Sony Picture et le vigilantisme

Pedestrians are reflected in a logo of Sony Corp outside its showroom in TokyoDans la foulée du piratage informatique de Sony Picture mentionné dans mon dernier billet, on apprend maintenant que l’entreprise a décidé de répliquer en effectuant une attaque distribuée de déni de service (DDOS) sur plusieurs serveurs utilisés par les pirates pour divulguer l’information volée.

Le but de Sony Picture ici est d’empêcher au maximum la diffusion de l’information sensible volée. Compte tenu de la facilité à laquelle l’information circule facilement sur Internet, c’est une stratégie qui est ultimement vouée à l’échec. Mais à court terme, elle pourrait être suffisamment efficace pour faire taire la machine à scandale, le temps que les médias décident de s’intéresser à une autre histoire.

On peut se poser des questions éthiques quant à l’utilisation de tels moyens par une entreprise. Il s’agit d’un acte criminel dans plusieurs juridictions et dont sont victimes un grand nombre d’organisations légitimes à chaque année. Ce genre de vigilantisme n’a normalement pas sa place dans les sociétés démocratiques, et on pourrait très bien dire que ce principe s’applique à Internet. Après tout, beaucoup de contenu parfaitement légitime peut également se retrouver sur ces serveurs, et la réplique de Sony Picture aura également un effet sur leur disponibilité – créant des victimes collatérales, quoi.

Dans une société de droit, on devrait plutôt demander à Sony Picture de faire confiance aux autorités judiciaires compétentes. Et c’est là qu’on frappe un mur: les ententes internationales et méthodes d’enquêtes – sans compter les priorités nationales en matière de lutte au crime – ne sont pas encore capables de gérer efficacement le phénomène du piratage informatique international. Sony Picture a décidé de prendre les choses en main tout simplement parce que personne d’autre n’allait vraiment le faire.

Et ce n’est pas la première fois que des acteurs industriels en viennent à cette conclusion. Tout récemment, l’entreprise de sécurité Novetta a publié un rapport sur l’opération SMN, qu’elle a organisée en collaboration avec de nombreux grands acteurs commerciaux de l’informatique aux États-Unis. Cette opération avait pour but d’attaquer le groupe chinois Axiom, soupçonné d’un grand nombre d’attaques informatiques dans le passé, et de stopper leurs activités chez le plus grand nombre possible de victimes. On parle ici d’une opération de grande envergure, demandant la collaboration d’entreprises qui ne sont pas toujours habituées à travailler ensemble. En comparaison, la réplique de Sony Picture est beaucoup plus banale dans sa complexité.

Axiom, tout comme Gardian of Peace, sont des groupes de pirates qu’on soupçonne fortement d’être influencés, financés ou carrément contrôlés par les gouvernements Chinois et Nord-Coréen. Ceci est démenti par les autorités respectives, mais c’est tout à leur avantage de faire ainsi, surtout qu’il demeure pratiquement impossible de démontrer ces liens hors de tout doute. On se retrouve donc avec des acteurs commerciaux effectuant des attaques informatiques illégales sur des cibles qui sont potentiellement des actifs gouvernementaux de puissances étrangères. Un cocktail qui pourrait s’avérer explosif dans le futur.

L’affaire Sony Picture

sony_hackSony Picture, un producteur et distributeur cinématographique bien connu, est la dernière grande victime d’un acte de piratage informatique révélé fin novembre. On en parle déjà comme le pire cas de l’histoire, et ce qu’il y a de malheureux avec cette distinction, c’est que les records existent pour être battus.

Tout y est passé. Salaires des cadres et employés, incluant producteurs, directeurs et acteurs de renoms qui sont associé(e)s à l’entreprise. Budgets de l’ensemble des départements. Information personnelle et médicale des employés. Correspondance par courriel. Notes internes. Scripts en attentes d’être filmés, et films en attentes d’être distribués.

