avril 26th, 2013

Le paradoxe est aussi criant qu’une manifestation pour le désarmement organisée par le Parti Communiste dans les années 50 : Microsoft se lance dans une campagne ayant pour thème la préservation et la défense des données personnelles, campagne qui débute par un questionnaire relativement indiscret sur les us et coutumes des internautes. C’est là le point d’orgue d’une campagne de reconquête d’image de marque sur le thème « your privacy is our priority », ponctuée de discours lénifiants décrivant la croisade de la Balmer’s company contre la fuite d’information à caractère personnel.

En ligne de mire, Google, bien entendu, qui joue dans cette histoire le rôle du méchant. La diabolisation de l’ennemi Microsoft numéro 1 a débuté notamment avec l’activation par défaut de la fonction « do not track » dans son navigateur Internet Explorer, fonction qui existe mais qui est désactivée par défaut dans Chrome. A ceci, il faut ajouter l’image relativement sulfureuse que traîne Eric Schmidt, executive chairman et ex CEO de Google, qui a longtemps eu, à l’égard du terme privacy, une attitude assez désinvolte, dont se souvient aussi bien Wikipedia que l’EFF.

Et pourtant, alors qu’Eric Schmidt rêvait de ficher tous les citoyens de la terre et de fusionner les fichiers personnels grâce au projet Digital Me (il n’était alors que PDG de Novell), Microsoft développait son gestionnaire d’identité numérique Passport et utilisait force cookies et moult envois de messages étranges vers des adresses IP peu connues chaque fois que bootait un Windows. L’action de Microsoft est louable, mais il est important de se souvenir des actions passées pour juger objectivement les actes du présent.

Le « DBIR » ou 2013 Data breach investigation report de Verizon met l’accent cette année sur les risques liés à l’espionnage. Une sorte de mode, semble-t-il, qui prend un essor très important depuis ces deux ou trois dernières années, et dont 96% des opérations répertoriées sembleraient toutes provenir de Chine. Voilà qui ne nous change pas trop des conclusions du rapport Mandiant sur les origines supposées des APT. Sur plus de 620 cas de fuites de données, 20% pourraient être attribuées aux cyber-espions de l’Empire du Milieu. Et n’allez pas croire, affirment les rédacteurs du rapport, que seules les agences gouvernementales US et Européennes sont visées. On compte, parmi les victimes, des entreprises du secteur privé, de la multinationale à la TPE, avec une prédilection particulièrement marquée pour les secteurs « brick and mortar » ou des transports contrairement aux actions mafieuses qui visent les secteurs financiers ou de la distribution : l’infrastructure avant l’économie, car la première est à l’origine de l’autre.

Pourtant, rien encore ne semble indiquer l’existence de l’espionnage industriel simple. L’une des rares affaires devenue un cas d’école, fut l’affaire Michael Haephrati, qui révéla, dans les années 2005, que la moitié du monde des affaires d’Israël surveillait les activités de l’autre moitié. Ces méthodes concurrentielles décomplexées ne peuvent être un cas isolé, tant dans l’espace que dans le temps. Mais l’espionnage d’Etat fait vendre et marque les esprits autant que les APT et bien plus que la guerre économique agressive.

Parmi les autres vecteurs de fuite de données, le DBIR Verizon revient sur l’éternel mythe de l’ennemi intérieur. Contrairement aux arguments des vendeurs de DLP, Verizon estime que les fuites organisées par des collaborateurs ne dépassent pas 14% des cas, et que celles orchestrées par des « partenaires » ou collaborateurs extérieurs ne décollent pas de la barre des 1%. Et encore, ces fuites ne sont-elles pas toujours intentionnelles. Dans bien des cas recensés, il s’agit de simples manquements au principe de précaution. Les collaborateurs copient des informations sur clefs USB ou se les retransmette via email pour « pouvoir travailler chez eux ». L’intention de nuire est pratiquement absente.