Ni les dizaines de milliers d’emails du parti démocrate américain, ni les 1.5 milliards de comptes Yahoo n’ont été volés par des «pirates». Ces «fuites d’informations» qui font de plus en plus souvent l’actualité échappent souvent à la précision qu'elles méritent. Les mots ont un sens, et on ne saurait sérieusement appréhender ces vols d’information sans prendre en compte la diabolisation persistante des hackers, ceux-là mêmes qui sont pourtant aux premières lignes pour lutter contre la «délinquance informatique» (mais que d’aucuns préfèrent qualifier de «cybercriminalité»).
A en croire l’imagerie populaire, complaisamment relayée par la quasi-totalité des médias, les hackers portent en effet des sweats à capuche, des cagoules de motard (voire des lunettes noires), et même des gants pour tapoter (souvent dans le noir) sur le clavier de leurs ordinateurs. Sans oublier, cerise sur le (cyber)gâteau, des lignes de code à la Matrix en guise de tapisserie.
Je n’ai jamais tenté d’écrire sur un clavier, dans le noir, avec des gants et des lunettes noires. Ce serait non seulement ridicule mais aussi, et au vu des fautes de frappe, complètement improductif. Non content d’être outrageusement caricatural, ce cliché est également particulièrement dangereux.
Ce n’est pas parce qu’une infime minorité de hackers exploitent leurs talents pour «pirater» des systèmes d’information que les hackers sont, dans leur totalité, des «pirates informatiques».
A LIRE AUSSIC’est même tout le contraire: si les hackers aiment bien trouver des failles, c’est pour mieux pouvoir les colmater, sécuriser nos ordinateurs, réseaux, logiciels et terminaux, faire en sorte qu’ils fonctionnent et que l’on puisse s’en servir sans risque de perte de données.
Les hackers sont aux «pirates informatiques» ce que les pompiers sont aux pyromanes, ce que les archéologues sont aux pilleurs de tombes, ce que les fact-checkers sont aux populistes et démagogues. Ils n’empêcheront jamais des gens mal intentionnés de chercher à nuire, mais ils sont les mieux placés pour nous en prémunir.
Les hackers n’en sont pas moins représentés, depuis des années, avec fort peu de mesure et de subtilité.
#Fails très humains
On ne sait pas encore comment Yahoo a pu être piraté (sinon que la protection de la vie privée de ses utilisateurs ne faisait pas partie de ses priorités). A contrario, une enquête du New York Times révèle que le «piratage» ayant permis l’étalage des emails du parti démocrate sur la place publique, contribuant à l’élection de Donal Trump, n’émanait pas tant de hackers à capuche ayant écrit des lignes de code ésotériques à la Matrix que de démocrates tombés dans un piège qu’ils auraient (très) facilement pu éviter s’ils avaient été un tant soit peu sensibilisés aux modus operandi des hackers.
En matière de sécurité informatique, on a en effet coutume de dire que le problème existe entre la chaise et le clavier (PEBKAC, en VO, pour «Problem Exists Between Keyboard And Chair»): l’utilisateur, être humain doué de raison mais aux comportements bien plus facilement manipulables que ne le sont des logiciels binaires, représente en effet un «maillon faible» souvent plus simple à exploiter qu’une faille informatique de sécurité.
En l’espèce, des barbouzes avaient envoyé des centaines d’e-mails, censés émaner de Google, aux responsables du parti démocrate, leur expliquant que leurs adresses Gmail avaient fait l’objet d’une tentative de piratage, et qu’il convenait de modifier leur mot de passe en cliquant sur une adresse qui... n’avait rien à voir avec Gmail. Deux d’entre-eux l’ont fait: l’un à 4h du matin (et donc sans trop réfléchir), l’autre parce que l’informaticien à qui il avait été demandé conseil répondit que ledit mail était «légitime»... alors qu’il voulait écrire «illégitime». #FAIL.
A LIRE AUSSIDans les deux cas, il leur aurait pourtant suffit d’activer, au préalable, la double authentification, permettant de recevoir un SMS en cas de tentative de connexion depuis un ordinateur non encore autorisé, pour comprendre que leurs Gmail n’avaient, de fait, pas fait l’objet de tentatives de piratage. Il leur aurait également suffit de lire l’URL les invitant à changer leur mot de passe (qui renvoyait à http://myaccount.google.com-securitysettingpage.tk) pour constater qu’il ne s’agissait pas d’un site contrôlé par Google, mais d’une usurpation d’identité.