Non seulement près de 100 téraoctets (!) d’information ont ainsi été subtilisées des systèmes de l’entreprise, mais plusieurs d’entre eux ont été délibérément mis hors service pendant plusieurs jours. C’est en soit inhabituel, mais cet aspect et certains autres détails reliés au crime rappellent beaucoup l’attaque sur les systèmes sud-coréens en 2013.

Le crime est impressionnant et unique à cause de la grande quantité et la grande variété des informations subtilisées. Dans le crime informatique classique, l’objectif est souvent de mettre la main sur de l’information ayant une valeur marchande; la victime n’est que de circonstance. Ici, le but est de carrément faire mal (très mal) à une entreprise japonaise prestigieuse. Le motif n’est pas l’appât du gain, mais la volonté de nuire. Et l’effort déployé pour organiser une telle attaque dépasse les ressources de « cyber protestataires » cherchant à faire parler d’eux avec un coup d’éclat.

Des spéculations informées n’ont pas tardé à faire surface quant à l’identité des auteurs. L’acte a été revendiqué par un groupe qui se nomme Gardien of Peace (GOP), et qu’on soupçonne fortement d’être soit affilié, soit directement contrôlé par le gouvernement nord-coréen.

Sony Picture s’apprête en effet à présenter une comédie (The Interview) mettant en « vedette » le dirigeant Kim Jong-Un, un geste qui a été vocalement critiqué, parce que vu comme un affront venant du Japon, un pays en froid depuis longtemps avec le régime de Pyongyang. Les auteurs ont d’ailleurs explicitement exigé son retrait du grand écran.

Il est encore trop tôt pour savoir dans quel état Sony Picture émergera de cette expérience, mais on est en droit de se demander quelle sera la réaction du gouvernement japonais à un acte qui pourrait être interprété comme étant de guerre économique, surtout dans un contexte où le Japon est de plus en plus anxieux face aux menaces militaires constantes provenant de son voisin. Le crime informatique deviendrait donc pour la Corée un outil de plus à utiliser dans ses conflits incessants avec ses voisins. C’est un outil fort utile, parce qu’il n’est pas évident d’en attribuer l’auteur, ce qui rend escalades et représailles potentielles de la victime plus difficile à justifier sur une scène internationale.

Il s’agit également d’une démonstration sans équivoque de l’utilité de telles attaques informatiques pour un pays en manque de ressources comme la Corée du Nord, affaiblie par des sanctions économiques depuis des décennies. Si un tel niveau de sophistication opérationnelle leur est possible, alors il l’est également pour bien d’autres pays et organisations qui pourraient tout autant bénéficier de ce type de soft power. Et si une attaque informatique destructrice à grande échelle est possible face à une entreprise privée comme Sony, elle l’est également contre un tas d’autres systèmes informatiques dont la perte aurait des conséquences beaucoup plus néfastes.

Le Canada et ses terroristes

parlement_canadaMaintenant que la poussière est quelque peu retombée, j’aimerais commenter les évènements qui ont eu lieu la semaine dernière au Canada; je parle ici des meurtres de militaires à St-Jean et à Ottawa. On soupçonne dans les deux cas les coupables d’être des individus instables et motivés par la propagande extrémiste musulmane.

J’essaie ici de bien choisir mes mots, à cause des nombreuses choses qui se sont dites et écrites sur le sujet au cours des derniers jours dans la presse canadienne et sur les blogues et forums de discussion. Dans le cas de Martin Couture-Rouleau, l’influence de la propagande de l’ISIS s’est confirmée rapidement à travers les traces qu’il a laissées sur internet, et les services de sécurité ont admis avoir eu le meurtrier en observation à cause de son intérêt manifeste à rejoindre la lutte en Syrie. Dans le cas du second, il n’était pas connu des forces de l’ordre. Ces dernières affirment être en possession d’un vidéo prouvant que Michael Zehaf-Bibeau avait des motifs idéologiques et politiques pour commettre son geste, mais au moment d’écrire ces lignes, ce vidéo n’est pas encore disponible au public. À la lumière de ce que nous en savons à ce stade-ci des enquêtes respectives, on peut tout de même en conclure qu’il s’agit d’actes terroristes, fort probablement influencé par la propagande venant de l’ISIS, en Syrie et en Iraq.

