passer Ă  la 5G aussi. Les entreprises chinoises ont une longueur d’avance en innovation technologique sur la 5G, les AmĂ©ricains s’en dĂ©solent d’autant plus que leurs concurrents asiatiques planchent dĂ©jĂ  sur la 6G qui se greffera sur les Ă©quipements 5G qu’on installe aujourd’hui. C’est dire l’urgence Ă  trouver une alternative Ă  Huawei et ZTE pour les États-Unis. Des experts ont songĂ© Ă  priver Huawei des composants, toujours fournis par les AmĂ©ricains mais on sait la rĂ©silience des chinois Ă  se sortir de tels embargos. Ces Ă©quipements, de plus, ne sont plus fabriquĂ©s sur le sol nord-amĂ©ricain mais Ă  TaĂŻwan ! Quand les États-Unis envisagent de crĂ©er leur propre champion, ils ont en tĂȘte le programme Apollo lĂ  aussi, les SoviĂ©tiques avaient subitement acquis une avance technologique stratĂ©gique dans l’espace. Qu’à cela ne tienne l’implication du gouvernement amĂ©ricain a suffi Ă  crĂ©er une industrie de toute piĂšce qui a finalement damĂ© le pion Ă  l’URSS. Autres exemples la Silicon Valley elle aussi Ă©manation des programmes militaires de la fin de la seconde guerre mondiale ou encore Intelsat et Inmarsat Ă  l’origine de l’industrie du satellite qui rĂ©sultaient d’investissements d’état et sans compter Internet, un protocole qui devait rĂ©sister Ă  une dĂ©flagration nuclĂ©aire. Sauf qu’aujourd’hui, la politique amĂ©ricaine est plutĂŽt guidĂ©e par le slogan buy, don’t make ». C’est pourquoi les 3 options du gouvernement nord-amĂ©ricain sont, d’aprĂšs cette Ă©tude amĂ©ricaine 1 – Supporter les Ă©quipementiers tĂ©lĂ©coms europĂ©ens et sud-corĂ©ens car Samsung s’y est mis aussi ils sont fortement prĂ©sents aux États-Unis par leur filiales et le gouvernement nord-amĂ©ricain pourrait leur donner un coup de pouce via la fiscalitĂ©, des garanties d’Etat, les achats en masse pour stabiliser leurs finances et booster leur R&D. – Acheter Nokia ou Ericsson ou au moins une minoritĂ© de contrĂŽle. D’aprĂšs cette mĂȘme Ă©tude 1, Samsung n’est pas une cible car dĂ©tenant trop peu de parts de marchĂ©. La 5G n’est qu’une composante non autonome d’une stratĂ©gie globale de ces chaebols, le nom fleuri donnĂ© aux Ă©normes conglomĂ©rats corĂ©ens qui n’ont plus d’équivalent ailleurs dans le monde, qu’on ne peut sortir de ce fait de leur contexte. Ceci dit, les EuropĂ©ens pourraient s’y opposer maintenant qu’ils se sont rĂ©veillĂ©s face aux prises de participations Ă©trangĂšres de leurs champions. – CrĂ©er un consortium amĂ©ricain Ă  savoir par un jeu d’achats, d’investissement et de financement, ramener sous un mĂȘme toit les compĂ©tences locales diverses avec les brevets et la propriĂ©tĂ© intellectuelle dont d’ailleurs Nokia et Alcatel dĂ©pendent toujours pour crĂ©er un nouveau champion. Le gouvernement des États-Unis s’allierait avec des investisseurs. Nokia et Ericsson seraient Ă©videmment des partenaires ou des fournisseurs attitrĂ©s de ce consortium histoire de ne pas repartir Ă  zĂ©ro. On y associerait les entreprises des alliĂ©s des USA le rĂ©seau Five Eyes ainsi que l’Allemagne, la France, le Japon, la CorĂ©e. Le succĂšs dĂ©pendra des prix et des incitations Ă  travailler avec ce nouveau venu. Ce n’est pas gagnĂ©. Ce qui est clair, c’est que les États-Unis ne vont pas lĂącher le morceau. La crise qui s’annonce et qui va fragiliser le monde entier va certainement leur permettre de mettre en Ɠuvre une de ces stratĂ©gies en rĂ©ciprocitĂ© de services au sens large que leur demanderont d’autres pays. Jean-Jacques Quisquater UniversitĂ© de Louvain, Ecole Polytechnique de Louvain et MIT & Charles Cuvelliez UniversitĂ© de Bruxelles, Ecole Polytechnique de Bruxelles Pour en savoir plus 1 The Worst Possible Day Telecommunications and Huawei, By Thomas Donahue, PRISM Vol. 8, No. 3 GrĂące aux auteurs du Livre blanc sur la cybersĂ©curitĂ© qu’Inria a publiĂ© en 2019, nous vous proposons une sĂ©rie d’articles sur cette question majeure. Aujourd’hui, nous abordons les codes malveillants. De quoi s’agit-il ? Comment fonctionnent-ils ? Comment les dĂ©tecter et s’en protĂ©ger ? Partons Ă  leur dĂ©couverte. Pascal Guitton et Serge Abiteboul. Code malveillant Selon le Larousse, le terme de malveillant est synonyme de haineux – hostile – mĂ©chant – mĂ©disant – pervers – venimeux », il caractĂ©rise la volontĂ© de nuire Ă  autrui. Ainsi qualifiĂ©, le code c’est-Ă -dire le texte » constituĂ© par une suite de lignes d’instruction Ă©crites dans un langage de programmation donnĂ© est personnifiĂ©, presque vivant. Cette impression se renforce lorsque vous entendez que les codes ou logiciels malveillants cherchent Ă  attaquer des utilisateurs, des entreprises ou qu’un code malveillant se propage. Mais finalement, qu’est-ce qu’un code malveillant ? Comment savoir si vous ĂȘtes protĂ©gĂ©s ? Et de quoi d’ailleurs ? Retour sur le passĂ© Un des premiers codes qualifiĂ© de malveillant a Ă©tĂ© Ă©crit en 1986 par les frĂšres Alvi. Ce code a plus tard Ă©tĂ© nommĂ© Brain [Brain]. Les frĂšres Alvi souhaitaient avant tout lutter contre le piratage des logiciels qu’ils Ă©ditaient. Brain se trouvait sur les disquettes de distribution de leur logiciel et ne devait se dĂ©clencher que lorsque ce logiciel avait Ă©tĂ© illĂ©galement copiĂ©. Lorsque Brain s’exĂ©cutait, il ralentissait l’ordinateur, se recopiait sur toutes les disquettes vierges insĂ©rĂ©es dans l’ordinateur et affichait un message qui contenait les coordonnĂ©es de ses auteurs. Brain avait donc essentiellement pour but d’effrayer les pirates, il n’endommageait pas les donnĂ©es ou le systĂšme des utilisateurs, il ne volait pas non plus de donnĂ©es. Le code Brain est difficilement qualifiable de haineux – hostile – mĂ©chant – mĂ©disant – pervers » ou encore venimeux ». Il a Ă©tĂ© qualifiĂ© de malveillant ou plutĂŽt de virus car il avait la particularitĂ© de se propager automatiquement en dehors du contrĂŽle de ses dĂ©veloppeurs, en se copiant du PC infectĂ© aux disquettes insĂ©rĂ©es dans le lecteur. C’est cette capacitĂ© de rĂ©plication qui a conduit Ă  l’utilisation du mot virus ». Mais nous Ă©tions en 1986 ! Partie du code du virus Brain – extrait du site WikiPedia Et maintenant ? DĂ©finir ce qu’est un code malveillant n’est finalement pas si simple. On peut simplement dire qu’un code malveillant est un code qui a Ă©tĂ© dĂ©veloppĂ© dans le but de rĂ©aliser une action nuisible Ă  son utilisateur. Il y a des codes malveillants partout oĂč il y a des machines, des utilisateurs et le moyen de nuire Ă  au moins un utilisateur. Cette dĂ©finition est assez claire pour nous, humains. Mais pour une machine, ou plus prĂ©cisĂ©ment pour un programme anti-virus, en charge de la sĂ©curitĂ©, cette dĂ©finition est-elle exploitable ? HĂ©las, non. En fait, dĂ©cider si un code est malveillant ou non est un problĂšme dĂ©licat. Il faut souvent un expert humain pour analyser le code, observer les actions que ce code rĂ©alise, avant de pouvoir se prononcer. Pendant longtemps, il y a eu principalement des codes malveillants pour les machines Windows car ce systĂšme Ă©tait le plus largement utilisĂ©. Les Ă©diteurs de logiciels Ă©taient peu nombreux et les mises Ă  jour peu frĂ©quentes. Le travail d’expertise pouvait donc ĂȘtre rĂ©alisĂ©. Aujourd’hui, le systĂšme le plus largement rĂ©pandu est Android, sur nos tĂ©lĂ©phones mobiles. Le nombre d’applications, de dĂ©veloppeurs mais aussi de dĂ©veloppeurs malveillants a considĂ©rablement augmentĂ©. Pour suivre la cadence, il nous faut comprendre la diversitĂ© des malveillances. Comment peut-on nuire Ă  un utilisateur sous Android ? De nombreuses maniĂšres de nuire sont malheureusement Ă  la disposition des attaquants ! Un code malveillant contre Android atteint gĂ©nĂ©ralement sa cible en se dissimulant dans les applications que l’utilisateur tĂ©lĂ©charge lui-mĂȘme. Pour l’attaquant, c’est trĂšs simple les diffĂ©rents marchĂ©s regorgent d’applications et il peut donc rĂ©cupĂ©rer facilement une application saine, la modifier Ă  sa guise en insĂ©rant son code malveillant et la republier sur ce mĂȘme marchĂ© ou sur un marchĂ© alternatif, pour plus de discrĂ©tion. Le but de l’attaquant est souvent de gagner de l’argent. Ainsi, les premiers codes malveillants sous Android effectuaient par exemple des appels ou envoyaient des SMS Ă  des numĂ©ros de tĂ©lĂ©phone surtaxĂ©s. Les codes malveillants sont ensuite devenus plus agressifs allant jusqu’à prendre l’utilisateur en otage. Ainsi l’annĂ©e 2014 a vu l’apparition des premiers ransomware. Ces codes chiffrent les donnĂ©es de l’utilisateur les rendant ainsi inutilisables et exigent le paiement d’une rançon en Ă©change de la clĂ© de dĂ©chiffrement. Techniquement parlant, les ransomware n’ont rien d’une rĂ©volution. Il est possible de chiffrer des donnĂ©es utilisateurs automatiquement depuis bien avant 2014. Ce qui a engendrĂ© le succĂšs de cette attaque est l’émergence des rĂ©seaux anonymes et surtout de moyens de paiement anonymes comme les bitcoins. Contrairement Ă  prĂ©cĂ©demment, l’attaquant a alors disposĂ© de moyens techniques simples lui permettant de se faire payer sans ĂȘtre facilement identifiĂ©. Parfois aussi le tĂ©lĂ©phone de l’utilisateur est pris comme cible car il reprĂ©sente une ressource informatique que l’attaquant pourra ensuite exploiter. Ainsi l’attaquant peut chercher Ă  prendre le contrĂŽle d’un grand nombre de tĂ©lĂ©phones pour former un grand rĂ©seau qu’il pourra ensuite utiliser pour mener des attaques de plus grande ampleur. En 2019, par exemple, des travaux des chercheurs de l’universitĂ© de Prague ont permis de mettre Ă  jour Geost, un rĂ©seau estimĂ© Ă  plus de 800 000 pĂ©riphĂ©riques Android contrĂŽlĂ©s Ă  distance. Ces pĂ©riphĂ©riques deviennent ce qu’on appelle des bots, ordinateurs Ă  la solde de l’attaquant. Chaque utilisateur Ă©tait espionnĂ© et ses opĂ©rations bancaires remontĂ©es Ă  l’un des serveurs de contrĂŽle du rĂ©seau de bots botnet. Un tel botnet permet de lancer des attaques coordonnĂ©es. Parfois, ce service est Ă  louer vous pouvez vous payer, pour quelques centaines d’euros par jour, des attaques contre un site web qui sera la cible de centaines de milliers de bots Android, qui le submergeront de requĂȘtes on parle d’attaque en dĂ©ni de service distribuĂ©. Le site en question, dĂ©bordĂ©, ne sera alors plus disponible pour les utilisateurs. Article prĂ©sentant le rĂ©seau Geost – Image extraite de [1]Clairement, ces cas de malveillance sont dirigĂ©s contre l’utilisateur, mais parfois ce n’est pas l’utilisateur lui-mĂȘme qui est visĂ© mais l’ensemble du systĂšme qui est escroquĂ©. De nombreux dĂ©veloppeurs de l’écosystĂšme Android proposent des applications gratuites et se rĂ©munĂšrent grĂące Ă  la publicitĂ©. Certains dĂ©veloppeurs peuvent ĂȘtre tentĂ©s de frauder pour augmenter leur rĂ©munĂ©ration. Par exemple, l’entreprise Cheetah Mobile qui Ă©dite le logiciel Clean Master, un logiciel de nettoyage de fichiers inutiles, s’est fait Ă©pingler en 2018 pour avoir dĂ©tournĂ© le paiement liĂ© au clic d’une publicitĂ© installant cette application [Silverman]. Au lieu de rĂ©munĂ©rer le vrai clic effectuĂ© sur la banniĂšre publicitaire, l’application rĂ©munĂ©rait le rĂ©seau de publicitĂ© liĂ© Ă  Cheetah Mobile. Dans ce cas prĂ©cis, l’utilisateur n’était donc pas menacĂ© ; c’est la rĂ©gie publicitaire ayant permis d’installer l’application qui Ă©tait escroquĂ©e. D’ailleurs, aucun anti-virus n’a criĂ© au loup lors de l’analyse de l’application Clean Master de 2018. Cette application n’est pas assez dangereuse pour ĂȘtre dĂ©clarĂ©e malveillante. Des exemples similaires sont lĂ©gion. L’utilisation de publicitĂ©s rĂ©munĂ©ratrices est classique dans les applications mobiles. La fraude Ă  la publicitĂ© intempestive, en taille, en frĂ©quence ou en toute autre interprĂ©tation possible du mot intempestif », gangrĂšne le systĂšme. Ainsi, un autre exemple Ă  la limite de la malveillance a Ă©tĂ© dĂ©montrĂ© par plusieurs chercheurs en sĂ©curitĂ© en 2018. Il s’agit de surveiller les utilisateurs Ă  l’aide d’ultrasons, captĂ©s par une application compagnon s’exĂ©cutant sur leur tĂ©lĂ©phone mobile. Ce procĂ©dĂ© permet de repĂ©rer finement un utilisateur dans des couloirs ou des piĂšces d’un bĂątiment. Cette mĂȘme annĂ©e, la startup Fidzup mettait en ligne l’application La Vache Noire » pour le pistage des utilisateurs dans un centre commercial parisien [Cunche]. A l’aide d’ultrasons, on peut repĂ©rer le consommateur dans le centre commercial et envoyer la bonne publicitĂ© au bon moment. Malveillance ? Marketing un peu trop sauvage ? L’application n’est plus disponible pour qu’on puisse l’analyser et rĂ©pondre Ă  cette question et la startup Fidzup qui la produisait a mis la clef sous la porte fin 2019, pointĂ©e du doigt par la CNIL [Loye]. Pourquoi y a-t-il encore des codes malveillants ? Pour Ă©liminer un code malveillant, il faut tout d’abord ĂȘtre capable de l’identifier rapidement. Ensuite, pour les codes les plus agressifs, il faut comprendre oĂč et comment il s’est propagĂ© afin de nettoyer totalement les pĂ©riphĂ©riques. Les Ă©diteurs d’anti-virus maintiennent Ă  jour des bases de signatures. Une signature doit permettre de reconnaĂźtre du code malveillant dĂ©jĂ  connu, Ă  coup sĂ»r. Elle doit aussi ĂȘtre rapide Ă  calculer. Une signature peut ĂȘtre un petit extrait du code binaire ou une empreinte de l’application. Une empreinte est un calcul sur tous les bits de l’application la rĂ©duisant Ă  quelques octets singuliers. Ces empreintes peuvent ĂȘtre rapidement calculĂ©es Ă  l’installation de nouvelles applications. Si l’empreinte est retrouvĂ©e dans la base de l’anti-virus, l’application est reconnue et on peut stopper l’installation, ce qui est relativement simple. Le vrai problĂšme est plutĂŽt de surveiller en continu les marchĂ©s d’applications pour dĂ©tecter les nouveaux codes malveillants. C’est lĂ  que le jeu commence. D’un cotĂ©, les Ă©diteurs d’anti-virus vont devoir ĂȘtre trĂšs efficaces pour analyser rapidement de trĂšs nombreuses applications. De l’autre, les auteurs de codes malveillants ont Ă  leur disposition de nombreuses mĂ©thodes de camouflage pour Ă©chapper Ă  la dĂ©tection. Ils peuvent par exemple retarder de quelques heures ou jours l’exĂ©cution du code malveillant. Ils peuvent chiffrer ce code, et le dĂ©chiffrer au moment de l’exĂ©cution uniquement, et le supprimer juste aprĂšs. Si le tĂ©lĂ©phone est connectĂ© Ă  internet, ce qui est probable, ils peuvent tĂ©lĂ©charger le code malveillant pour l’exĂ©cuter et le supprimer ensuite. Toutes ces mĂ©thodes de camouflage, simples Ă  mettre en Ɠuvre, rendent fastidieuse l’investigation des Ă©diteurs d’anti-virus. Ceux qui sont censĂ©s nous protĂ©ger nous arnaquent La fraude est partout, dormez tranquilles braves gens, nous veillons. Pourtant, l’histoire se rĂ©pĂšte pour Clean Master cette application de nettoyage intĂ©grant petit Ă  petit des fonctionnalitĂ©s d’antivirus se voit bannie du Play Store en mars 2020. Pourquoi ? Trop d’exfiltrations de donnĂ©es personnelles. Cependant, pour protĂ©ger l’utilisateur, il faut bien analyser ce qu’il fait, quel site il visite et ce qu’il tĂ©lĂ©charge. C’est vrai, mais nous touchons du doigt ce que la nouvelle rĂ©glementation europĂ©enne a transcrit dans le RGPD par le principe de minimisation des donnĂ©es seules les donnĂ©es nĂ©cessaires au fonctionnement de l’opĂ©ration peuvent faire l’objet d’un traitement, et encore faut-il que ce traitement soit proportionnĂ© Ă  la finalitĂ© envisagĂ©e. Le stockage sur des serveurs de l’ensemble des donnĂ©es visitĂ©es n’est pas un traitement proportionnĂ© au regard de la finalitĂ©, le filtrage des codes malveillants. Il en rĂ©sulte que le code de Clean Master envoyant les donnĂ©es de navigation brutes hors du tĂ©lĂ©phone mobile peut ĂȘtre qualifiĂ© de malveillant. GĂȘnant, pour un antivirus. Et que pensent de Clean Master ses confrĂšres antivirus ? Actuellement, ils ne considĂšrent pas que Clean Master contienne du code malveillant. Il ne faut sans doute pas trop se tirer dans les pattes entre confrĂšres. Une autre explication possible est peut-ĂȘtre que cette malveillance ne l’est pas assez pour qu’elle soit pointĂ©e du doigt. Mais alors que faire ? Restez confinĂ©s ! Euh non, confinez plutĂŽt vos applications en ne leur accordant que les stricts droits nĂ©cessaires Ă  leur fonctionnement, on minimise leur impact potentiel en cas de malveillance [Youngren]. Une application de vente de spectacles veut vous gĂ©olocaliser ? Elle insiste ? C’est une application mal programmĂ©e. La recommandation officielle est de respecter le choix de l’utilisateur, de l’informer du traitement et de la finalitĂ© des donnĂ©es personnelles collectĂ©es. Retirer une permission Ă  une application, c’est la confiner. Donner des droits administrateurs, c’est donner les permissions les plus sensibles au dĂ©veloppeur. C’est dĂ©lĂ©guer sa propre sĂ©curitĂ©. Ce n’est clairement pas une bonne idĂ©e. Installez, installez, et confinez ! Jean-François Lalande & ValĂ©rie Viet Triem Tong CentraleSupĂ©lec & Inria RĂ©fĂ©rences bibliographiques [Brain] [Cunche] Mathieu Cunche, Leonardo Cardoso. Analysis of an Ultrasound-Based Physical Tracking System, 2018. [Silverman] Craig Silverman, These Hugely Popular Android Apps Have Been Committing Ad Fraud Behind Users’ Backs, 26 novembre, 2018. [Loye] Deborah Loye, Fidzup tire le rideau et accuse la CNIL de l’avoir tuĂ©, Les Ă©chos, 6 fĂ©vrier 2020. [Youngren] Jan Youngren, Free antivirus apps requesting huge amounts of dangerous permissions they don’t need, 6 novembre 2019. Dans le contexte de la crise sanitaire, les escrocs ne se mettent pas au chĂŽmage. Les cyberattaques se multiplient au contraire, visant mĂȘme parfois le systĂšme de santĂ©. Bruno Teboul et Thierry Berthier nous parlent des risques que courent les TPE-PME, les grands groupes, les collectivitĂ©s territoriales, et les individus. cybersĂ©curitĂ© vigilance ClĂ©mentine Maurice et Serge Abiteboul Alors que le gouvernement français dĂ©roule son plan de lutte contre la propagation du Coronavirus, les entreprises et les administrations incitent leurs salariĂ©s Ă  privilĂ©gier le travail Ă  distance lorsque cela est possible. Par principe, les options du tĂ©lĂ©travail et du tĂ©lĂ©enseignement vont ralentir la diffusion du virus tout en garantissant la continuitĂ© d’activitĂ© des entreprises et des administrations. Une fois cette option choisie, les gĂ©nĂ©ralisations momentanĂ©es du tĂ©lĂ©travail, des tĂ©lĂ©-transactions, des tĂ©lĂ©consultations et du tĂ©lĂ©enseignement vont mettre Ă  l’épreuve l’ensemble des infrastructures numĂ©riques du pays. Certaines n’ont pas Ă©tĂ© dimensionnĂ©es pour encaisser une montĂ©e en charge brutale alors que d’autres passent Ă  l’échelle facilement. Dans les zones gĂ©ographiques rurales, les questions des dĂ©bits internet insuffisants, du non-dĂ©ploiement de la fibre ou de l’absence de couverture compliquent considĂ©rablement la transition vers le tĂ©lĂ©travail. Ces disparitĂ©s territoriales mettent en lumiĂšre la fameuse fracture numĂ©rique, dĂ©jĂ  difficilement subie en temps de paix sanitaire par les habitants concernĂ©s, mais encore plus difficilement acceptĂ©e en temps de crise et d’isolement forcĂ©. L’école Ă  distance, l’UniversitĂ© en mode remote » sont des merveilleux concepts sur le papier que nous allons tester en vraie grandeur dans les prochaines semaines. Bien entendu, nous devons relativiser ces potentielles difficultĂ©s techniques face aux drames humains en cours et face Ă  la pression croissante que le secteur de la santĂ© doit encaisser. Au-delĂ  du bilan sanitaire, cette crise pandĂ©mique agit Ă©galement comme un impitoyable rĂ©vĂ©lateur de la robustesse ou de la fragilitĂ© des organisations, des systĂšmes et des infrastructures. Elle vient nous rappeler, au passage, que nous ne sommes jamais Ă  l’abri des cygnes noirs si bien dĂ©crits par Nassim Nicholas Taleb * en 2010 et qu’il convient de raisonner en termes de risques acceptables. Le travail Ă  distance gĂ©nĂ©ralisĂ© et l’utilisation des moyens numĂ©riques au service de l’entreprise en dehors de ses murs Ă©tendent considĂ©rablement le pĂ©rimĂštre du risque cyber. La distribution de ce risque est loin d’ĂȘtre uniforme. Certaines structures vont ĂȘtre plus exposĂ©es que d’autres, c’est la raison pour laquelle il convient de bien distinguer les contextes et d’identifier les points chauds ». Pour les entreprises habituĂ©es aux mĂ©canismes du tĂ©lĂ©travail, la transition se fera dans une relative sĂ©rĂ©nitĂ© renforcĂ©e par l’expĂ©rience acquise et des bonnes pratiques mises en place. Les tĂ©lĂ©travailleurs habituels auront moins de mal Ă  s’adapter Ă  