Marc Vael

PRISM, ce n’est pas nouveau

Marc Vael Marc Vael est vice-président international d'ISACA, une structure mondiale d'échange de connaissances en matière de protection de l'information, de gestion des risques IT, de gouvernance IT et d'audit IT comprenant plus de 100.000 membres dans plus de 160 pays.

La nouvelle de la journée d’hier a été l’annonce publique par Belgacom et par le premier ministre que le trafic téléphonique international qui transite par Belgacom, est contrôlé depuis plus de 2 ans par du software très intelligent. Voilà du pain béni pour les médias sociaux.

La nouvelle de la journée d’hier a été l’annonce publique par Belgacom et par le premier ministre que le trafic téléphonique international qui transite par Belgacom, est contrôlé depuis plus de 2 ans par du software très intelligent. Voilà du pain béni pour les médias sociaux.

Depuis juin 2013, le monde connaît l’existence du programme d’espionnage numérique top secret PRISM utilisé par la NSA. PRISM scanne les communications en direct et les informations stockées (dont les courriels, le chat vidéo et vocal, les vidéos, photos, conversations, échanges de fichiers et réseaux sociaux) et cible officiellement tous les clients d’entreprises habitant en dehors des Etats-Unis, ainsi que les citoyens américains communiquant avec des personnes à l’extérieur des Etats-Unis. Aujourd’hui, nous en savons beaucoup plus à ce propos.

L’on a aussitôt exprimé de la colère vis-à-vis de ce scandale d’espionnage: les Américains d’abord, parce que leur programme top secret fuyait, mais aussi tous les non-Américains, parce qu’ils apprenaient manifestement pour la première fois qu’ils étaient espionnés par la voie numérique.

Primo, cette colère est assez hypocrite dans la mesure où PRISM, ce n’est pas nouveau. Il existe en effet déjà ECHELON, qui collecte depuis 1948 toutes les formes de communication pour trouver dans cette gigantesque masse de données la fameuse aiguille dans la meule de foin. En juillet 2000, le Parlement européen lança même une enquête formelle sur les abus des renseignements collectés par ECHELON. C’est ainsi qu’en 1994, Airbus aurait perdu un contrat de 6 milliards de dollars au profit des entreprises américaines Boeing et McDonnell Douglas, parce que toutes les négociations menées par Airbus auraient été mises sur écoute via ECHELON et que ces informations auraient été transmises aux deux sociétés américaines.

Secundo, beaucoup de films (américains) ont déjà suggéré l’existence de ce genre de programme d’espionnage numérique de la NSA. Je conseille ici surtout le film “Enemy of the State” (Ennemi d’état), un thriller américain de 1998 avec Will Smith et Gene Hackman, mettant en scène de petits appareils et des techniques perfectionnés d’écoute et d’espionnage de la NSA.

Tertio, l’externalisation de tâches fondamentales est et reste toujours une affaire risquée. Dans ce scandale d’espionnage, il apparaît également qu’il ne s’agit pas d’un collaborateur de la NSA, mais du sous-traitant Booz Allen Hamilton, qui a divulgué les informations sur le programme d’espionnage. Evidemment, la NSA affirme aujourd’hui avoir pris les mesures requises pour éviter ce genre d’incidents à l’avenir, mais quand même.

L’annonce du piratage chez Belgacom attire une fois de plus et de manière pénible l’attention sur le fait que l’utilisation d’internet et des télécommunications pour l’échange d’informations entre individus et organisations comporte véritablement des risques réels de fuite de renseignements.

Pour terminer, je puis affirmer que la publicité mondiale faite autour de ce scandale d’espionnage a fait en sorte que tout un chacun est à présent bien conscient de l’existence de ce genre de techniques d’espionnage numérique et doit donc prendre les mesures organisationnelles et techniques nécessaires en matière de sécurisation de l’information. Belgacom a, à mon avis, réagi correctement en faisant appel à une firme (néerlandaise) externe spécialisée dans la criminalistique informatique, et en vérifiant si elle était aussi piratée par la NSA.

Dommage qu’elle n’ait pas eu suffisamment confiance dans les firmes spécialisées belges, mais aujourd’hui, les résultats sont bien tangibles. Pour en savoir plus sur la cyber-sécurité, la FEB sortira cette année le Belgian Cybersecurity Guide pour entrepreneurs, proposant des principes et actions clairement explicités. Ce guide gratuit peut être réservé via http://www.iccbelgium.be/index.php/activities/becybersecure. En attendant la sortie de ce guide, je vous recommande vivement de faire vérifier également votre cuisine IT interne.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire