“Les criminels vont exploiter l’IA dans le piratage”
Si la cybersécurité est l’objet de nombreuses attentions, ce n’est pas encore suffisant, et de loin. Dans le même temps, les entreprises doivent anticiper la prochaine génération de cyberincidents, estime Bart Preneel, professeur en cryptographie.
Lorsque nous demandons à Preneel ce qui le frappe sur le marché actuel de la sécurité, sa réponse fuse: les attaques de la chaîne d’approvisionnement. “Elles existent depuis un certain temps déjà, mais on s’est aperçu au cours de l’année écoulée que la meilleure manière d’attaquer un pays n’est pas de pirater une entreprise, mais de toucher l’entreprise qui fournit à certaines entreprises, Solarwinds étant l’exemple le plus marquant des 12 derniers mois.”
“En fait, beaucoup pensaient que le cloud serait la première victime à mesure que toutes les entreprises migreraient vers le nuage, mais il semble pour l’instant que tel ne soit pas le cas à grande échelle, même si nous ne l’avons peut-être pas encore remarqué. La sécurité chez ces grands acteurs est au point, mais il s’agit d’une cible particulièrement large et je peux donc m’imaginer que la Chine ou la Russie cherche à voir comment attaquer des Google, Amazon ou Microsoft.”
Par ailleurs, Preneel se montre circonspect quant à la sécurité moyenne sur le marché. Il constate que la technologie ne fait que s’améliorer et que l’intégration de la sécurité bénéficie aujourd’hui d’une plus grande attention. Le thème est abordé dans les comités de direction, même si les investissements demeurent limités. “Selon l’Enisa ou European Agency for Cybersecurity, l’investissement moyen s’élève à 7 ou 8% [du chiffre d’affaires, NDLR], alors qu’il devrait atteindre en fait 15%. Nous en sommes donc encore loin et le monde reste un paradis pour les pirates en quête de brèches et de failles.”
Si les outils s’améliorent, la sécurisation d’une infrastructure complexe est et reste délicate. “Pour y arriver, c’est un peu comme dans l’aviation: chaque ligne de code va devenir toujours plus chère. Et sécuriser un système dans son ensemble est complexe parce que chaque élément compte. On peut faire le maximum, mais aussi longtemps que des gens achèteront des webcams à 20 $ et les connecteront au réseau, ce sera mission impossible.”
Evoquant l’avenir proche, Preneel s’attend à voir les pirates mettre en oeuvre l’intelligence artificielle. “Cette évolution est prévue depuis un certain temps déjà et l’on voit apparaître des compétitions où du code est écrit pour rechercher les failles d’un système et apprendre ensuite de ces failles. Je m’attends à voir dans les dix prochaines années une sorte de Guerre de l’IA qui sera certes encore dirigée et corrigée, mais où tout ira tellement vite que personne ne regarde plus l’attaque elle-même et où tant l’attaque que la défense seront automatisées.” Même s’il ajoute d’emblée que l’on continuera à voir apparaître des pirates de pointe utilisant de nouvelles techniques. “Il s’agira d’une course à l’armement qui sera difficile à suivre.”
Si la véritable percée arrive subitement dans 10 ans, vos données doivent déjà être cryptées par une nouvelle technologie
Cryptage
Cet automne, Preneel était également l’une des voix académiques à s’élever contre le projet de loi sur la rétention des données visant à annuler le cryptage. “Cela ne va pas apporter grand-chose. Les vrais pirates utilisent Sky ECC et leurs successeurs y auront recours de telle sorte que cette annulation du cryptage va rendre tout le monde vulnérable sans pour autant toucher les véritables criminels.” Et Preneel de citer l’exemple de l’attaque désormais documentée contre les routeurs de Juniper. Il en ressort que la NSA avait en son temps prévu une porte dérobée qui a ensuite été exploitée par des inconnus.
Sur le plan pratique également, Preneel entrevoit des problèmes avec les services de police qui s’adresseront à Google ou Facebook. “Combien y a-t-il de services de police et de renseignement dans le monde? Si on les additionne, on arrive vite à des milliers d’organismes dont il faut savoir lequel est suffisamment fiable et lequel applique moins strictement les règles.”