Une histoire de pieds nickelés
L’enquête du New York Times révèle également que le parti démocrate n’avait (soi-disant) pas suffisamment d’argent pour se payer autre chose qu’un simple filtre anti-spam, que l’agent du FBI qui l’avait prévenu d’un piratage en cours s’était contenté de les avertir par téléphone, sans pour autant prendre sa voiture pour venir in situ en discuter avec eux (alors que son bureau était à moins d’un kilomètre), entre autres bévues faisant plus penser à une histoire de pieds nickelés qu’à une affaire d’espionnage opposant les deux plus grandes puissances mondiales.
La Russie est peut-être à l’origine du piratage, encore qu’il serait très simple, pour des hackers un peu futés, de se faire passer pour des Russes afin de le lui attribuer, comme l’a très bien expliqué The Intercept.
La diabolisation persistante des hackers me semble tout autant, sinon encore plus, responsable du fait que cette tentative de piratage a fonctionné
A contrario, la diabolisation persistante des hackers me semble tout autant, sinon encore plus, responsable du fait que cette tentative de piratage a fonctionné.
Les dangers de la diabolisation
Il est en effet tellement plus simple (et vendeur) de faire peur que d’expliquer comment se protéger, d’agiter le spectre ou le chiffon rouge du méchant «hacker» (portant, au choix, une balaclava ou un masque d’Anonymous) que de sensibiliser les gens aux règles de base de la sécurité (et donc de l’hygiène) informatique.
Le meilleur moyen de se protéger, et de se prémunir, de ce genre de «piratage» informatique est d’apprendre aux gens ce que sont les hackers, les techniques, trucs et astuces qu’ils utilisent pour trouver des failles de sécurité, et celles dont ils se servent pour, précisément, s’en protéger.
A contrario, la façon dont, en règle générale, les médias et les autorités ont de parler de ces questions-là est à peu près aussi censée que lorsque, dans les années 80, ils qualifiaient le SIDA de «cancer gay», accusant les homosexuels d’en être responsables, tout en laissant croire que les hétérosexuels, eux, ne risquaient rien, et sans expliquer qu’il existait pourtant des méthodes pour tenter de s’en prémunir.
En l’espèce, ce type d’attaque, dite de «spear phishing», est bien connue. Le gouvernement US y consacre de nombreuses pages, dont une campagne de sensibilisation initiée par le directeur national du renseignement... que les deux démocrates qui sont tombés dans le panneau n’avaient probablement pas consulté, quand bien même leurs postes faisaient pourtant d’eux des cibles susceptibles de pouvoir contribuer à déstabiliser la démocratie US, et qui auraient donc du être, sinon sensibilisés, en tout cas protégés par les autorités.
A contrario, les sites web du gouvernement français n’en parlent quasiment pas, la page que l’ANSSI (l’agence en charge de la cyberdéfense) y consacre se bornant à expliquer les conséquences qu’elle peut entraîner, mais pas comment s’en prémunir... L’ANSSI propose certes des «règles de base» et «précautions élémentaires», mais le portail securite-informatique.gouv.fr qui était censé sensibiliser les Français à ces questions a tout bonnement été effacé lors de la mise à jour du site de l’ANSSI, en février 2015 (nonobstant le fait qu’il n’était plus mis à jour depuis décembre 2013).
Les révélations Snowden ont certes changé la donne, au sens où les hackers semblent, de plus en plus, perçus comme faisant plus partie de la solution que du «problème». Pour autant, on ne combattra pas l’insécurité informatique en continuant à véhiculer de tels clichés anxiogènes, tout en n’expliquant pas aux gens comment se protéger de telles attaques basiques.
En attendant, l’histoire se souviendra peut-être que ce climat de «post-vérité» qui a entraîné l’élection d’un populiste démagogue xénophobe et misogyne à la tête de la première puissance mondiale ne relève pas que des seules informations biaisées et mensongères véhiculées sur les réseaux sociaux par des gens infoutus de les vérifier. Il en va aussi de la responsabilité des médias, qui véhiculent complaisamment, depuis des années, des clichés éculés empêchant l’opinion publique d’appréhender correctement les questions les plus basiques de sécurité informatique.