Influencé ne veut pas dire « dirigé », ou « engagé par ». Personne ne prétend ici que les deux meurtriers avaient reçu directement la commande de la part d’un groupe terroriste d’effectuer ces actes. Mais l’ISIS, depuis plusieurs semaines déjà, encourage publiquement ses sympathisants venant de partout dans le monde occidental à commettre ce genre de crimes pour leur cause, sans planification ni engagement particulier autre que le salut éternel. Et des évènements semblables, impliquant encore une fois des sympathisants intégristes, mais citoyens des pays concernés, ont eu lieu ces derniers temps un peu partout, en Australie, en Grande-Bretagne et ailleurs en Europe. C’est donc plutôt normal d’y voir une piste des plus évidentes pour expliquer les motivations des deux individus.

Il ne faut pas avoir peur d’appeler un chat un chat, et cela vaut également pour le terrorisme. J’ai l’impression qu’une partie de la gauche désire ardemment éviter d’appeler ainsi ces deux incidents, peut-être parce qu’ils pensent que le faire reviendrait à soutenir les institutions fédérales de sécurité et de surveillance, avec toutes les critiques qu’on a peu leur faire ces dernières années. Mais c’est, en soi, un raisonnement un peu cynique. On peut reprocher aux gouvernements occidentaux d’avoir historiquement joué avec la carte du terroriste islamique pour fouetter l’électorat, mais cela ne veut pas dire qu’il faut en faire un débat sémantique en niant l’évidence.

D’autres crient déjà à la perte des libertés civiles. Par un hasard qui a tout l’air de sincère, le gouvernement s’apprêtait le jour même à déposer une loi (le projet de loi C-44) modifiant le mandat et les pouvoirs du CSRC, l’agence de sécurité canadienne. À première vue, cette loi semble réellement indépendante des évènements de la semaine dernière; elle donne principalement le droit à l’organisation d’opérer à l’étranger (au lieu de continuellement se fier à des pays alliés comme source d’information) et précise les règles de confidentialité des témoins en cas de procès pour rendre leurs droits similaires à ceux aux informateurs policiers. De quoi exciter le poil des jambes de ceux qui remettent en question l’existence d’une agence de renseignement au Canada. Personnellement j’y vois plutôt des ajustements nécessaires qui n’auraient pas eu toute cette attention médiatique en circonstances normales.

Harper a annoncé que d’autres mesures visant spécifiquement à répondre aux meurtres de la semaine dernière seraient présentées prochainement. Du peu que j’en ai lu, celles-ci permettraient aux agences de polices d’enquêter plus rapidement sur les individus qui publieraient de la propagande violente sur Internet. Comme toujours il est préférable d’attendre la teneur du texte de loi, mais une telle mesure n’est pas s’en susciter des craintes, bien justifiées, sur le genre d’abus que peut engendrer la volonté de légiférer sur l’expression libre des citoyens canadiens, aussi violentes soit-elle.

Il y a ceux qui relativisent le risque que cause le type de menace du « terrorisme spontanée ». Ce genre d’acte, effectué par des individus isolés et non organisé, et influencé par une propagande extrémiste, est un risque réel et qui dépasse même l’islamisme radical. Qu’on pense à Justin Bourque, qui a tué trois policiers à Moncton au début de l’été, et qui associe ouvertement son geste à des idées et groupes survivalistes d’extrêmes droites. Lui non plus ne faisait pas parti d’un groupe terroriste organisé. Mais l’incidence de tels évènements est si basse qu’on pourrait, individuellement, les ignorer facilement à comparer à des risques beaucoup plus communs (les accidents automobiles pour ne nommer que le plus évident). Si c’est si rare, pourquoi nous en faire avec un ou deux morts de plus? Ce n’est pas la première fois que des individus instables en viennent à commettre de tels actes, pourquoi s’en faire précisément avec ceux-là? Ce ne sont pas de mauvais arguments.