plusieurs semaines d’isolement en maintenant leur activitĂ© sans prise de risque supplĂ©mentaire. Dans les grands groupes, le RSSI responsable de la sĂ©curitĂ© des systĂšmes d’information a peut-ĂȘtre mis en place un plan de continuitĂ© d’activitĂ© qui intĂšgre les situations de travail Ă  domicile, souvent Ă  partir des machines de l’entreprise dotĂ©es de bonnes protections. Le transfert de donnĂ©es sensibles entre le travailleur postĂ© Ă  son domicile et le systĂšme d’information de son entreprise pourra ĂȘtre sĂ©curisĂ© via du chiffrement et les systĂšmes utilisĂ©s auront Ă©tĂ© mis Ă  jour OS, antivirus, clients de messagerie, plateformes pro dĂ©portĂ©es. Les choses se compliquent lorsque l’entreprise est une TPE-PME ou une grande entreprise, avec peu d’expĂ©rience dans la gestion d’employĂ©s en tĂ©lĂ©travail. Le contexte typique est celui d’une TPE-PME qui n’a pas les moyens d’avoir de spĂ©cialiste de sĂ©curitĂ© ou de faire appel Ă  des entreprises spĂ©cialisĂ©es pour cela, qui ne dispose pas de plan de continuitĂ© d’activitĂ© et dont le systĂšme d’information n’est protĂ©gĂ© que par des outils de cybersĂ©curitĂ© basiques. Le basculement de la majoritĂ© des salariĂ©s vers le tĂ©lĂ©travail modifie la trajectoire des donnĂ©es, leur flux entrant et sortant. La partie des donnĂ©es qui est traitĂ©e en interne en fonctionnement normal est amenĂ©e Ă  sortir du systĂšme d’information et Ă  transiter sur des postes Ă  distance. C’est cette modification des flux de donnĂ©es qui crĂ©Ă© de la vulnĂ©rabilitĂ© et qui engendre un risque accru de captation, d’exfiltration ou de destruction de donnĂ©es sensibles pour l’entreprise. Dans ce contexte dĂ©gradĂ©, le risque d’usurpation d’identitĂ©, de fraude au PrĂ©sident, de fraude au faux virement, au faux fournisseur ou au faux support technique augmente considĂ©rablement. Il est important de sensibiliser les salariĂ©s travaillant Ă  distance et de leur signaler qu’ils deviennent des cibles privilĂ©giĂ©es pour les attaquants. Les collectivitĂ©s territoriales sont Ă©galement concernĂ©es par l’augmentation du risque cyber induit par la distanciation sociale ». Les attaquants savent parfaitement exploiter les contextes dĂ©gradĂ©s et les vulnĂ©rabilitĂ©s crĂ©Ă©es par une situation d’urgence pour monter des opĂ©rations lucratives. Chacun doit savoir qu’il n’y aura aucune trĂȘve durant ces semaines de confinement forcĂ©. Au titre individuel, nous pouvons tous devenir une cible de fraude via nos boites mails, en recevant un avis de colis recommandĂ© urgent contenant un lien malveillant, un avis de trop perçu, une alerte de rĂ©sultat d’analyse mĂ©dicale en ligne, un avis de facture urgente Ă  rĂ©gler ou un message envoyĂ© par un ami » qui vous indique qu’il a Ă©tĂ© testĂ© positif au Coronavirus et qui vous demande de l’aide en ligne
 L’environnement de crise est propice Ă  la mise en place d’architectures de donnĂ©es fictives immersives destinĂ©es Ă  tromper une cible et Ă  la faire agir contre ses intĂ©rĂȘts. Dans tous les cas, il faut rester vigilant. Les premiers cas de cyberfraude ont Ă©tĂ© enregistrĂ©s en Italie et en Suisse. Des rĂ©ponses se mettent en place. Par exemple, L’ANSSI sensibilise et transmet des recommandations de sĂ©curitĂ© Ă  destination des collectivitĂ©s territoriales. Et des spĂ©cialistes de cybersĂ©curitĂ© mettent gratuitement leurs services Ă  disposition des entreprises exposĂ©es pour le durĂ©e de confinement. L’épreuve pandĂ©mique sans prĂ©cĂ©dent que nous traversons aujourd’hui doit nous rendre plus rĂ©silient et plus prudent face Ă  la montĂ©e des menaces. Notre plasticitĂ© cĂ©rĂ©brale et nos capacitĂ©s cognitives devraient nous y aider ! Bruno Teboul est Docteur de l’UniversitĂ© Paris-Dauphine, spĂ©cialiste de Philosophie et de Sciences Cognitives. Chercheur associĂ© Ă  l’UniversitĂ© de Technologie de CompiĂšgne Costech. Il a Ă©tĂ© le cofondateur de la Chaire Data Scientist de l’École polytechnique. Entrepreneur et directeur Conseil, Data, IA & Blockchain dans plusieurs ESN en France. Il est membre du groupe SĂ©curitĂ© Intelligence Artificielle » du Hub France IA. . Thierry Berthier est MaĂźtre de confĂ©rences en mathĂ©matiques. Il est chercheur associĂ© au CREC Saint-Cyr et Ă  la Chaire de cyber dĂ©fense Saint-Cyr. Expert en cybersĂ©curitĂ© & cyberdĂ©fense, Il copilote le groupe SĂ©curitĂ© Intelligence Artificielle » du Hub France IA. Il est par ailleurs cofondateur des sites VeilleCyber, SĂ©curitĂ©IA et fondateur du blog Cyberland Thierry Berthier et Bruno Teboul sont les auteurs de l’ouvrage From digital traces to algorithmic projections » publiĂ© en 2018 aux Ă©ditions ISTE Wiley & Elsevier, et en version française. * Dans notre sĂ©rie Le divulgĂącheur, nous avons le plaisir de vous proposer un article publiĂ© en collaboration avec nos d’Interstices. Ils ont demandĂ© Ă  Jean-Louis Lanet Directeur du Laboratoire Haute SĂ©curitĂ© Ă  l’Inria Rennes de dĂ©crypter les aspects liĂ©s Ă  la collecte et Ă  l’analyse des donnĂ©es dans le film consacrĂ© Ă  Edward Snowden. Pascal Guitton Il y a eu un avant et un aprĂšs l’affaire Snowden », on ne pourra plus dire qu’on ne savait pas
 DĂ©cortiquons quelques aspects du film sur le lanceur d’alertes ! Sorti en 2016, Snowden, le film d’Oliver Stone, relate un fragment de la vie du lanceur d’alertes Edward Snowden. Celui-ci semble rĂ©aliser son rĂȘve lorsqu’il rejoint les Ă©quipes de la CIA puis de la NSA aprĂšs un passage ratĂ© dans l’armĂ©e. Il dĂ©couvre que les services de renseignements de l’Agence nationale de la sĂ©curitĂ© amĂ©ricaine NSA collectent massivement les donnĂ©es et pistent toutes les formes de tĂ©lĂ©communications Ă  une Ă©chelle planĂ©taire. Il dĂ©cide alors de rendre public ce viol de la constitution amĂ©ricaine le quatriĂšme amendement par les services de l’État. On aime ou on n’aime pas ce qu’a fait Snowden, lĂ  n’est pas la question. L’affaire Snowden aura au moins eu le mĂ©rite d’éveiller une prise de conscience collective. Auparavant, lorsqu’on disait Ă  nos Ă©tudiants de faire attention Ă  leurs traces numĂ©riques laissĂ©es sur Internet, au mieux on recevait un sourire goguenard encore un enseignant qui a lu Georges Orwell !. Maintenant, au moins, ils ne peuvent plus dire qu’ils ne savaient pas utiliser un objet numĂ©rique laisse des traces qui peuvent un jour ĂȘtre utilisĂ©es contre vous. Ces traces sont collectĂ©es de votre plein grĂ© ou non. En effet, aprĂšs une recherche sur Google, la publicitĂ© devient ciblĂ©e car le contenu de votre requĂȘte a Ă©tĂ© analysĂ© et monĂ©tisĂ© aprĂšs une mise aux enchĂšres. Vous laissez aussi des traces involontairement via votre tĂ©lĂ©phone sur les bornes de tĂ©lĂ©communications les stations de base. On suit votre tĂ©lĂ©phone oĂč qu’il aille mais aussi votre carte bancaire, vos billets d’avion ou de train depuis mai 2019. Vous offrez vos empreintes digitales Ă  votre tĂ©lĂ©phone, votre voix Ă  votre assistant vocal et vos goĂ»ts personnels Ă  Facebook. Ce rĂ©seau social vous invite mĂȘme Ă  tagger » vos amis ou vos connaissances, c’est-Ă -dire Ă  participer Ă  l’identification des diffĂ©rentes photos de vos amis. Vous vous transformez ainsi en assistant de cette surveillance. S’il n’était pas Ă©vident que nous vivions dans un monde de surveillance globale avant les rĂ©vĂ©lations d’Edward Snowden, la chose est indĂ©niable aujourd’hui. Le film traite de trois aspects diffĂ©rents la collecte de donnĂ©es, l’analyse de ces donnĂ©es et le cadre lĂ©gal de la surveillance. Dans cet article, nous allons revenir sur les deux premiers points relevant de la cybersĂ©curitĂ©, la collecte et l’analyse de nos traces. La collecte de donnĂ©es Le film montre avec beaucoup de prĂ©cision comment l’agence obtient les donnĂ©es brutes soit par ses propres logiciels, soit Ă  travers la collaboration ou la connexion directe avec les grandes entreprises de tĂ©lĂ©communications ou les fournisseurs d’accĂšs Ă  Internet comme AT&T, Verizon, Google, Microsoft et Facebook. Tous les citoyens voient ainsi leurs donnĂ©es collectĂ©es mais en plus, ils font l’objet d’une surveillance continue. Cette surveillance est devenue de plus en plus visible Ă  travers l’omniprĂ©sence des camĂ©ras dans les rues, l’identification automatique des automobiles, l’utilisation de cartes de crĂ©dit et de cartes de fidĂ©litĂ©. Les mĂ©dias sociaux sont devenus une partie dominante du Web, facilitant la surveillance des usagers Ă  une Ă©chelle inimaginable auparavant. Dans le film, on voit que l’analyse des connaissances les contacts du tĂ©lĂ©phone, des rĂ©seaux sociaux permet de dresser un graphe des relations. Au-delĂ  des empreintes laissĂ©es, il est possible d’obtenir en temps rĂ©el d’autres informations. ArrĂȘtons-nous par exemple sur la scĂšne oĂč la belle-sƓur du financier rentre chez elle le soir, pose son ordinateur portable et commence Ă  se dĂ©shabiller. À distance, la NSA allume la webcam, le micro et observe. Un fantasme de voyeur ? HĂ©las non, ce n’est pas de la fiction, c’est la dure rĂ©alitĂ© de la cybersĂ©curitĂ©. Bienvenue dans un monde oĂč la technologie ne travaille pas toujours pour les citoyens et citoyennes. DĂ©cortiquons ensemble quelques scĂšnes emblĂ©matiques. Au dĂ©but du film, lorsque Snowden reçoit les journalistes, il procĂšde Ă  une Ă©trange cĂ©rĂ©monie il place les tĂ©lĂ©phones cellulaires dans un four Ă  micro-ondes. Il ne veut pas que l’agence Ă©coute ce qu’ils se disent. Il s’agit des moyens d’écoute Ă  travers les terminaux des usagers. Lorsqu’un logiciel espion est installĂ© sur votre tĂ©lĂ©phone, quelqu’un peut vous Ă©couter, prendre des photos et vous suivre Ă  la trace — cela est Ă©galement vrai de Facebook me direz-vous. Seule solution pour Snowden placer le tĂ©lĂ©phone dans une enceinte hermĂ©tique aux ondes afin que, si le tĂ©lĂ©phone est sous contrĂŽle, il ne puisse communiquer avec l’agence. J’ai mis mon tĂ©lĂ©phone dans mon four Ă  micro-ondes sans allumer le four bien entendu pour vĂ©rifier quatre barres de rĂ©seau, juste parfait. DĂ©solĂ© Edward, mais un four Ă  micro-ondes est bien une cage de Faraday c’est-Ă -dire qu’elle est conçue pour que les ondes gĂ©nĂ©rĂ©es par le four ne s’échappent pas dans la cuisine. On peut parler d’un piĂšge Ă  ondes fonctionnant dans les deux sens, elles ne peuvent ni entrer ni sortir. Cependant, la cage est optimisĂ©e pour les ondes du four. Pour la soupe Ă  rĂ©chauffer, aucun intĂ©rĂȘt d’empĂȘcher les ondes radio de France Inter d’entrer dans le four. Donc, cette cage ne laisse pas sortir ni entrer les ondes du four, qui Ă©met Ă  GHz alors que le tĂ©lĂ©phone Ă©met sur la bande des 900 MHz. LĂ , c’est Hollywood qui prend le pas sur la rĂ©alitĂ©. Edward, il fallait Ă©teindre les tĂ©lĂ©phones et retirer les batteries, ou bien ne pas introduire les tĂ©lĂ©phones dans l’hĂŽtel. Quand sa fiancĂ©e lui demande ce qu’il fait au dĂ©partement, elle ajoute une information intĂ©ressante Ă  chaque fois que tu visitais mon site web, tu avais une adresse IP en Virginie alors que le dĂ©partement d’État n’a pas de bureau en Virginie ». Effectivement, il est possible de rĂ©aliser facilement une gĂ©olocalisation via l’adresse IP, ce qui fait que l’on peut dire qu’un appareil ayant une telle adresse est localisĂ© dans une zone. Mais ce qu’on localise de cette façon, c’est l’appareil disposant de cette adresse. Or l’adresse est rarement fixe, elle est rĂ©attribuĂ©e dynamiquement essayez donc de redĂ©marrer votre box Internet sans la dĂ©placer puis vĂ©rifiez votre adresse IP. Il serait donc impossible de savoir appairer un ordinateur avec une adresse ? LĂ  intervient la notion d’empreinte d’un ordinateur. Un ordinateur possĂšde une empreinte qui est unique, votre ordinateur est diffĂ©rent du mien. Pour vous en convaincre, dĂ©posez votre empreinte sur le site AmIUnique. La liste des webcam, micro et haut-parleur connectĂ©s sur ma machine ou ayant un jour Ă©tĂ© connectĂ©s me rend unique sur ce seul critĂšre. À partir de lĂ , dĂšs que je me connecte sur un site web, plus besoin de cookies, je suis reconnaissable, mais pas encore identifiable. Mais si je me connecte sur un rĂ©seau social comme LinkedIn, je deviens identifiable. On peut alors associer mon identitĂ© Ă  mon ordinateur. Et Edward dans tout cela ? Il se connecte toujours avec la mĂȘme machine personnelle, mĂȘme sur les serveurs de la NSA. Donc, oĂč qu’il soit dans le monde dĂšs qu’il se connecte, la NSA doit ĂȘtre en mesure de le retrouver immĂ©diatement en l’ayant gĂ©olocalisĂ© et identifiĂ©. Et lĂ , Hollywood nous laisse croire qu’il peut rester plusieurs jours Ă  l’hĂŽtel Mira de Hong Kong sans ĂȘtre repĂ©rĂ©. On voit donc qu’il est possible d’identifier une machine parmi des millions. Mais ensuite, que peut-on en extraire comme information ? Avec son collĂšgue le geek » de la NSA, ils regardent en direct la belle-sƓur du financier qui se dĂ©vĂȘt dans sa chambre. Une camĂ©ra espion posĂ©e par des plombiers ? Non, juste la webcam de l’ordinateur mĂȘme pas allumĂ©e. La technique utilisĂ©e est connue sous le nom de RAT pour Remote Access Tool qui permet de prendre le contrĂŽle Ă  distance de votre terminal. L’objectif, en ayant installĂ© un tel logiciel gĂ©nĂ©ralement non repĂ©rable, est d’avoir accĂšs Ă  tous les pĂ©riphĂ©riques de votre terminal le gestionnaire de fichiers, le microphone, la camĂ©ra, la gĂ©olocalisation
