Chers journalistes, un compte-rendu correct en cyber-sécurité ne s’imposerait-il pas en 2020?

Toujours plus d’incidents en cyber-sécurité se manifestent dans le monde, auxquels nos médias consacrent des articles. Or les faits qui y sont repris ne sont parfois pas corrects. Nathalie Van Raemdonck met en garde contre les risques d’un piètre ‘digital news reporting’ et plaide pour des journalistes mieux informés.

“Iran trekt Online ten Oorlog” (L’Iran déclare la guerre en ligne)

“China voert massale cyberaanvallen uit op Belgische delegatie” (La Chine lance des cyber-attaques massives sur la délégation belge)

“Belgische justitie hackt IS-servers” (La Justice belge pirate des serveurs d’IS)

Voilà quelques titres parus dans des médias flamands qui, à ma grande stupéfaction, me sont parvenus ces derniers mois via mes notifications push. Je n’étais d’ailleurs pas la seule à m’indigner. Si on veut vraiment que la communauté IT roule des yeux, pourquoi ne pas prévoir l’internet gratuit dans toute la Corée du Nord?

La presse belge s’intéresse toujours plus à la cyber-sécurité. Cela me réjouit, mais seulement si on en arrive à un compte-rendu correct minimal. Voilà ce qui m’incite à écrire cette opinion en prodiguant quelques conseils et en posant la question suivante aux journalistes de chez nous: pourriez-vous en l’an 2020 améliorer quelque peu le niveau de vos articles et informer correctement les lecteurs sur ce qui se passe réellement dans le cyberespace?

Chers journalistes, un compte-rendu correct en cyber-sécurité ne s’imposerait-il pas en 2020?

Les faits réels

‘L’Iran’ n’a pas déclaré ‘la guerre’ en ligne. Quelques script kiddies (des personnes ayant une connaissance IT minimale qui abusent de failles connues) iraniens ont piraté quelques sites web et y ont introduit des defacements (des modifications au contenu). Il n’y a eu ni responsabilité directe de l’Iran ni déclaration de guerre. L’Iran PEUT certes lancer des attaques à grande échelle en ligne, car le pays en a à coup sûr les capacités – ce ne sont pas les précédents qui manquent -, mais on ne voit encore aucun mouvement de ce genre. Ce qui s’est passé, c’est tout simplement des Iraniens en colère qui ont jeté des oeufs pourris sur la façade de l’ambassade américaine. Le titre en question était donc non seulement trompeur, mais aussi totalement faux.

Quant à la ‘Chine’, elle n’a pas lancé des ‘cyber-attaques’ sur la délégation belge. Un ‘spécialiste en sécurité’ qui accompagnait cette délégation, a découvert que des milliers de balayages de ports étaient effectués, lorsqu’il mit le pied sur le sol chinois. Ce n’est pas anormal (des balayages automatisés de ce genre sont aussi possibles en Belgique), et cela n’avait rien d’une attaque ciblée contre la délégation belge. Il n’y avait en outre aucun indice qu’elle provenait bien des autorites chinoises. On pourrait comparer cela à une bande de voleurs qui examinent de manière non coordonnée si les portes avant des maisons d’un quartier sont restées ouvertes ou non. L’assurance aura beau jeu de dire que s’ils sont entrés spécifiquement dans votre habitation, c’est parce vous aviez oublié d’en verrouiller la porte.

Ecrire ensuite que la Justice belge ‘a piraté’ des serveurs de l’IS ou y a lancé des cyber-attaques, c’est oublier qu’elle n’en a pas la compétence. Elle a mis légalement hors ligne des sites web et leur contenu par le biais de mandats et de références aux fournisseurs d’hébergement et de plates-formes de médias sociaux. Cela, les journalistes auraient pu aussi le lire dans les nouvelles d’Europol, mais en fin de compte, qui se soucie encore d’un reportage correct?

Pourquoi est-ce problématique?

Il y a plusieurs raisons pour lesquelles le problème du compte-rendu incorrect doit être cartographié, et ces raisons vont nettement au-delà de quelques nerds qui se voient mal dépeints dans les médias.

Aucune distinction n’est établie dans les degrés de gravité de la menace en ligne.

La raison principale, c’est qu’aucune distinction n’est établie dans les degrés de gravité de la menace en ligne. Vous les lecteurs, journalistes et politiciens, ne vous faites à coup sûr aucune illusion: notre société numérique est certainement menacée et est incroyablement vulnérable. Des attaques comme Wannacry et Notpetya passeront dans les annales comme les plus nuisibles qui soient. Mais chaque jour qui passe, des cyber-attaques paralysent des entreprises dans le monde entier, comme c’est arrivé cette semaine encore dans l’entreprise belge Picanol. La réalité est déjà suffisamment stressante. Pourquoi dès lors déclencher de fausses alarmes avec des informations déformées?

Les comptes-rendus incorrects ont aussi des effets secondaires indésirables. Si on lit dans les médias que l’Iran déclare la guerre en ligne et que la Chine pirate une mission commerciale, on en vient évidemment à poser à nos politiciens la question de savoir comment ils comptent réagir. Et si on trouve dans les médias que la Justice belge a piraté l’IS, on peut alors se demander ce qu’elle pourrait encore bien pirater d’autre. Cette responsabilité doit être à coup sûr discutée plus largement, mais le débat n’en est que plus difficile avec ces comptes-rendus incorrects.

Journalisme responsable

En cette ère de désinformation, une très lourde responsabilité pèse sur les épaules de la quatrième force pour ce qui est d’informer correctement la population. Et en ces temps numériques s’ajoute encore la responsabilité de la transmission de la connaissance digitale. Il ne me paraît donc plus toléré qu’un corps de journalistes revendique ne pas savoir quelle est la différence entre le piratage et une intervention juridique, entre une cyber-attaque et un balayage de ports, ou ignorer que quelques script kiddies n’opèrent pas à la demande de tout un pays. Il ne peut pas se dissimuler derrière cette expression: “la terminologie correcte, nous ne pouvons pas l’utiliser, car les gens ne la connaissent pas”, s’il n’en informe jamais la population. Il est temps d’étoffer la terminologie des comptes-rendus, afin non seulement que les gens soient correctement informés, mais apprennent aussi quelque chose. Si un journaliste veut par exemple consacrer un article au fait guère intéressant au demeurant que des ‘hacktivistes’ iraniens ont effectué quelques changements de contenu (‘defacements’) dans des sites, qu’il le fasse alors avec saine dose de réalisme (cela se fait quotidiennement et facilement) et qu’il apprenne aux gens comment l’éviter, en actualisant et en utilisant des mots de passe à la fois solides et uniques.

Un dernier conseil: si un journaliste ne comprend lui-même pas ce qu’il écrit, qu’il demande surtout autour de lui si cela en vaut la peine, AVANT de balancer le tout en ligne.

Meilleurs voeux pour 2020!