Sauf qu’il y a quelque chose de dangereux à vouloir ignorer les crimes motivés idéologiquement. Dans les trois cas (St-John, Ottawa, et Moncton avec Justin Bourque), les meurtriers ont été influencés par de la propagande extrémiste islamique pour les deux premiers, et libertano-survivaliste (à défaut d’avoir meilleure expression) pour le troisième. Leur geste (ou sacrifice, de leur point de vue), contribue à promouvoir l’idéologie qu’ils représentent. Les ignorer serait, pour une société démocratique, une façon de légitimer cette stratégie dans le discours politique. De plus, le caractère médiatique du terrorisme encourage ses initiateurs à continuellement chercher au plus grand coup d’éclat. Il s’en est fallu de bien peu pour que Michael Zehaf-Bibeau ne parvienne à faire bien plus de victimes, incluant des élus canadiens. Et les conséquences d’un tel geste d’auraient pas pu s’exprimer par le simple dénombrement des victimes.

Le DGEQ et la détection d’intrusions

ElectionUne petite manchette dans Le Soleil du premier octobre porte sur un appel d’offres du directeur général des élections du Québec. Ce dernier est à la recherche d’une solution de détection des intrusions pour ses installations informatiques et de services professionnels pour s’assurer que les incidents détectés sont traités correctement.

Le journaliste pose quelques questions à la représentante de l’organisme auprès des médias, sans obtenir de réponses bien concluantes. Ce n’est ni surprenant, ni suspect.

Les systèmes informatiques branchés sur internet sont régulièrement bombardés de code malicieux de toute sorte – virus, vers, chevaux de Troie – qu’on regroupe sous le nom générique de « malware » en anglais.

Dans la plupart des cas, ce code malicieux est généré automatiquement par d’autres ordinateurs déjà infectés et éparpillés dans le monde. Ceux-ci tentent d’étendre l’infection de manière automatique à tout autre ordinateur vulnérable et non protégé qui pourraient se retrouver sur internet. Leurs cibles sont donc plus ou moins aléatoires, sans égards aux fonctions particulières des systèmes touchés. Il s’agit d’une première catégorie d’attaques informatiques que les systèmes de détection d’intrusions sont en mesure de détecter et même de bloquer instantanément.

Ces mêmes systèmes de détection pourraient également identifier des attaques plus pernicieuses, qui viseraient directement le DGEQ et ses systèmes dans le but de les compromettre et en atteindre à la confidentialité et à l’intégrité des informations gardées par l’organisme. C’est le scénario qui fait peur, et auquel on pense immédiatement lorsqu’on lit ce genre d’article, mais il est important de garder à l’esprit que ces attaques demeurent rares en comparaison à la première catégorie, qui sont suffisamment problématique à elles seules pour motiver le DGEQ à se protéger correctement.

Les systèmes de détections d’intrusions nécessitent souvent une expertise très pointue pour s’assurer qu’ils sont configurés correctement. Il faut, par exemple, s’assurer d’éliminer certains faux positifs qui pourraient amener l’organisation à se croire victime d’une attaque alors qu’il n’en est rien. Face à trop de faux positifs, le personnel pourrait en venir à ignorer les avertissements du système de détection en cas d’incident réel, ce qui n’est évidemment pas souhaitable.

Finalement, le système de détection et ses processus d’exploitations doivent être liés au processus de gestion des incidents internes de l’organisation; en cas d’incident de sécurité informatique, le personnel en TI doit être prêt à identifier correctement la nature de l’incident, ségréguer le serveur du reste des équipements informatiques afin d’empêcher l’infection de se propager, et effectuer les opérations nécessaires à son éradication du serveur compromis.