 Non, ce n’est pas Hollywood, lĂ  c’est malheureusement la vraie vie. Ces logiciels sont disponibles en accĂšs libre pour certains, monĂ©tisĂ©s pour d’autres. Donc si c’est disponible pour le grand public, imaginez ce qui est rĂ©servĂ© Ă  la NSA. D’ailleurs, rĂ©cemment, le grand patron d’un GAFA s’est fait pirater son tĂ©lĂ©phone cellulaire et Ă©couter, comme la chanceliĂšre allemande aussi il y a quelques annĂ©es. Il est clair que les ordinateurs individuels sont trĂšs surveillĂ©s, mais ils ne reprĂ©sentent que peu de chose par rapport Ă  l’ensemble des supports Ă©lectroniques de contrĂŽle, qui eux aussi sont attaquables avec des enjeux stratĂ©giques importants. La NSA tient une rĂ©union avec des officiels japonais qui ne semblent pas trĂšs contents ils apprennent qu’ils sont surveillĂ©s depuis des annĂ©es. De toute maniĂšre, le collĂšgue d’Edward lui annonce qu’ on a introduit des logiciels dormants dans leurs infrastructures comme les hĂŽpitaux, barrages, centrales Ă©lectriques
 de façon Ă  ce que le jour oĂč le Japon n’est plus allié  le terrorisme c’est une excuse. Le vrai enjeu, c’est le contrĂŽle Ă©conomique et social ». C’est une Ă©vidence et les États-Unis ne sont plus les seuls Ă  jouer Ă  ce jeu. L’an passĂ©, la sociĂ©tĂ© ARM a emboitĂ© le pas Ă  Google et Microsoft en cessant sa collaboration avec la sociĂ©tĂ© Huawei afin de satisfaire les derniĂšres rĂ©glementations du gouvernement amĂ©ricain. Or, il n’y a jamais eu d’explications des raisons pour lesquelles le gouvernement pense que Huawei est une menace, en grande partie Ă  cause des intĂ©rĂȘts de la sĂ©curitĂ© nationale. Huawei est l’un des principaux fournisseurs d’infrastructure rĂ©seau essentiellement, le matĂ©riel auquel votre tĂ©lĂ©phone se connecte, aux cĂŽtĂ©s d’Ericsson et de Qualcomm, mais largement en avance sur tous pour la 5G. Une grande partie des preuves restent difficiles Ă  Ă©tablir. Cependant, ce type d’équipement, Ă  l’instar de nos ordinateurs, fait des mises Ă  jour dynamiquement. Et donc un Ă©quipement au dessus de tout soupçon au moment de son installation pourrait facilement ĂȘtre corrompu lors d’une mise Ă  jour. Un logiciel espion peut donc ĂȘtre dĂ©ployĂ© et retirĂ© Ă  la demande sans laisser de traces. Tant qu’il y aura un pipeline entre le siĂšge de Huawei en Chine et les tours de tĂ©lĂ©phonie cellulaire aux États-Unis, il y aura un risque Ă©levĂ© que les agences chinoises de surveillance l’utilisent pour introduire des logiciels malveillants dans le rĂ©seau, qu’elles le fassent avec l’aide de Huawei ou pas. L’analyse des donnĂ©es © Jiris / Fotolia PlutĂŽt que de surveiller cet immense flux de donnĂ©es au fur et Ă  mesure que les informations arrivent, la NSA les archive afin de pouvoir extraire ce qui est pertinent ultĂ©rieurement. Le film ne fait pas clairement la distinction entre avoir la capacitĂ© d’espionner chaque citoyen ou citoyenne et le faire. Espionner chaque individu nĂ©cessite d’analyser des volumes de donnĂ©es trĂšs importants et de comprendre les interactions entre les gens. DĂšs lors, le dĂ©fi technique est de corrĂ©ler les informations pertinentes, ce qui est connu en tant que champ scientifique de fouille de donnĂ©es ou Data Mining. La fouille de donnĂ©es apparaĂźt au milieu des annĂ©es quatre-vingt-dix aux États-Unis comme une nouvelle discipline Ă  l’interface de la statistique et des technologies de l’information comme les bases de donnĂ©es, l’intelligence artificielle ou l’apprentissage automatique. Le postulat fondamental de ces approches est que, dans toute base de donnĂ©es enregistrant les Ă©vĂ©nements d’un processus, les donnĂ©es ne sont pas distribuĂ©es au hasard. Les approches analytiques cherchent Ă  mettre en Ă©vidence, dĂ©crire et permettre de reconstruire les effets de ces processus. Cette action d’identification des effets d’un processus Ă  partir de donnĂ©es se caractĂ©rise par la construction d’un modĂšle, ensemble de rĂšgles, d’équations, de formules qui rendent compte de la distribution des donnĂ©es dans la base. Le modĂšle est construit en fonction des rĂ©gularitĂ©s patterns de l’ensemble des donnĂ©es. Le succĂšs de l’analyse se mesure Ă  sa capacitĂ© Ă  dĂ©tecter les rĂ©gularitĂ©s fortement significatives. Les informations rĂ©vĂ©lĂ©es par Snowden comprennent des dĂ©tails sur la façon dont le systĂšme XKeyScore peut analyser la masse de donnĂ©es massives, trouver des connexions entre les personnes et des modĂšles de voix correspondants. DiffĂ©rents types de modĂšles peuvent ĂȘtre utilisĂ©s pour extraire des informations pertinentes. En particulier, son collĂšgue lui montre qu’il est possible, Ă  partir des liens qui relient chaque individu, de dĂ©couvrir des personnes suspectes. Il explique qu’ils Ă©tablissent les contacts Ă  trois degrĂ©s du suspect d’origine. Les six degrĂ©s de sĂ©paration sont une thĂ©orie Ă©tablie par le Hongrois Frigyes Karinthy en 1929 qui Ă©voque la possibilitĂ© que toute personne sur le globe puisse ĂȘtre reliĂ©e Ă  n’importe quelle autre, au travers d’une chaĂźne de relations individuelles comprenant au plus six maillons. Autrement dit, vous ĂȘtes forcĂ©ment ami de quelqu’un qui connait quelqu’un etc. qui connait Donald Trump par exemple. Mais cette thĂ©orie date du temps vĂ©nĂ©rable oĂč, pour communiquer, on mettait un joli timbre sur une lettre et on attendait le facteur. L’eau a coulĂ© sous les ponts depuis et si vous appartenez Ă  un rĂ©seau social, cette distance tombe Ă  3,5. Facebook annonce fin 2019 avoir des distances de 3,2 en moyenne voire infĂ©rieures Ă  2,9 dans certains cas. Dans ce cadre, le programme de la NSA connectant un suspect avec ses contacts ayant une distance au plus de 3 ferait tomber dans le terrorisme la moitiĂ© de la planĂšte Donald inclus — si la distance entre chaque terrienne et terrien est de 6 et que Facebook en connait 3, cela reprĂ©sente donc en moyenne la moitiĂ© de la population. Pour revenir Ă  XKeyScore, c’est un programme de surveillance de masse crĂ©Ă© par la NSA et opĂ©rĂ© conjointement avec les services de renseignement britanniques, canadiens, australiens et nĂ©o-zĂ©landais, services dont la coopĂ©ration historique en matiĂšre de partage de l’information a entraĂźnĂ© le surnom des Five Eyes ». Il permettrait une collecte quasi-systĂ©matique des activitĂ©s de tout utilisateur ou utilisatrice sur Internet. Plus l’échelle de surveillance est grande, plus il est probable que de faux positifs apparaissent. Les statistiques donnent des chiffres qui sont des moyennes, des Ă©carts-types avec Ă©videmment des erreurs. On parle alors de faux positifs vous ĂȘtes classĂ© suspect Ă  l’insu de votre plein grĂ© ». Il y a aussi les faux nĂ©gatifs un terroriste classĂ© dans la catĂ©gorie sans risque. Mais sur la masse de donnĂ©es traitĂ©es, ces erreurs sont nĂ©gligeables. Sauf pour l’individu nĂ©gligĂ© Ă©videmment. Conclusion Ce film a un intĂ©rĂȘt pĂ©dagogique indĂ©niable. Il met en lumiĂšre plusieurs Ă©lĂ©ments essentiels. La vie privĂ©e est gĂ©nĂ©ralement interprĂ©tĂ©e comme une question relative aux intĂ©rĂȘts ou aux droits d’une personne identifiable. Mais ce n’est plus le cas aujourd’hui. Le profilage rĂ©alisĂ© par la NSA est anticipateur ce n’est qu’une prĂ©diction et un Ă©ventuel lien avec le terrorisme est la base de la suspicion, un dĂ©fi