Mais notre interlocuteur est également d’avis qu’il n’est pas nécessaire de collecter autant de données. “Le projet de loi qui est désormais sur la table est déjà une loi de redressement étant donné que la loi sur la rétention de données a été annulé par l’Europe précisément en raison du manque de proportionnalité dans la collecte de métadonnées de tout un chacun sur le territoire national. La nouvelle législation limite cette collecte aux régions à fort taux de criminalité ou à des zones critiques. Il s’agit donc de gares, hôpitaux, prisons, etc. Or si l’on trace un cercle autour de ces sites, on couvre rapidement toute la Belgique, tandis que les opérateurs estiment qu’un tel concept n’est pas réaliste.” Et Preneel de s’attendre à voir cette nouvelle loi également rappelée à l’ordre par l’Europe, même si de l’eau aura encore coulé sous les ponts d’ici là.
“En tant que citoyen, j’estime que ce n’est pas démocratique. La police dispose de plus d’informations qu’elle n’en a jamais eu. Que ce soit les caméras ANPR, la localisation des téléphones, les sites Web que l’on visite, les courriels que l’on envoie et quand. Il est urgent d’avoir un débat ouvert où la police expliquera les données dont elle dispose et dont elle a besoin pour faire son travail. Demander toujours plus d’informations sans mener une telle discussion débouche sur un dialogue de sourds.”
En marge de ce débat, Preneel souhaite également que l’Europe demande aux entreprises technologiques de scanner plus souvent leurs plateformes et appareils au niveau de la pédopornographie (CSAM, child sexual abuse material). Apple avait l’intention de le faire en scannant les iPhone et iPad à la recherche d’image d’abus d’enfants notoires, mais a été l’objet de telles critiques qu’elle a provisoirement mis son projet au frigo.
Le projet de loi belge désormais sur la table devrait être transmis au Parlement au moment où vous lirez ces lignes. Preneel s’attend à voir disparaître le volet lié à la suppression du cryptage*. “On a quelque peu sous-estimé les réactions à ce projet”, confie-t-il. Une lettre ouverte de nombreuses entreprises, citoyens et activités de la vie privée a même suscité beaucoup d’intérêt au plan international. “Mais même sans ce volet sur le cryptage, cela reste une loi beaucoup trop stricte sur la rétention de données.”
Piratage grâce à l’informatique quantique
Lorsque l’on demande à l’autorité mondiale en cryptographie ses prévisions dans le domaine de la sécurité, il évoque des standards en cryptographie pour l’informatique post-quantique. “L’informatique quantique est extrêmement technique et intéresse de grands acteurs comme IBM, Google ou Intel. Elle sera très utile notamment dans la recherche moléculaire, mais aussi pour craquer la cryptographie.”
Quand bien même l’informatique quantique en est encore à l’aube de sa révolution, le secteur n’en recherche pas moins depuis une vingtaine d’années des solutions pour contrer une telle évolution. “Pour l’IT, il s’agit d’un domaine qu’il faut planifier avec plusieurs années d’avance. Certes, il faudra encore un à deux ans avant que le processus de standardisation ne soit finalisé, mais en tant qu’entreprise, il faut s’y préparer.”
La mise en oeuvre pratique dépendra très fort de l’application. “C’est ainsi que la TLS (Transport Layer Security) bénéficiera simplement d’une nouvelle version, ce qui est bien. Mais certains algorithmes auront une clé nettement plus grande. On passera d’un millier de bits à 10 Ko. Cela a des conséquences sur tout ce qui fonctionne sans fil. Votre puissance de calcul ne sera sans doute pas plus mauvaise, mais cela peut avoir des conséquences sur l’envoi de données volumineuses ou sur le stockage. Pour certaines applications, il s’agit simplement d’une mise à niveau, mais pour d’autres, c’est beaucoup plus vaste. C’est un exercice que le monde doit répéter tous les 20 ans, mais la cryptographie est aujourd’hui nettement plus intégrée dans de nombreux domaines.”
Preneel n’entend pas jouer les trouble-fête, mais sensibiliser à l’évolution future. “Il se pourrait que la véritable percée [entendez le piratage de la cryptographie grâce à l’informatique quantique, NDLR] arrive subitement dans 10 ans. A ce moment-là, il faudra que vos données soient déjà cryptées par une nouvelle technologie. Sinon, le risque existe que vos données sécurisées se retrouvent soudainement sur la place publique.”
*Cet article est paru dans le numéro du 1er décembre de Data News. Entre-temps, il y a davantage de discorde aussi au sein du gouvernement sur le sujet, à tel point qu’il semble que le volet sur le cryptage sera supprimé.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici