Deux urls et quelques chiffres pour déconstruire le mythe du malware téléphonique dans les colonnes d’IT Knowledge Exchange : les URL tout d’abord. Celle d’une étude Nielsen sur la répartition par constructeur du marché des téléphones. L’iphone plafonne à 4%, talonné par les Blackberry 83xx (3,7% ; au total, RIM totalise 6% de la base installée) suivis par les Motorola V3 (2,3%). Ces chiffres reflètent l’état de l’art du marché américain (origine confirmée par les contenus Web et vidéo consultés avec lesdits terminaux mobiles). Mais il y a très peu de chances que les proportions soient très différentes en nos contrées. 4% d’un marché, ce n’est généralement pas suffisant pour faire lever dès potron-minet un développeur de code infectieux. Le marché du Macintosh et de Linux en est une preuve indiscutable et quotidienne.
Et ce n’est pas près de changer, compte tenu de l’inertie du marché. Au prix de l’iPhone, les usagers essayent de faire durer leur terminal le plus longtemps possible. Au moins durant les deux années du contrat initial liant les clients américains à leur opérateur. Et l’arrivée de Google va contribuer à atomiser encore plus le nombre de plateformes. En d’autres termes, semble dire Robert Westervelt, l’auteur de l’article, plus le marché est captif, plus il y a de concurrence, moins il existe de compatibilité et de standardisation, moins risque-t-on de cyber-attaques téléphoniques à coup de Skud viraux via SMS et de Pershing troyens par emails interposés. La seconde URL pointe sur une étude du Gartner, qui dresse plus ou moins le palmarès des noyaux embarqués dans les téléphones intelligents. Premier toutes catégories confondues : Symbian, avec 50% du parc mondial (ndlr : des téléphones « intelligents », qui ne sont pas encore, malgré une forte progression, en majorité par rapport aux terminaux « romés » d’entrée de gamme). Mais là encore, les multiples différences d’intégration et surtout le morcellement du marché par pays, opérateur, voire même des limitations spécifiques à certaines formules d’abonnement rendent la conception d’un «Conficker du cellulaire » quasiment impossible à imaginer à l’heure actuelle. Demeurons vigilant, conclut l’auteur, mais ne sombrons pas dans la paranoïa.
Consensuel. Le choix d’Howard Schmidt au poste de « coordinateur cybersécurité » de la Maison Blanche rassurera aussi bien les Républicains que les Démocrates. Les uns parce que Schmidt fut déjà le conseiller cybersécurité de l’administration Bush, les seconds parce qu’il a été nommé par Obama. L’on pourrait ajouter que son expérience passée, tant dans l’administration qu’aux différents postes qu’il a assuré dans l’industrie (notamment chez Microsoft et eBay) font de lui le candidat « politiquement le plus apte ». Security News consacre deux articles à l’ événement, le Focus publie sa bio, même F-Secure se fend d’un « bonne chance au nouveau Tzar de la sécurité ».
Schmidt devra avant tout coordonner les initiatives visant à sécuriser les différentes infrastructures télécom modernes des Etats-Unis, notamment les architectures Scada (réseaux énergie, transports, télécoms, eau…). Depuis plusieurs mois déjà de nombreux rapports et études préparent les esprits à la nécessité de structuration d’une « défense passive » des artères informationnelles des USA : états sur les cybermenaces militaires d’origines Russe et Chinoise, statistiques souvent alarmistes sur l’influence des activités mafieuses sur Internet, chiffres réellement inquiétants sur le montant parfois impressionnant des fuites de données affectant l’Administration ou les infrastructures universitaires et médicales. Un grand chantier fondamental qui n’a rien à voir avec les gesticulations d’autres « superflics de l’Internet » qui devront chasser les voleurs de poules du téléchargement illégal.
Le travail d’Howard Schmidt sera-t-il couronné de succès ? rien n’est moins sûr. Jusqu’à présent, les multiples « Tzars de la cybersécurité » qui se sont succédés à la Maison Blanche n’ont été à l’origine que de « mesurettes » timides et peu efficaces, faute de moyens financiers importants, faute surtout de véritable pouvoir exécutif.
Mais cette crainte ne semble pas partagée par tous. A peine la nomination de Schmidt officialisée que Melissa Hattaway milite pour la création d’une sorte d’Otan de la cyberdéfense. Cette ex-conseillère de l’Administration Bush et Acting Senior Director for Cyberspace sous l’Administration Obama, généralement très écoutée par toutes les tendances politiques US, publie un long texte sur Executive Biz expliquant pourquoi il est nécessaire de créer une Task Force internationale pour lutter contre le crime organisé. Les motivations sont, sans le moindre doute, louables, mais très souvent c’est dans la traduction de ces grandes idées en textes de loi et en organisation administrative que ces grandes initiatives de défense tournent rapidement en déconfiture aussi kafkaienne qu’inefficace. S’il est indiscutable qu’un dialogue inter-polices doive s’établir afin de mieux lutter contre les opérations cybermafieuses, il est avant tout nécessaire que chaque pays commence par légiférer sérieusement sur certains fondamentaux. A commencer par des législations antispam non permissives, une responsabilisation directe des registrars et des hébergeurs, et un strict refus par les états d’utiliser des méthodes de voyous. Que cela concerne l’usage de spywares « officiels » ou l’exploitation de fichiers que l’on sait volés. Avant que de telles dispositions soient observées, l’initiative de Melissa Hattaway risque de ne donner naissance qu’à un organisme de plus, aussi efficace que le fut la Société des Nations.