C'est vrai, d'après les nouvelles d'hier matin ? Faux, selon le démenti propagé directement par les sorciers informatiques de Sogei hier après-midi ? L'attaque présumée de pirates informatiques contre l'Agence du revenu, avec le rituel habituel de menaces de diffusion de données volées en l'absence d'une rançon substantielle, est un autre verrou sur la sécurité des grands systèmes informatiques qui possèdent aujourd'hui l'essence de nos vies. Cela arrive, inutile de le nier. Même les plus grands baissent la tête et paient, disent les experts. Comment cela peut-il arriver ? Même un système théoriquement surprotégé comme celui de la tour de contrôle des impôts italienne, créée et gérée par Sogei, un géant informatique public estimé, peut-il être vulnérable ? Corrado Giustozzi, l'un des principaux experts italiens en cybersécurité, journaliste, écrivain, vulgarisateur, pionnier des premières solutions intégrées dans le monde du web, répond à FIRSTonline.
Est-ce qu'un système informatique est exposé ou est-ce que quelqu'un peut se considérer en sécurité ?
La vérité est que tous les systèmes informatiques sont exposés à une attaque. Leur niveau de sécurité ne peut être que relatif. Si je dois me défendre d'un collègue de travail, les barrières peuvent être relativement basses, si un service secret nous attaque, les barrières doivent être beaucoup plus hautes. Ici aussi, c'est la lutte éternelle entre des technologies d'attaque et de défense de plus en plus sophistiquées. Rien n'est certain, aussi parce qu'il y a un facteur caché qui n'est pas facilement contrôlable : l'erreur humaine. Le problème est trop souvent dans les gens, dans les comportements, dans l'insouciance qui ouvre les brèches. Je ne parle pas du problème précis concernant l'attaque contre l'Agence du revenu, réelle ou présumée. Ceux qui se défendent sont toujours désavantagés.
Comment va l'Agence du Revenu ?
C'est vrai ce que j'ai dit. La voiture est sophistiquée. Il est géré aux meilleurs niveaux. Mais cela ne suffit pas à le protéger de toute attaque éventuelle.
Y a-t-il quand même des exemples à suivre pour augmenter les niveaux de sécurité ?
Difficile de répondre. Pensons aux grandes institutions qui s'occupent de la sécurité et nous découvrons que même ces sujets considérés comme inattaquables ne le savent en réalité pas. Un exemple? Il y a quelques années, une organisation criminelle, parce que c'est de cela qu'il s'agit et je considère qu'il est inapproprié de les appeler des pirates, a violé le site de la CIA en volant des données et des applications qui ont même ensuite été utilisées pour développer de nouveaux logiciels malveillants.
Que peut-on ou doit-on faire de plus pour se défendre, pour au moins contenir le risque ?
Il s'agit de trouver le meilleur compromis entre des besoins et des choix également très différents les uns des autres. Pensons à ce qui s'est passé et se passe dans les administrations locales et dans leurs relations avec l'administration publique : on craint que les petites communes ne soient pas en mesure de gérer leurs systèmes informatiques et il est prévu de centraliser la gestion de leurs ressources dans quelques pour mieux les contrôler et les protéger. Mais voici le revers de la médaille : toutes les données sont centralisées à quelques endroits. Bref, tous les œufs dans le même panier. Avec pour résultat de créer une voie préférentielle pour ceux qui veulent attaquer ces systèmes, qui peuvent se concentrer sur quelques gros noyaux même s'ils sont théoriquement mieux protégés.
Vaut-il mieux revenir au morcellement des ressources informatiques ?
Non. C'est justement l'exemple du meilleur compromis, en tout cas pas décisif : la centralisation est le moindre mal, même si ce n'est pas la solution parfaite.
Ne payez jamais, recommandent les autorités. Mais en cas d'attentat, beaucoup cèdent, niant peut-être l'avoir fait. Comment pouvons-nous être sûrs que les victimes ne paient pas la rançon, peut-être en la déguisant en conseil pour nettoyer les systèmes du piratage ?
Gigantesque problème, qui a des analogies évidentes avec celui des kidnappings. A la différence qu'ici il est vraiment difficile de vérifier si la rançon des données volées a été payée ou non. Il existe des portefeuilles bitcoin, des triangulations, précisément le masquage avec conseil en désinfection. Au cours des chaudes journées d'enlèvements, une loi a été adoptée sur le gel des avoirs comme moyen de dissuasion contre le grand commerce des enlèvements. Certains réclament une norme similaire pour le secteur des données informatiques. J'ai peur que ce soit difficile à mettre en place. Comment bloquer les fonds d'une grande entreprise sans l'immobiliser ? Je poserais le problème d'une autre manière : payer la rançon est le dernier recours et en aucun cas il ne faut être démuni face à cette éventualité. Une éventualité qu'il faut cependant prendre en compte. Un peu comme ce qui se passe, par exemple, pour la prévention des incendies. Car trop souvent les pratiques s'arrêtent à la prévention et non à la préparation et à la planification des comportements à adopter en cas d'attaque réussie. Et là les consignes sont connues mais tout le monde ne les applique pas avec précaution, à commencer par une stratégie efficace et continue de sauvegarde des données. Ce qui lui permet d'être restauré à tout moment et n'importe où. Ainsi, les données sont enregistrées, mais sécurisées. Bien sûr, le problème de la diffusion par la personne qui les a volés demeure, qui est la technique utilisée par les criminels dans les dernières affaires de vol.
Précisément. Ce qu'il faut faire?
La seule mesure de sécurité réalisable est l'utilisation de la cryptographie, une opération qui n'est pas simple et invoquée à la hâte par beaucoup comme une panacée. Ici aussi, la sécurité est loin d'être garantie. Si le disque dur est volé à ce moment-là, s'il est bien crypté, il est pratiquement inviolable. Mais s'ils volent des données chiffrées dans leur phase opérationnelle avec leur clé de chiffrement, ce qui est très souvent le cas, la sécurité n'est pas du tout garantie.