avril, 2013

Chaque mois, l’équipe marketing de Kasperky publie une page de calendrier déclinant le genre « sécuritaire répressif » sur tous les tons. On y découvre, pour le seul mois d’avril, la commémoration de 4 arrestations et incarcérations de cyber-malfrats et d’une cyber-attaque d’envergure. Il n’y a pas si longtemps, les calendriers sécu prévenaient des attaques probables perpétrées par les virus cycliques… remember Vendredi 13.

Ce glissement progressif de la prévention vers l’apologie de la vengeance n’est pourtant pas une constante chez les ténors de la sécurité. Cette semaine, Bruce Schneier renoue avec son style contestataire des années 90, et prend le contrepied de l’information sécurité officielle pour en faire une lecture transposée sur le mode Syrien. Il rappelle ainsi que bon nombre de méthodes employées par les dictatures en général ne sont que l’interprétation amplifiée de réflexes courants dans le monde de l’industrie. La censure, par exemple, s’appelle souvent « filtrage de contenu » dans les démocraties bien pensantes. La propagande, continue-t-il, n’est qu’une forme exagérée du marketing. Les outils de surveillance de l’individu, de ses actes et de ses écrits ne sont, dans les sociétés totalitaristes, qu’une utilisation un peu plus poussée des systèmes d’analyse comportementale et de monitoring des consommateurs. Idem pour les techniques de contrôle qui « bordent » les utilisateurs travaillant au sein d’une architecture réseau et limite l’usage qu’ils pourraient faire des ordinateurs qu’ils utilisent sur leur lieu de travail.

La technologie n’est qu’un amplificateur des outils du pouvoir, conclut Schneier, qui rappelle, par quelques exemples, que des équipements initialement destinés à sécuriser et optimiser des activités commerciales (BlueCoat, Sophos, système de reconnaissance faciale de Disney etc.) sont également employés, à des fins nettement moins économiques et nettement plus politiques en Syrie ou en Chine. En France, fort heureusement, les entreprises baignant dans les eaux troubles de l’outil policier-mais-pas-trop ne font plus partie du portefeuille d’actions de nos grands groupes industriels informatiques …

Chaque année s’alourdit la liste des organismes référents utilisés par les statisticiens de la cyberdélinquance de Verizon. L’an passé, le « data breach report » comptait six sources d’information. Cette année, ce ne sont pas moins de 19 organisations qui ont été compilées, parmi lesquelles on trouve les CERT ICS, Carnegie Mellon, de Malaisie, des USA (US-Cert), et des organismes tels que les Services Secrets US, l’armée et la police Danoise, les polices Espagnole, Hollandaise, Irlandaise, Australienne, sans oublier bien entendu le Response Team de Verizon lui-même.

Cette profusion (et très probablement disparité) des métriques utilisées rend l’exercice particulièrement risqué et impressionnant. D’autant plus que l’étude porte cette année sur plus de 4500 « affaires » dont 850 cas de fuites ou pertes de données déclarées soit, en une seule année, près de 45% de la totalité des affaires que l’équipe de Verizon a pu décortiquer durant les dernières années. Le rapport devrait être publié dans le courant du printemps, à télécharger après pré-inscription sur le site de l’opérateur-prestataire de service. Remarquons au passage que l’annonce de disponibilité de ce travail d’analyse statistique titanesque a fait l’objet d’un poisson d’avril, annonce qui a du faire légèrement tressaillir le zygomatique droit des plus sérieux analystes.