Que peut-on déduire de l’intérêt aujourd’hui de le DGEQ pour ce type de technologie? En vérité, pas grand-chose. Toutes les organisations moyennement importantes pratiquent la détection d’intrusions d’une façon ou d’une autre, via une expertise interne ou celle d’une tierce partie spécialisée. Sans avoir lu l’appel d’offres concerné, les exigences exprimées par le DGEQ ressemblent à celles qu’on retrouve ailleurs sur le marché.

Plusieurs compagnies québécoises se spécialisent dans la détection et la réponse aux intrusions pour des clients locaux et internationaux. Un second article sur le même sujet mentionne Above Security, une compagnie de Montréal, mais il en existe d’autres. Parions qu’elles seront intéressées à ajouter un client prestigieux comme celui-ci à leur feuille de route.

Le deuxième plus vieux métier du monde

United_Nations_Flags_-_croppedLes révélations de Snowden ont visiblement été un choc pour plusieurs et suscitent encore les passions. Cette réaction peut s’expliquer en partie par la façon dont la divulgation des documents de la NSA fut pratiquée (quelque chose que j’ai mentionné dans ce billet, le plus populaire de l’histoire de mon jeune blogue), mais aussi tout simplement par le peu d’intérêt général que les gens ont pour les enjeux de sécurité nationale, en dehors évidemment des grandes manchettes. Je crois parfaitement sincères les gens qui remercient Snowden de les avoir renseignés sur certaines pratiques « illégales » des états-nations. Je pense aussi que cet aveu en dit plus long sur leur propre culture personnelle que sur la moralité des États-Unis ou tout autre pays d’envergure qui s’adonnent à des activités d’espionnage en apparence pas trop catholique, parfois au détriment d’autres pays perçus comme alliés.

Les relations internationales sont souvent vues avec un brin de naïveté qui s’est accentué avec la Pax America. En été 2013, alors que Greenwald publiait ses premiers articles, plusieurs se demandaient ouvertement pourquoi les États-Unis voyaient d’un si mauvais oeil le fait que Snowden aille se réfugier en Russie. Ne sont-ils pas nos amis? La guerre froide n’est-elle pas terminée? À la lumière de la révolution Ukrainienne et de tout ce qui en a découlé, une telle question ne se pose plus, mais il y a un an, c’était les professionnels qui se faisaient traiter d’ignorants et de machiavélique pour remettre en doute le narratif présenté par Snowden.

Les pays modernes, même les plus démocratiques, ont encore des adversaires. Ces adversaires peuvent avoir des objectifs incompatibles avec les leurs. La nécessité des états-nations de se doter des outils nécessaires à l’exécution de leur politique étrangère n’est pas magiquement disparue.

C’est d’ailleurs ce que beaucoup de commentateurs ont encore de la difficulté à comprendre. On critique – souvent avec raison – les activités des agences d’écoute électronique (comme la NSA, ou le CSE chez nous au Canada) lorsqu’elles sont pratiquées sur leurs propres citoyens à cause des risques d’abus. Mais dès que l’analyse se tourne vers les activités traditionnelles de ces agences (l’espionnage étranger), c’est le dérapage au nom du droit absolu et universel à la vie privée.

Ce genre d’appel à la pureté idéologique, sans aucune perspective historique et concrète, est emmerdant et ne peut que générer de fausses attentes. Ceux qui retiennent leur souffle en exigeant le démantèlement de ces institutions vont attendre très longtemps. Bien au contraire, tout indique que nous assisterons à une croyance des activités reliées à l’exploitation de l’univers électronique; la surveillance de cibles étrangères, le vol d’information sensible, jusqu’à l’utilisation de logiciels malveillants visant à saboter des installations informatiques.

Du point de vue des nations, ces outils et techniques modernes s’inscrivent parmi l’ensemble des moyens qu’ils se dotent pour faire avancer leur politique étrangère. Il y en a évidemment bien d’autres. La diplomatie en est un. L’invasion militaire en est un autre. Personne de sensible n’est pour la guerre, avec ses morts et sa destruction. Mais tout aussi rares sont les gens qui prôneraient, avec sérieux, le démantèlement des institutions militaires de leur pays. Autant les conflits armés sont quelques choses de répréhensible, autant aucun gouvernement sérieux ne proposerait de carrément empêcher son propre pays d’y recourir. Il y a une différence fondamentale entre la théorie idéologique, et la volonté pratique qu’ont les états de se munir de moyens leur permettant d’établir un rapport de force avec leurs compétiteurs. La même logique s’applique aux activités des agences de renseignement. Alors que l’informatique et les communications prennent de plus en plus d’importance dans le monde, les états sont amenés à investir de plus en plus dans ces pratiques, sous peine de voir leurs compétiteurs les dépasser dans ce nouveau champ de bataille. Vous pouvez y voir une nouvelle course aux armements; à bien des égards, c’est le cas.

Ces nouveaux outils et techniques ont d’énormes avantages par rapport aux moyens plus traditionnels et sanglants d’imposer son point de vue. Tout comme on s’attendra toujours d’une nation qu’elle privilégie la diplomatie avant tout chose, je crois qu’il est tout aussi souhaitable de voir les nations tenter de régler leurs différents par l’espionnage d’une puissance étrangère, voir le sabotage électronique d’une infrastructure, plutôt que par les bombardements, les morts et la destruction. Et le plus fascinant, c’est qu’il existe déjà un excellent exemple de cela.

En 2010, des entreprises de sécurité informatiques ont annoncé la découverte d’un virus, appelé Stuxnet, à bien des égards unique et révolutionnaire, et dont la grande sophistication laissant entendre qu’un une organisation aux poches profondes en était l’instigateur. L’enquête a permis de découvrir que ce virus, très probablement conçu conjointement par les experts américains et israéliens, avait été spécialement conçu pour s’attaquer aux centrifugeuses iraniennes utilisées pour l’enrichissement d’uranium. De ce que nous en savons, Stuxnet et ses dérivés ont été utilisés avec succès, ce qui a ralenti le programme nucléaire iranien.

On peut critiquer ici l’ingérence de ces deux pays dans les affaires internes de l’Iran, mais on peut difficilement prétendre que l’utilisation de Stuxnet au lieu de moyens plus meurtrier n’a pas été quelque chose de bien. De nombreuses rumeurs faisaient état des pressions israéliennes qui voulaient coûte que coûte bombarder les installations nucléaires de l’Iran, avec toutes les conséquences que cela pouvait représenter. Entre les deux scénarios, je sais celui que je préconiserais.

Depuis, l’Iran a élu un nouveau premier ministre plus modéré que l’ancien. Les Iraniens auraient-ils voté ainsi s’ils se remettaient d’un bombardement? Des discussions multilatérales ont été entamées entre les pays impliqués pour tenter de dénouer la question nucléaire par les moyens diplomatiques. Je n’ai aucune idée si elles vont aboutir, mais je doute qu’elles aient pu avoir lieu si les deux pays se relevaient d’un conflit armé.

Il y en aura évidemment toujours qui prétendent critiquer les moyens, mais qui en ont en fait contre le principe même d’une politique étrangère. À les écouter, les pays ne devraient tout simplement pas être en mesure d’influencer ou d’imposer leurs préférences sur leurs voisins, quels qu’ils soient. Je n’ai pas de réponses faciles pour ces gens, sauf leur dire qu’ils risquent de trouver fastidieuse la lecture de ce blogue.

Face à ces premiers succès de l’espionnage et des attaques informatiques, et voyant la sophistication des moyens et la valeur des cibles augmentant d’année en année, il est bien évident, pourquoi les états ne sont pas prêts à abandonner ce genre de pratiques de sitôt. Cela ne veut pas dire que nous devons être cyniques et tolérer sans brocher les problèmes que ces nouvelles techniques nous causeront. Mais il faut aussi apprendre à choisir nos batailles. Et celle de l’espionnage étranger est perdue d’avance. On l’appelle le deuxième plus vieux métier du monde, et ce n’est pas parce qu’il repose de plus en plus sur des moyens informatiques que cela est appelé à changer.

Le braquage du Conseil national de recherche du Canada

GangstersLe Conseil national de recherche du Canada (CNR) a récemment admis avoir été victime d’une attaque cybernétique d’envergure, suffisante pour paralyser ses activités pendant un certain temps. L’information personnelle du public n’est, dit-on, pas en danger, mais entre vous et moi, les coupables n’ont pas visé cet organisme pour les informations personnelles des Canadiens. Le gouvernement s’est empressé d’identifier les services chinois comme le coupable numéro un. Il est peu probable que cela entraîne de véritables répercussions entre les deux pays tant ce genre d’espionnage économique est monnaie courante depuis longtemps déjà.

Ce n’est évidemment pas la première fois que les médias relaient ce genre de nouvelle, mais on imagine souvent à tort qu’il s’agit d’un problème ne concernant que les Américains (et les Chinois). Dans la pratique, les organisations canadiennes sont des cibles tout aussi intéressantes pour les services secrets étrangers, et on ne peut donc pas se surprendre quand ce sont nos propres institutions qui sont les victimes.

Afin de faire un peu de lumière sur la situation, le réseau CTV a interviewé Anthony Seaboyer, expert en sécurité nationale au Collège militaire royal du Canada, et Maxime Lamothe-Brassard, professionnel de la sécurité de l’information et frère de votre humble serviteur. Comme c’est souvent le cas avec ce genre d’article, on ne fait que survoler des problématiques très complexes auxquelles il n’y a pas toujours de solutions évidentes. Par manque d’espace, il n’est pas possible aux journalistes de s’étendre un peu sur le sujet – chose que les blogueurs de mon espèce se permettent de faire.

Notez que je n’ai pas directement discuté du dossier avec mon frangin, mais comme il lira ce billet, je suis certain qu’il se fera un plaisir d’y répondre et de rectifier sa pensée s’il le juge nécessaire.

M. Seaboyer mentionne dans l’article que la législation canadienne (et celles de tous les autres pays – nous sommes loin d’être seuls avec ce problème) ne parvient pas à suivre l’évolution du risque en sécurité TI. Il a raison, mais je crois que le problème dépasse la simple législation. Les organisations ayant des besoins en sécurité de l’information commencent à s’habituer aux risques de base; les « menaces de marchandise » (commodity threats), et les contrôles et investissements nécessaires pour s’en prémunir. Or, les ressources nécessaires pour se protéger efficacement contre des menaces avancées (advanced threats) des états nations sont bien plus importantes. Ces états sont devenus dans les dernières années des acteurs incontournables dans la sécurité de l’information et leur rôle et influence ne saura qu’augmenter dans le futur. Les entreprises œuvrant dans industries ciblées – et les normes qu’ils doivent respecter – devront s’ajuster à cette nouvelle forme de menace pour leur sécurité.

Plusieurs entreprises ayant des responsabilités en sécurité informatique continuent aujourd’hui à se buter contre les commodity threats. Dans ces circonstances, même des législations plus strictes n’aideront pas à régler le problème. Gérer correctement la sécurité de l’information d’une organisation est une tâche complexe et coûteuse, et qui peut être rendue caduque par une seule erreur. C’est vrai dans le secteur privé – l’essentiel de mon expérience personnelle – et je suis certain que ce l’est également dans le secteur public. Il ne s’agit donc pas d’une question de loi, mais plutôt de maturité organisationnelle. Les entreprises ont de la difficulté à faire ce qu’on leur demande déjà de faire, pas nécessairement par ignorance ou manque de persévérance, mais à cause de la complexité de la tâche, souvent relié à un changement de culture.

