Grand Angle - Conférence des Grandes Ecoles

Grand Angle

La lettre d'information de la Conférence des Grandes Écoles

N°82
Mars 2017

Imprimer la page
Lettres d'informations précédentes

Sécuriser les données dans « Dataland » ?

Au fil des siècle l’être humain a appris à sécuriser les périmètres de l’espace physique où il vivait. Remparts de Carcassonne, porte de Valenciennes à Douai, postes frontières : ce sont des vestiges de cette pratique.

Aujourd’hui il existe un nouveau continent, virtuel mais de plus en plus présent dans nos vies, qu’on pourrait appeler « Dataland » : le vaste continent des données numériques, au cœur du Net. Ce continent, qui croît réellement de manière exponentielle, n’a ni frontière physique, ni gouvernants, ni poste frontière, ni remparts. Ses visiteurs se jouent facilement des lois du monde réel. On y trouve de tout : des cours en ligne, des réseaux sociaux, des sites web de commerce électronique. On y trouve aussi des choses plus dérangeantes, plus noires, cela va de sites où on peut acheter des malwares, des photos pédopornographiques ou, comme il a été observé récemment, des dossiers médicaux à vendre. Si ce continent numérique reste fascinant et va probablement changer le monde d’une manière difficile à évaluer aujourd’hui, il a un point faible : son territoire est peu ou mal sécurisé, les lois qui y règnent sont souvent obscures à interpréter pour un non juriste et la complexité juridique de certains montages dépassent souvent l’appareil judiciaire en cas de conflit.

Les statistiques montrent que des centaines voire des milliers d’ordinateurs sont attaqués chaque seconde dans le monde : celui d’une PME, celui d’une grande entreprise, d’un ministère ou le vôtre.

Que recherchent ces « hattackants » ? De l’information, toujours de l’information mais sous forme numérique. Pourquoi ? Pour vous prendre de l’argent ou vous en faire perdre : identifiants bancaires, coordonnées de carte bleue : tout ce qui peut servir à usurper une identité dans le monde réel ou tout ce qui peut servir à exiger une demande de rançon. Par exemple, un ransomware (logiciels malveillants1) prend en otage vos données personnelles ou celles de votre entreprise et, s’il n’est pas bloqué, va les chiffrer puis vous proposera de payer une rançon en échange d’une clé pour déchiffrer. Ces « logiciels » sont de véritables plaies : quelques hôpitaux en Europe et aux US ont été attaqués en 2016 et pendant plusieurs jours ont dû cesser nombre de soins. Et n’oublions pas que dans certains pays, hélas nombreux, et ce, au XXIe siècle, publier sur le Net ses envies de plus de démocratie peut vous valoir des coups de fouet, de la prison, une condamnation à mort ou une disparition pure et simple.

Un petit test : comment savoir si vous êtes vulnérable ? Voici une liste de quelques règles d’hygiène virtuelle (non exhaustive) :
• Cliquez-vous sur un fichier attaché dont vous n’êtes pas sûr de la provenance ?
• Avez-vous installé un antivirus sur votre ordinateur personnel ?
• Le configurez-vous correctement si vous en avez déjà un ?
• Utilisez-vous plusieurs navigateurs web ?
• Nettoyez-vous régulièrement vos cookies (supprimez les ça ira plus vite !) ?
• Quand vous quittez votre domicile, vous fermez votre porte réelle à clé ? Faîtes-vous de même pour vos connexions ? Coupez-vous votre wifi ?
• Éteignez-vous correctement votre ordinateur ?

Si vous avez répondu oui à la 1ère question et non aux autres, je vous conseille de faire quelques efforts ! Vous avez ou vous serez fort probablement une « victime numérique ».

Ces « hattackants » font des choses illégales mais il y a, de mon point de vue, plus insidieux : ce qu’on pourrait appeler les attaques « légales ». Prenons par exemple le droit à l’oubli numérique, notion apparue à la fin du XXe siècle, dont voici une bonne définition2 : «il permet à un individu de demander le retrait de certaines informations qui pourraient lui nuire sur des actions qu’il a faite dans le passé ».