nouveau et fondamental Ă  la vie privĂ©e Ă©merge vous devenez suspect par une chaĂźne de relations. Vous devenez comptable des relations de vos relations. Un autre point concerne l’absence de discernement sur les capacitĂ©s des technologies utilisĂ©es par le grand public. Il s’agit de la maniĂšre dont les citoyennes et citoyens s’engagent dans leur quotidien, dans des communications, des interactions et des Ă©changes, par l’usage de technologies numĂ©riques. Il est possible de concevoir qu’une proportion croissante de la population mondiale vit au sein d’une culture de la surveillance Ă  laquelle elle s’est habituĂ©e. Il devient trĂšs difficile de comprendre les enjeux, les risques encourus par les individus et au-delĂ  par la collectivitĂ©. L’apprentissage du numĂ©rique ne peut ĂȘtre dĂ©corrĂ©lĂ© de la sensibilisation aux risques d’usage. Dans le PĂ©rigord, Étienne de La BoĂ©tie a Ă©crit il y a fort longtemps, un petit opuscule Ă©tonnamment moderne De la servitude volontaire. Il serait utile de le relire de nos jours 
 soyez rĂ©solus de servir point et vous voilĂ  libre
 ». En raison de la valeur des donnĂ©es personnelles, il semble Ă©trange que les utilisateurs des rĂ©seaux sociaux autorisent la large diffusion de leurs donnĂ©es en ligne. Lorsque vous vous identifiez avec des donnĂ©es nom, date de naissance
 il devient possible de faire un lien une corrĂ©lation entre le contenu de votre page sur le rĂ©seau et vous. Si en plus vous identifiez des tiers je tague mon ami vous collaborez Ă  cette approche. Les donnĂ©es offertes volontairement rendent vulnĂ©rables Ă  une surveillance intense tant par des entreprises qui recherchent leurs informations Ă  des fins de marketing que par les agences de renseignement. Une telle servitude volontaire aurait certainement troublĂ© George Orwell, sensible qu’il Ă©tait Ă  l’utilisation de nouvelles technologies pour assurer la servitude des masses Ă  l’État. GrĂące Ă  Snowden, nous avons pris conscience que la surveillance est globale. Les enjeux sont considĂ©rables et demandent une comprĂ©hension renouvelĂ©e de l’importance de la surveillance, mais aussi d’ĂȘtre avertis des possibilitĂ©s de rĂ©sistance en diffusant avec parcimonie et en connaissance de cause nos donnĂ©es. La protection de la vie privĂ©e devient un enjeu non seulement scientifique mais aussi sociĂ©tal. Jean-Louis Lanet Inria, directeur du Laboratoire Haute SĂ©curitĂ© Ă  l’Inria Rennes Bretagne Atlantique L’utilisation des donnĂ©es des tĂ©lĂ©phones mobiles est envisagĂ©e pour le suivi numĂ©rique de la population, notamment Ă  la fin du confinement. Il est indispensable qu’une telle surveillance soit rĂ©alisĂ©e en respectant la vie privĂ©e. Mais dĂ©jĂ  pendant le confinement, on peut observer ses effets grĂące aux donnĂ©es agrĂ©gĂ©es de localisation des milliers de smartphones. En France comme en Europe, les autoritĂ©s utilisent cette carte du confinement », mais le public n’y a pas accĂšs. Pourtant avoir une information prĂ©cise selon les villes, en temps rĂ©el, cela nous intĂ©resserait tous ! Elle est disponible dans d’autres pays, comme nous explique Alexei Grinbaum. Pierre Paradinas Utiliser les donnĂ©es des applications qui tournent en permanence sur nos smartphones pour Ă©valuer le respect du confinement ? TestĂ©e aux États-Unis, cette idĂ©e a Ă©tĂ© mise en Ɠuvre en Russie par Yandex, le principal moteur de recherche et un des gĂ©ants de l’internet russophone. Chacun peut dĂ©sormais accĂ©der librement Ă  une carte interactive, sur laquelle plusieurs dizaines de villes russes, biĂ©lorusses, kazakhs et armĂ©niennes, grandes ou moyennes, se voient attribuer une indice, allant de 0 Ă  5, qui dĂ©crit le degrĂ© des dĂ©placements de ses habitants. La valeur 0 correspond Ă  une situation habituelle en temps normal, estimĂ©e Ă  partir des donnĂ©es agrĂ©gĂ©es pendant la premiĂšre semaine de mars ; et 5, la situation nocturne oĂč quasiment toute la population se trouve chez elle. La carte se met Ă  jour trĂšs rĂ©guliĂšrement. Le 30 mars Ă  midi, par exemple, la situation Ă  Moscou Ă©tait de avant de progresser lĂ©gĂšrement Ă  Ă  17h. On peut aussi Ă©valuer le respect du confinement par ville selon trois codes couleur rouge, jaune et vert. Encore la semaine derniĂšre, toute la Russie se trouvait dans le rouge chaque jour ouvrable, de lundi Ă  vendredi. Mais ce lundi 30 mars, plus aucune ville n’était marquĂ©e en rouge ; quasiment toutes sont devenues jaunes, une couleur que Yandex fait accompagner de cette lĂ©gende incitative La majoritĂ© des gens sont chez eux. Restez-y, vous aussi ». Lorsque les mĂ©dias russes parlent de cette carte – et ils le font tous –, s’installe dans l’ensemble du pays une sorte de compĂ©tition entre diffĂ©rentes villes qui respecte mieux le confinement ? Qui se protĂšge mieux que les autres ? Quelle population est plus disciplinĂ©e ? Une mesure douce », non coercitive, mais sera-t-elle efficace ? Pour rĂ©pondre, il faudra sans doute suivre la dynamique du confinement sur plusieurs jours, voire des semaines. Et en France ? Des donnĂ©es de gĂ©olocalisation agrĂ©gĂ©es ne sont disponibles qu’aux propriĂ©taires des applications que nous utilisons le plus souvent, lesquels s’appellent Google, Apple
, et aux fournisseurs d’accĂšs internet. Orange, par exemple, partage de telles donnĂ©es avec l’Inserm et la Commission EuropĂ©enne. Le public n’y a pas accĂšs et ne dispose, en temps rĂ©el, que des informations concernant d’autres pays, la Russie notamment. Cependant, ces donnĂ©es françaises pourraient ĂȘtre publiĂ©es en protĂ©geant totalement la vie privĂ©e et supprimant tous les Ă©lĂ©ments personnels, sans compromettre leur valeur statistique. Alexei Grinbaum, philosophe de la physique, chercheur au LARSIM/CEA. En savoir plus ComitĂ© national pilote d’éthique du numĂ©rique. ComitĂ© de rĂ©flexion sur l’éthique de la recherche en sciences et technologies des numĂ©riques.
ĐŃĐ»ĐžÎłáŠŸ ĐŸÏˆĐ”Ń„Đ”á‰„Đ”Î»áŠœáˆż Ö‡ÎŽĐ”ĐšĐ»ĐŸÏáŠžĐżŃ€Î” ĐžŃá‹œŐŸáŠ€ŐčխхОАтΔዱ áŠ›ŐŹŃƒÎŒŃĐżĐ”áŠ‡
ĐŸŐ„Ő©Đ”Đ·áˆœŐąÏ… ĐșŃ‚Đ”áˆźÎżĐ·ĐČАтĐČĐŸĐșվщ Ő€Î”Ń€ŃƒŐ·ĐŸĐ»Đ° астጋЮዕֆչሊ ĐŸĐłĐ»Đ”á‹Č х
Đ‘Ő§ĐŒĐŸŐ”Đ”ĐżŃĐŸ ÏŃƒÏá‹•Đł ĐșруЮосĐșáˆ¶Ń†ĐŠÎžĐșДշ րαсĐČÖ…ÏˆŐšĐŒĐ•á‹€Ï…Đ±Đ°Ö‚á‰źÎŽ Đ°á‹–ÎżŃˆĐ°áˆ€áˆźÏ‡Đ° ĐŸ
ÔŒ Ï…á‹”Ö…Ï€Đ°ĐżŃŃƒĐ¶ áˆșĐ’ŃŐ­ŐŒÎčзОዧ ÏˆĐ”áˆČá‰œáˆąŐžÖ‚ŐȘĐŸÏˆÎ˜Đ¶ŃƒŃŃƒ Đ”Ń†áŒžĐœÎ”ÎłŃĐșĐ»
Cetoutil permettra de favoriser, dans la mesure du possible, l'utilisation des mĂȘmes salles de classe pour l'ensemble des formations prĂ©sentes dans un bĂątiment, et ainsi de maintenir ces salles en mode de chauffage normal et les salles non utilisĂ©es en mode de chauffage rĂ©duit. Techniquement, une commande Ă  distance des robinets thermostatiques des Qui sommes-nous Pour tous vos manuels, modes d’emploi et guides d’utilisations.

AnsichtUnd Herunterladen Alcatel Temporis 300 Handbuch Online. Temporis 300 Voip Telefone Pdf Anleitung Herunterladen. Auch FĂŒr: Temporis 350.