Cette constatation en cache une autre plus subtile: celle de la profonde asymétrie entre l’attaque et la défense dans sécurité de l’information. Il est bien moins coûteux – en terme d’effort, de temps et de ressources – pour un hacker de s’infiltrer dans une organisation, que pour une organisation de se protéger efficacement contre l’ensemble des risques TI auxquelles elle fait face. Tant que cette asymétrie demeure (et ce n’est pas près de changer de sitôt), les infrastructures critiques demeureront des cibles de choix pour les espions étrangers.

Cette tendance lourde entraîne progressivement un changement de stratégie pour les organisations cherchant à se prémunir contre les attaques commandées par des gouvernements étrangers, et c’est l’origine de la remarque de Maxime Lamothe Brassard sur nécessité de détecter les attaques au lieu de chercher à complètement les éviter. Cela peut sembler une admission de défaite, mais c’est en fait une stratégie pragmatique compte tenu de la situation. C’est d’ailleurs ce qui semble s’être produit avec le CNR. Sans être idéale, une telle approche a beaucoup plus de chances de réussir à long terme à mitiger le risque envers les infrastructures critiques nationales.

Les représentants du CNR parlent maintenant de rebâtir l’infrastructure technologique de l’organisation pour éviter qu’un tel incident se reproduise de nouveau. Cela peut sembler exagéré, mais ce n’est pas particulièrement inusité. Dans la pratique, lorsqu’un réseau est infiltré électroniquement, il est souvent souhaitable d’effacer et de rebâtir un grand nombre de systèmes, même lorsque ceux-ci ne présentent pas nécessairement des symptômes montrant qu’ils ont été compromis. La nature des attaques informatiques est telle qu’il est parfois très difficile d’en déterminer précisément la source. C’est d’autant plus vrai lorsque ces attaques viennent d’une agence de renseignement étrangère.

Bientôt dans un cinéma près de chez vous

Non, je n’ai pas l’intention de me transformer en critique du grand écran, mais deux films en production attirent particulièrement mon attention. Vous allez vite comprendre pourquoi:

Ce n’était qu’une question de temps avant que l’histoire d’Edward Snowden, délateur extraordinaire, soit portée à nos écrans. C’est Oliver Stone qui assurera la direction. Quand je pense à lui, je pense à JFK, un film qui m’avait fortement impressionné dans ma jeunesse et que j’avais beaucoup aimé. Par contre, ce n’est pas un amour partagé par plusieurs historiens professionnels, qui lui reproche d’être plutôt libéral avec les faits. Je vois très bien Stone faire un JFK de Snowden, et je me méfie donc du ton qui sera choisi pour traiter de l’affaire. On verra bien. Le projet n’est qu’en pré-production et on devrait en entendre un peu plus parler dès l’année prochaine.

Deuxièmement, il y a The Imitation Game, un film biographique portant sur la vie et l’œuvre de Alan Turing. Turing est considéré à la fois comme un des pères de l’informatique et de la cryptographie, ayant créé l’un des premiers ordinateurs dans le cadre de ses recherches portant sur le déchiffrage des codes secrets allemands de la seconde guerre mondiale. Sa vie mouvementée pourrait servir de base à une très belle (bien que tragique) histoire, et j’espère que le résultat sera meilleur que les tentatives antérieures de qualité douteuse. Benedict Cumberbatch, le Sherlock de Sherlock, assurera le rôle principal. Sa sortie est prévue pour novembre 2014.

Suivre

Recevez les nouvelles publications par courriel.

Joignez-vous à 85 autres abonnés