Toute personne a, en tout cas en Europe, ce droit à l’oubli numérique. Mais il reste très difficile à faire respecter aujourd’hui par les entreprises de la Silicon Valley, les fameuses GAFA ou leurs versions chinoises : les BATX. Une chose est sûre : à chacun de vos passages dans « Dataland », que ce soit pour une requête ou un achat, vous y laissez des traces. Des traces numériques. Nombreuses et souvent faciles à suivre. Vous faites une requête sur votre moteur de recherche favori ? L’entreprise derrière ce moteur va tout stocker : la date, votre IP, votre requête, et. ; ainsi, elle peut savoir combien de personnes en France ont fait une recherche sur « échangisme » hier. Et cette information va vivre très longtemps. Il est assez troublant par exemple de se dire que sur certains réseaux sociaux, arrivera un jour où il y aura plus de fiches de personnes décédées que de fiches de personnes vivantes…

Vous l’aurez compris, « Dataland » est un monde excitant mais dangereux : tout utilisateur devrait, doit serait plus approprié, comprendre un minimum ce qu’il fait lorsque qu’il visite ce continent. Il faut donc de l’éducation. Encore et toujours de l’éducation.
Il faut des lois, des normes, des règles pour « Dataland » mais aussi du bon sens. Ceci est un chantier titanesque. La structure même du Net, ses frontières virtuelles qui ne correspondant pas aux frontières géopolitiques, sa gouvernance, son fonctionnement ses protocoles, tout doit être revu pour qu’on puisse naviguer dans « Dataland » sans crainte.

En attendant : oui, il faut donc des lois, oui il faut des règles sur le Net ; mais il faut aussi des droits et des débats. Le Net est une création humaine qui ne doit pas oublier l’humain mais, en attendant : faites attention !

 

[1] https://fr.wikipedia.org/wiki/Ransomware
[2] https://fr.wikipedia.org/wiki/Droit_à_l'oubli


Robert Erra
Directeur du Laboratoire Sécurité & Système
EPITA (LSE)

A propos de Robert Erra

Robert ERRA est Directeur du Laboratoire Sécurité & Systèmes d’EPITA.
Dans sa carrière, il a créé et géré plusieurs formations en sécurité de l’information, tant en France qu’au Maroc, trois MS, un MSc et deux BADGES, tous accrédités CGE. Ses recherches portent sur l‘algorithmique en général et plus particulièrement en ce moment sur deux thèmes :
1. La classification et l’analyse à très grande échelle de malware.
2. Les algorithmes d’analyse des très grands graphes, ce qu’on appelle les graphes géants du web.

A propos d'EPITA

Créée il y a 32 ans, l’EPITA est l’école d’ingénieurs qui forme celles et ceux qui imaginent et créent le monde numérique d’aujourd’hui et de demain. À la pointe de l’innovation dans ses contenus et dans ses approches pédagogiques, l’école s’adapte en permanence aux besoins des entreprises dans un domaine particulièrement évolutif.
La qualité de ses enseignements et de ses laboratoires de recherche, ainsi que le dynamisme de ses 6800 diplômés présents dans plus de 2000 entreprises et startups ont établi sa réputation d’excellence en France comme à l’étranger.

CGE – Conférence des Grandes Écoles - 11 rue Carrier-Belleuse 75015 Paris
Tél. : 01 43 26 25 57 - Contact : info@cge.asso.fr - Site Internet : www.cge.asso.fr

Pour recevoir notre lettre d’information, inscrivez votre email ci-dessous :

Les informations recueillies font l’objet d’un traitement informatique destiné à la gestion de la lettre d’information « Grand angle ». Les destinataires des données sont les membres du service communication de la CGE. Conformément à la loi « informatique et libertés » du 6 janvier 1978 modifiée en 2004, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent, que vous pouvez exercer en vous adressant à CGE – Rédaction Grand Angle, 11, rue Carrier-Belleuse 75015 Paris.
Vous pouvez également, pour des motifs légitimes, vous opposer au traitement des données vous concernant.