Vous êtes dans : Accueil > Tribunes libres >

Lutte antivirale, vers la guerre éternelle ?

Cédric Cartau, LUNDI 10 JUILLET 2017

Courrier International publie cette semaine un très intéressant dossier sur la lutte antivirale à l’échelon planétaire, faisant suite aux deux alertes majeures Wannacry et Petya. Rappelons que le principe de l’hebdomadaire n’est pas de défendre un point de vue mais de présenter un panel relativement large des points de vue internationaux sur chaque sujet.

Un journaliste néerlandais défend ainsi la thèse selon laquelle la sécurité étant un bien public, la lutte contre la cybercriminalité revient de facto aux Etats et que l’ambiance générale d’insécurité en ce moment est la marque de leur défaillance sur ce sujet. Le point de vue se défend, mais pas longtemps malheureusement pour l’auteur : la cybercriminalité offre deux facettes, l’une émanant des états eux-mêmes, l’autre relevant de la piraterie ou tout simplement d’une forme plus ou moins sophistiquée de terrorisme. Pour ce qui concerne le premier volet, quel Etat serait près d’abandonner sa force de frappe cyber ? Demandez un peu à la NSA d’imposer à Microsoft des OS sans bugs (pour autant que cela soit possible), autant lui dire de laisser ses armes à la maison, la NSA utilisant les backdoors de l’éditeur ou les bugs non publiés (cf Wannacry) pour pénétrer les systèmes ennemis. Pour ce qui concerne le second volet, les Etats conventionnels disposent d’armées conventionnelles, et vous ne trouverez pas un seul militaire pour vous affirmer qu’un Etat conventionnel est capable de gagner une guerre non conventionnelle de type guérilla ou justement terroriste. Le stratège américain Bernard Brodie affirmait d’ailleurs au sortir de la seconde guerre mondiale que le paradigme des états avait été jusque-là de gagner les guerres, l’objectif allait changer car il faudrait maintenant les éviter : ce paradigme n’a pas cours dans le monde cyber.

Le point de vue suivant consiste à dire que les malwares exploitent des bugs, que les bugs sont le fait de l’incurie des éditeurs, il suffit donc de pénaliser les éditeurs et les contraindre à produire des logiciels propres. La belle affaire ! D’une part, les malfaçons d’un système (au sens large) sont une fonction directement croissante de la complexité dudit système, et Dijkstra a démontré il y a plusieurs décennies que les systèmes les plus complexes au monde étaient les logiciels. Ce n’est pas pour rien que le droit considère que le bug est inhérent au logiciel. D’autre part, cette théorie est infirmée et même très largement : Wannacry et Petya exploitent des failles connues depuis des mois, sur lesquels les éditeurs alertent leurs clients depuis des mois et pour lesquels les DSI ont été plus que légères. On revit le phénomène Conficker, qui exploitait une faille du SP1 de Windows XP, faille connue depuis des années et corrigée dans le SP2 que les DSI n’avaient pas déployé. A croire que tous les 7 à 8 ans il faut que le monde informatique se prenne une bonne fessée pour redescendre sur terre, et s’il fallait traîner au tribunal un éditeur pour avoir produit des bugs, c’est seulement après la fin du procès des DSI qui n’auraient pas appliqué les correctifs. La majorité des attaques sont d’ailleurs basiques au sens où elles exploitent des failles connues ou parient sur l’incompétence des utilisateurs fussent-ils informaticiens. Ainsi l’origine de Petya est le vol des données d’un administrateur système, qui a donné accès au processus de mise à jour d’un progiciel officiel, par lequel s’est déployé Petya (1).

Le point de vue qui me semble le plus pertinent est celui de Bruce Schneier, expert connu dans le milieu de la sécurité informatique, qui pointe du doigt que l’on a surtout voulu faire rapide et pas cher. Traduisez : les utilisateurs et les entreprises, bref tout le modèle économique du secteur est basé sur la publication de produits et de versions toujours plus vite, toujours moins cher, parce qu’il y a un marché à prendre et qu’il vaut mieux déployer un produit bugué chez un client que de se faire chiper le client et question par un concurrent…plus rapide et moins cher. S’il fallait réglementer, c’est surtout sur les processus qualité (à la fois de production de code, de tests, mais aussi d’achat) parce qu’après tout on a l’informatique que l’on mérite. Quel responsable SI n’avouera pas d’ailleurs se battre autant contre les fournisseurs pour avoir les produits en temps et en heure, que contre ses propres utilisateurs qui veulent pour hier la prochaine version qui résoudra les problèmes fonctionnels (réels ou supposés) et dont il faut calmer les ardeurs car cela pousse à la non qualité ?

Dans « La guerre éternelle », Joe Haldeman décrit un monde en guerre contre une force ennemie, guerre qui dure plus de mille ans tant et si bien que les combattants, de retour chez eux après des décennies de mobilisation, retrouvent un monde qui a tellement changé que ce pour quoi ils se battent n’existe plus. Il ne faudrait juste pas que la lutte contre la cybercriminalité sous toutes ses formes occupe tellement de ressources cela en devienne le trou noir entropique dans lequel disparaîtra l’informatique.

(1) http://www.lemonde.fr/pixels/article/2017/07/06/virus-petya-de-nouveaux-elements-eclairent-le-mecanisme-de-diffusion-du-logiciel_5156686_4408996.html 

#dsi#cybercriminalité#sécurité#logiciels#nsa