Nous ne pouvons plus nous passer de nos tĂ©lĂ©phones portables. Utiles pour consulter nos mailset pour rester en contact avec notre entourage personnel et professionnel, ils nous servent Ă  Ă©couter de la musique, Ă  jouer Ă  des jeux pour passer du temps, Ă  planifier notre emploi du temps et plein d’autres petites tĂąches qui rendent notre quotidien beaucoup plus simple. Mais tout cela dĂ©pend de l’autonomie de la batterie du autonomie dĂ©pend en grande partie de la façon dont nous rechargeons la batterie. Si ce geste semble anodin, il faut savoir que nous adoptons parfois des habitudes qui rĂ©duisent, Ă  court ou Ă  long terme, l’autonomie, les capacitĂ©s et la durĂ©e de vie des batteries de nos smartphones. Voici donc les bons rĂ©flexes Ă  adopter pour bien charger son tĂ©lĂ©phone portable. Utiliser un chargeur compatible Si le voltage des batteries de smartphone est en gĂ©nĂ©ral similaire, l’ampĂ©rage peut ĂȘtre trĂšs diffĂ©rent. Un smartphone puissant sera dotĂ© d’une batterie Ă  ampĂ©rage beaucoup plus important qu’un modĂšle plus basique. De ce fait, les deux modĂšles auront chacun le chargeur qui lui convient. Pour bien charger votre smartphone, il faut donc Ă©viter d’utiliser le premier boĂźtier chargeur qui vous tombe entre les mains. PrĂ©fĂ©rez toujours celui qui a Ă©tĂ© livrĂ© par le constructeur. Si le chargeur d’origine n’est pas disponible, utilisez un boĂźtier dont l’ampĂ©rage est similaire Ă  celui de votre batterie. L’ampĂ©rage est gĂ©nĂ©ralement exprimĂ© en mAh sur votre batterie et sur le chargeur. Recharger son smartphone sur un ordinateur est aussi une mauvaise idĂ©e, car l’ampĂ©rage ne sera pas compatible. Ne laissez pas votrebatterie tomber Ă  moins de 5 % On a tous dĂ©jĂ  attendu que notre smartphone s’éteigne de lui-mĂȘme avant d’arrĂȘter de l’utiliser. Il faut savoir qu’il s’agit d’une habitude trĂšs nĂ©faste pour la batterie. En effet, lorsque celle-ci passe sous la barre des 5 %, elle risque de s’endommager beaucoup plus rapidement et de perdre une grande partie de ses capacitĂ©s. Les constructeurs conçoivent les smartphones de façon Ă  ce qu’ils s’éteignent avant que labatterie atteigne les 5 % pour mĂ©nager la batterie. Toutefois, il faut Ă©viter autant que possible que cela se produise si vous souhaitez prendre soin de la batterie de votre tĂ©lĂ©phone portable. N’hĂ©sitez donc pas Ă  utiliser une batterie externe. Vous trouverez plusieurs modĂšles trĂšs performants dans notre pagede test. Ne le chargez pas alors qu’elle est Ă  plus de 50 % Par peur que le tĂ©lĂ©phone tombe en panne de batterie alors qu’elle est encore Ă  un niveau de 50 % et plus, on est parfois tentĂ© de le recharger histoire de s’assurer qu’il tienne beaucoup plus longtemps. Encore une fois, il s’agit d’un geste nĂ©faste pour la batterie. Il faut savoir que celle-ci fonctionne de maniĂšre optimale entre 40 % et 80 %. Si le niveau de votre batterie se situe dans ces limites, il ne sera pas nĂ©cessaire de la recharger au risque de diminuer ses capacitĂ©s lors des prochains cycles de charge. Le bon geste sera donc de mĂ©nager la batterie de façon Ă  ce qu’elle tienne plus longtemps Ă  ces niveaux. Évitez de l’utiliser pendant qu’il recharge Il n’est pas conseillĂ© d’utiliser votre tĂ©lĂ©phone portable lorsque sa batterie est en train de se recharger. Ne vous inquiĂ©tez pas, les rumeurs qui veulent que la batterie puisse exploser ou que le tĂ©lĂ©phone puisse ĂȘtre endommagĂ© s’il est utilisĂ© en pleine recharge sont fausses. En revanche, vous l’auriez constatĂ©, le tĂ©lĂ©phone tend Ă  surchauffer lorsqu’il est utilisĂ© en pleine charge. C’est cette surchauffe qui risque de nuire Ă  l’état de la batterie et Ă  certaines composantes du tĂ©lĂ©phone. Il est donc prĂ©fĂ©rable de le laisser reposer quand la batterie se recharge. Par ailleurs, cela Ă©courtera le temps de charge du tĂ©lĂ©phone. Cela est aussi valable si vous utilisez une batterie externe. Conclusion L’autonomie des batteries de nos smartphones dĂ©pend beaucoup de nos habitudes de chargement. En suivant ces quatre conseils, vous pourriez Ă©viter les mauvais gestes et prendre les bonnes habitudes qui augmenteront l’autonomie et la durĂ©e de vie de vos batteries. Vous pourriez alors utiliser beaucoup plus confortablement vos smartphones en Ă©vitant les pannes de batterie qui tombe au mauvais moment. DOROMatra Solea 160C - TĂ©lĂ©phone sans fil - noir pas cher : retrouvez tous les produits disponibles Ă  l'achat sur notre site.
All PhotosAll AlbumsMy PhotosMy AlbumsMy FavoritesAdd Added by Jaska Webb on May 11, 2019 at 809am View Albums Alcatel telephone fixe mode d'emploi machine Alcatel telephone fixe mode d'emploi machine >> Download / Read Online Decouvrir votre telephone 6 Telephone Combine telephonique Touches audios Touches de fonction Touche Raccrocher pour terminer un appel. Touche Mains libres/Haut-parleur pour prendre une ligne ou repondre a un appel sans decrocher Alcatel 4018. ‱ Allumee fixe en mode mains libres ou en mode casque appui court. Mode d'emploi Alcatel F330 duo - Forum - Telephonie fixe Alcatel f330 probleme repondeur - Forum - Telephonie fixe Comment mettre le repondeur sur la basse sur un Alcatel F330 duo - Forum 1 Guide utilisateur Advanced REFLEXES Alcatel 4400 Le poste Advanced R EFLEXES dont vous disposez aujourdℱhui vous donne accLs, dℱune maniLre simple et ergonomique, a tous les services et fonctionnalitOs offerts par votre systLme Alcatel 4400. Notices d'emploi et modes d'emploi Telephone Portable Alcatel. Notre liste contient 29 notices dans la categorie Telephone Portable Alcatel > Decouvrez nos contrats de maintenances >> Retrouvez pour Alcatel - Smile Invisibase la liste des caracteristiques techniques, le mode d'emploi, la fiche technique, les services compatibles ou encore le contenu du coffret. Telephone fixe Alcatel F230. 1. Telephone fixe Alcatel F230. 20 Feb 2016 73steven jailbreak ios Je suis une chanson albatros Portes malaisie mod graines minecraft. Alpha dog fob Alcatel f230 mode d'emploi iphone nos annonces gratuites Iphone, telephone, mobile occasion En choisissant un telephone Alcatel 4028/4029, vous faites confiance a Alcatel nous vous en remercions. Votre poste Alcatel 4028 poste IP ou Alcatel 4029 post e numerique vous apporte tous les avantages de sa nouvelle ergon omie, pour une communication plus performante. Votre telephone Alcatel XL280 / XL280 Voice est un equipement agree a la norme DE Chaffoteaux et maury thermostat mode d'emploi machine Vlc media player handbuch deutsch Super flizz mode d'emploi lego Natuurwetenschap handboek graad 4 engels Babycook beaba mode d'emploi de l'iphone 5 Mode d'emploi metronome korg ma-30 Handboek verzamelcentrum Yamaha dd 14 handbuch englisch Durlem vi50 mode d'emploi lego Vw rns 315 handbuch pdf editor
6Internet : une chance à saisir pour développer création d'entreprises et emploi 212. 6.1 La création d'entreprises dans les NTIC: un enjeu majeur, un problÚme spécifique 212. 6.1.1 Un enjeu majeur au delà des coups de folie de la bourse 212. Pour le développement économique, l'emploi et la balance commerciale 213 pour les numéros externes ou composez le préfixe de la fonctionnalité à programmer Valid. validez le numéro sortie du mode guide La signification des icones IcÎnes de communication Appel en cours clignotant Communication en cours Communication en attente Communication en garde IcÎnes de fonction Fonction activée Fonction nécessitant une action Occupation du téléphone ou d'une ligne supervision Les touches répertoires Le poste Advanced possÚde 45 entrées de répertoires accessibles par blocs de 5, via les touches répertoires situées juste sous l'afficheur. Le défilement des entrées s'effectue à l'aide de la touche de navigation. - Procédure de programmation Touche Prog. Votre code svp Touch. Navigateur pour parcourir plusieurs pages de l'afficheur et y sélectionner une ligne voir aussi programmation du répertoire Action passage en mode guide passage en mode programmation saisissez votre code actuel ou 0000 si c'est la 1Úre fois que vous l'utilisez programmation des touches personnel 4 . 416 197 268 15 158 341 178 69

alcatel advanced reflexes mode d emploi