Sécuriser des courants d'air
S’il y a bien une chose dont internet ne s’accommode pas, c’est la sécurité ; en témoigne la récente vague d’indignations qui a agité les médias et les internautes concernant une hypothétique fuite de messages privés dans les fils d’actualité – publics – des utilisateurs de Facebook. En témoigne également cette étude menée par Havas Media sur les « Déconnectés 2.0 », selon laquelle 35 % des internautes considèreraient « l’insuffisance de la protection des données personnelles comme un frein à l’utilisation d’internet ».
De fait, un internaute est chaque jour confronté à une inscription qui requiert le saint des saints, le sésame : la combinaison identifiant/mot de passe. Passons sur le fait que le protocole utilisé dans la majorité des cas pour encrypter ces données – pour le moins sensibles – soit obsolète depuis sept à huit ans, mettons également de côté le fait que beaucoup de sites web stockent aujourd’hui les identifiants et mots de passe de leurs utilisateurs sans chiffrement aucun.
Restent alors des utilisateurs dont le réflexe demeure d’utiliser des identifiants simples et, pis que tout, d’utiliser les mêmes quels que soit le site en question : c’est alors autant de dominos, un maillon donnant accès à toute la chaîne. Pour exemple, en mai 2012, un jeune américain dénommé Chris Chaney a piraté des dizaines de boîtes mails de stars hollywoodiennes. Sa technique ? Celle d’un hacker ultra-brillant, doté de connaissances pointues dans les systèmes d’information ? Loin s’en faut. Il lui a suffi d’une unique adresse mail, et d’en retrouver le code grâce aux fameuses questions secrètes (dont les réponses se trouvent dans n’importe quel magazine people…) : il a paramétré le compte pour recevoir automatiquement tous les messages qui y étaient émis ou reçus, et a pu accéder à un répertoire complet d’autres comptes où s’infiltrer.
Mais, à la source, le premier problème est la confiance que l’on octroie à ces services en ligne : une start-up dérisoire pourrait trouver alléchant de vendre son carnet d’adresse pour renflouer ses caisses. Et quant aux mastodontes, tels que l’IEEE, les multiples scandales sur la fuite d’identifiants ne sont pas pour nous rassurer.
Au petit jeu de la sécurité sur internet, Macintosh a longtemps fait figure d’exception : pas de virus, pas d’infection, une sécurité optimale. On lui a volontiers opposé les déboires de Windows, perclus de virus.
Mais à l’heure où le Mac représente près de 12 % des ordinateurs et où l’iPhone représente 17 % des smartphones dans le monde, les attaques se multiplient contre le système d’Apple. Et là où Microsoft a acquis un savoir-faire et une expertise dans le domaine, Apple se trouve démuni, tant sur la plan technique que sur celui de la communication.
C’est en effet l’un de ses arguments-phares qui s’effondre, et la réaction de la première valorisation boursière au monde n’est pas pour accroître sa crédibilité : après la découverte du virus Flashback infectant 600 000 ordinateurs, il a fallu plus d’un mois à la firme pour proposer un correctif. Plusieurs éditeurs d’antivirus l’avaient devancé, de deux semaines pour le plus réactif.
Mais les acteurs de l’internet et des nouvelles technologies savent à quoi s’en tenir : rares sont ceux qui s’aventurent à communiquer sur la sécurité qu’ils proposent. Un exemple parlant ? La page d’accueil du Cloud (service de stockage en ligne) de Google, « Google Drive », vante l’accessibilité du service, la possibilité de partager ce que l’on y stocke, l’espace disponible, la facilité de collaboration autour d’un document… Un absent, vous dites ? En effet, quid de la protection des documents ainsi mis en ligne ? Ne cherchez plus : le nom « Google » passe pour être une caution suffisante dans ce domaine. Pour être tout à fait honnête, Google aborde bien la question de la sécurité, avec cet argument : si votre ordinateur vient à imploser, pas de panique, tout est en ligne. Voilà tout. Rappelons qu’il n’a fallu que quelques heures au FBI pour saisir les serveurs de Megaupload (et donc leur contenu).
Le premier des risques aujourd’hui est la banalisation : l’illusion de sécurité diminue la vigilance des internautes, rentrer un mot de passe et un identifiant (couramment identiques pour plusieurs services) suffit souvent à nous faire croire que l’on possède l’unique clef d’une porte infranchissable ; sans penser une seconde à ceux qui s’introduisent par la porte de derrière, et sans s’imaginer que le propriétaire pourrait être demain celui qui ouvrira grand les fenêtres. Ajoutons que la multiplication des achats sur internet, donc la diffusion des données bancaires, tend à rendre la fuite de données personnelles nettement plus rentable. Enfin, on soulignera qu’a contrario, et à défaut d’éduquer les utilisateurs, une société comme Amazon ne manque pas d’ingéniosité pour s’assurer un contrôle total et sans partage sur ses livres électroniques, au point de pouvoir les effacer sur votre liseuse, et ce sans vous en avertir. Deux poids, deux mesures ?
Oscar Dassetto