Quand l’obsolescence endigue la sécurité

A New York, les gens font la queue devant l'Apple Store
A New York, les gens font la queue devant l’Apple Store pour avoir le dernier iPhone.

31 octobre 2016 : votre iPhone 4 est officiellement devenu obsolète. Fini les mises à jour et autre correctif de sécurité, la marque à la pomme considère que votre smartphone est trop vieux pour en bénéficier. Mais qui dit obsolète dit vulnérable aux virus et autres cyberattaques. Que ce soit Apple ou Microsoft, que cela concerne un smartphone, une tablette ou un ordinateur, la stratégie est toujours la même : donner une date de péremption à votre appareil pour vous pousser à en acheter un plus récent. “Ca fait partie de l’évolution du business, ça leur coûterait de l’argent si ces entreprises devaient protéger tous les anciens logiciels qu’elle mettait en place. Ces objets sont devenus du consommable.” analyse Philippe Chabrol. Mais quand on sait que le dernier iPhone 7 coûte minimum 769 euros soit plus de ⅔ d’un SMIC, la date de péremption est dure à avaler…

Emilie Salabelle et Sarafina Spautz

Cybersécurité : le défi du XXIe siècle

C’est un scénario digne d’un épisode de la série Mister Robot. En Angleterre, des patients qui devaient se faire opérer ce mardi 12 mai doivent retourner chez eux, avec une intervention chirurgicale repoussée à une date indéterminée, tandis que les ambulances, elles, vont chercher des malades à la mauvaise adresse. La Banque centrale russe et plusieurs ministères du Kremlin annoncent avoir subi plusieurs cyber-assauts.  Dans les gares allemandes, les panneaux d’affichage des trains échappent à tout contrôle. En Espagne, le réseau interne de l’opérateur téléphonique Telefonica est totalement paralysé. Le géant américain de la livraison Fedex est bloqué, des chaînes de production de l’usine française Renault sont fermées. Les bibliothécaires belges doivent enregistrer leurs documents à la main. Partout sur la planète, le virus “ Wannacry”  sème le désordre. Sur les écrans, le même message apparaît, traduit dans la langue du pays dans lequel il sévit : “Oups, vos fichiers ont été encryptés !” Sur la fenêtre, un compte à rebours s’installe :  c’est le temps qu’il reste à l’infortuné utilisateur pour délivrer 300 dollars en bit-coins aux hackers. Ce rançongiciel frappe partout : 150 pays sont touchés, 300 000 ordinateurs sont infectés, des milliers d’entreprises sont paralysées. Le bilan est lourd, mais il aurait pu être bien plus important si l’attaque n’avait pas été enrayée, presque par hasard, par un jeune britannique, Marcus Hutchins.

Il n’en reste pas moins que l’ampleur du piratage est sans précédent dans l’histoire d’internet. Pourtant, les spécialistes ne semblent pas surpris par cette offensive mondiale. Matthieu Suiche, hacker professionnel et fondateur de l’entreprise de cybersécurité Comae, fait partie des trois français qui ont mis au point un moyen de contrer la seconde réplique de l’attaque. L’imminence d’une telle secousse était prédictible selon lui : Cela devait arriver, après les informations divulguées le 14 avril avril par les Shadow Broker. Ce groupe de pirates, à l’origine et aux motivations troubles, avait en effet divulgué plusieurs failles de sécurité concernant Windows. Des informations qu’ils  auraient trouvé dans les fichiers de la NSA.

Wannacry inaugure-t-il une ère de la cyberpiraterie mondialisée ? Ou n’est-ce qu’un symptôme plus violent de la menace que représente la criminalité virtuelle? Les antécédents, quoi qu’il en soit, sont bien visibles. En 2016, Yahoo, avait dû faire face au piratage de 500 000 de ses comptes. L’expérience avait montré qu’en matière de cybersécurité, l’union ne fait pas toujours la force. Il suffit de la vulnérabilité d’un maillon pour détruire toute la chaîne. Lorsque le gestionnaire américain de nom de domaine Dyn s’est fait pirater, ce sont Netflix, Twitter, Airbnb, et Paypal qui en ont payé le prix : l’accès à chacun de ces sites était impossible, à cause d’un déni de service distribué (ou DDoS attack pour Distributed Denial of Service attack). Ce type de hacking consiste à envoyer une énorme quantité de requêtes, de sorte à saturer le serveur, empêchant ainsi tout accès aux sites internet. Ce genre d’attaque est beaucoup plus facile à mettre en oeuvre du fait de l’utilisation croissante d’objets connectés.

Phishing, rançongiciel, vers informatiques, cheval de Troie… Les hackers ont plus d’un tour dans leur sac pour percer nos défenses. “Les techniques de hacking changent d’une année à l’autre. les pirates sont très opportunistes, ils exploitent les vulnérabilités pour développer de nouvelles méthodes,” met en garde Edgar, en charge de la veille sécurité dans un grand groupe de télécom français (invoquant la politique de confidentialité de son employeur, il souhaite rester anonyme, nous avons modifié son nom.) “En 2016, le ransomware, c’était le mode d’attaque numéro 1.

Dans deux cas sur trois, la victime payerait la rançon, malgré l’appel de l’Agence Nationale de la Sécurité des Systèmes Informatiques (ANSSI) à ne pas le faire, estime Thierry Karsenti, expert en cybersécurité, dans un entretien au Parisien. Dans les entreprise, le phishing, ou hameçonnage a aussi la côte.Les hackers envoient par mail des pièces jointes aux salariés.  Si vous l’ouvrez le virus rentre dans votre ordinateur, et peut infecter tout le réseau.” explique Philippe Chabrol.

Mais qui sont donc ces hackers redoutables ?  “Il y a trois profils, explique Philippe Chabrol. Vous avez le geek solitaire qui aime les défi, des groupes d’activistes comme Anonymous ou Wikileaks, et le hackers qui offrent leurs services aux réseaux purement mafieux.”  Pour traquer les pirates, des spécialistes en cyber sécurité doivent faire preuve d’une grande réactivité. Pour espérer le contrer, ils doivent comprendre comment l’attaquant évolue, et quels outils il a utilisé. “L’attaquant a toujours l’avantage, parce qu’il lui suffit d’être bon une fois, alors que les défenseurs doivent être bon tout le temps, à chaque attaque ”, résume Edgar.

Prévenir plutôt que guérir

Que le web puisse être dangereux, cela ne fait plus de doute pour personne. Mais si les particuliers ont bien conscience de l’existence d’une menace, la plupart se sent impuissante à la contrôler, et se résigne à vivre avec une épée de Damoclès virtuelle au-dessus de la tête. Bénédicte Mangau, 20 ans, est consciente des limites de son antivirus Avast.  « Je sais qu’il y a un risque à prendre quand on utilise un ordinateur relié à internet, tout comme il est possible de se faire écraser par une  voiture quand on traverse. On n’a pas le choix, sinon on ne vit plus. » Les réflexes de protection des particuliers se réduisent au minimum : l’installation d’un antivirus gratuit. Les mises à jour, les sauvegardes ? On les fait parfois, lorsqu’on a le temps. Pour beaucoup, il est difficile de croire que des hackers  puissent s’intéresser à eux. A quoi bon barricader son écran lorsqu’on mène une modeste existence ? Les attaques, c’est bon pour les riches et les puissants. “J’ai l’impression que ça ne m’arrivera pas, je ne suis pas connue !” rigole Marie-Agnès Schmitt, une Lorraine de 54 ans.

Or la particularité de la sphère numérique réside dans l’effacement des frontières, géographiques comme structurelles. « On a tendance à parler uniquement des Organismes d’Intérêt Vitaux (OIV) comme les centrales nucléaires, en se disant que c’est vital. C’est une erreur. Chacun est vulnérable, une entreprise, une mairie, une usine… Aujourd’hui, tout le monde est connecté, acteurs publics comme acteurs privés. Donc tout le monde est menacé«  assure David Assou, spécialiste de la question de la sécurité dans le concept des smart-cities. Camille, 23 ans et étudiante en communication, en a fait l’expérience. Elle a perdu 450 € après s’être fait hacker sa carte bleue: Je suis allée sur mon compte bancaire et j’ai vu que quelqu’un avait fait une opération pour essayer de me prélever 1 000 €. Comme j’ai un plafond de 200 euros, cela n’a pas fonctionné. Mais après avoir fait plusieurs petits virements, le pirate a réussi à me prélever 450 € vers un compte aux Caraïbes. Camille n’est pas un cas isolé. Ce genre d’attaque assez fréquente s’explique généralement par un manque de vigilance lors d’un achat en ligne. Il est impératif de vérifier qu’un cadena vert précède l’url, lui-même introduit par la mention “https”, qui signifie que le site est sécurisé.

Du côté des entreprises, le constat n’est guère plus optimiste. La plupart du temps, le piratage informatique est un sujet tabou. Une cyberattaque, ce n’est pas idéal pour l’image de marque. La sécurité est rarement une priorité une priorité pour les patrons d’entreprise, à moins qu’un piratage ne conduise à une tardive prise de conscience. « Bien souvent, c’est quand elles ont subi une attaque que les entreprises se tournent vers nous », confirme Justine Gretten, salariée de Mail In Black, une société qui propose un service de sécurisation des boîte mails grâce à un système de filtrage des expéditeurs. “La demande augmente d’un coup après des périodes de crise, comme on a pu en vivre en 2016 par exemple. C’est vraiment la politique de l’autruche : tant qu’on n’a pas de problème, on ne change rien et on ne pense pas aux risques…”

Or pour faire face à une cyberattaque, une entreprise doit avoir mis en place une véritable stratégie de défense en amont, quitte à faire appel à des spécialistes.“Les services de nettoyage, de gardiennage ou de restauration, ce sont des assistances auxquelles une entreprise souscrit facilement,  parce que ce n’est pas son cœur de business. Pour la sécurité cela devrait être pareil,”préconise Edgar, qui appelle à plus de collaboration : Les acteur de la sécurités sont parfois dans un vocabulaire trop technique, et peut-être trop sur le ton du  « y a qu’à, faut qu’on”.  Les chefs de projets ne savent pas quoi en faire et laissent tomber les recommandations”, diagnostique-t-il.

Transition numérique, transition sécuritaire ?

Face au tout numérique, la question de la sensibilisation de la préservation des données se fait de plus en plus vitale, pour les entreprises comme les particuliers. “Nous changeons de culture, il faut le prendre en compte dans nos habitudes”, martèle  Philippe Chabrol. Si le secteur  de l’innovation se porte plutôt bien, le pendant sécuritaire, lui, est à la traîne. “Le niveau de sécurité n’est pas considéré comme essentiel dès le départ. Or ce n’est pas quelque chose d’optionnel ! Pour tout objet connecté, Il faut vraiment qu’à chaque nouvelle version soit posée la question de l’amélioration de la sécurité par rapport à la version précédente.” insiste Edgar, avant de nuancer : “Tout est une question de juste niveau. Une industrie peut se plomber si on lui impose des règles trop strictes. Le produit final peut être archi-sécurisé, s’il arrive un an et demi trop tard, ou s’il est 50 % plus cher que la concurrence, cela ne fonctionnera pas. Il faut aussi que l’utilisateur puisse s’approprier facilement les fonctions de sécurités mises en place ”.

Le défi de l’éducation à l’heure du tout numérique

 De l’avis de tous les acteurs de la cyber-sécurité, la première chose à mettre en place est donc une véritable éducation des comportements des particuliers comme des professionnels. “Paradoxalement, plus les générations sont connectées, plus elles ont un comportement naïf, faisant une confiance aveugle aux réseaux sociaux par exemple.  Dès l’école, au travail, partout, il faut inculquer les bons réflexes : sauvegarder ses fichiers en cas d’attaque, faire des mises à jour régulières pour corriger les failles des systèmes, sécuriser ses mots de passe, reconnaître les mails suspects…” énumère David Assou. De l’utilisation de  serious-game aux campagnes de sensibilisation en entreprise, des initiatives sont déjà prises à ce sujet.

La France manquerait également d’un cadre administratif et législatif clair. Signe de ce retard, le terme “cybercriminalité” n’existe même pas dans le code pénal français, contrairement à la plupart des pays européens. “Avant d’avoir de solutions, un budget, il faut avoir une organisation fiable. Il y a bien l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) qui s’est emparée de l’affaire. C’est elle notamment qui aide à protéger les OVI.  Mais c’est loin d’être suffisant” assure David Assou. Selon lui, quelques initiatives émanant des hautes sphères de l’Etat sont tout de même encourageantes. Il retient notamment la création par l’ancien ministre de la défense Jean-Yves Le Drian d’une quatrième armée, spécialisée dans la cyberdéfense. Il salue également la perspective de rédaction d’un nouveau Livre Blanc ciblant les cyberattaques comme des menaces prioritaires : “Toute la défense et la sécurité de notre pays est organisée budgétairement, en terme de moyens, d’identifications des risques et des menaces dans les Livres Blancs, justifie-t-il.

Mais,  même dans les conditions optimales de protection, une certitude demeure : le risque zéro n’existe pas. La veille des services de sécurité consiste surtout, selon Edgar, à jouer les “pompiers numérique”, prêts à contenir la menace. Il s’agit de réagir vite et bien : On ne peut pas être totalement imperméable.  La vraie question n’est donc pas de savoir si l’on va être attaqué, mais quand on le sera ? Sera-t-on prêt à réagir ?”. Or, selon David Assou, la réactivité des administrations est loin d’être opérationnelle : “Les plans de sécurité, appelés Plan de Continuité de l’Activité (PCA) et Plan de Reprise de l’Activité (PRA), souvent, ne sont pas à jour.  C’est pourtant eux qui permettent de ne pas plonger dans l’anarchie. Si le site de la Mairie de Paris se fait pirater, le PCA permettra par exemple de maintenir la collecte des déchets, de trouver une solution pour l’éclairage public…” Le constat s’est vérifié de manière criante depuis le 12 mai dernier.

Il ne paraît donc pas exagéré de voir dans la cybercriminalité la principale menace du XXIe siècle. La possibilité d’une paralysie mondiale des infrastructures n’est plus un scénario de science-fiction. Wannacry permettra peut-être une remise en question sur notre capacité à nous défendre. Pour Edgar, la responsabilité indirecte de la NSA dans le développement de la cyberattaque est alarmant : “C’est assez perturbant de voir qu’on a une agence gouvernementale qui n’est pas capable de protéger ses secrets et ses armes numériques. C’est un peu une boîte de Pandore.

Emilie Salabelle et Sarafina Spautz

Génération Tinder: l’amour aux temps du numérique

DSC_0421

Aujourd’hui, 1 Français sur 5 a déjà utilisé une application de rencontres au moins une fois dans sa vie. Flirts, choix superficiels mais aussi heureux couples formés… Malgré un rapport uberisé à la sexualité et la peur de l’engagement, les utilisateurs sont, paradoxalement, toujours à la recherche du véritable amour.

« Célibataire, 37, sérieux, épouserait gentille demoiselle ville, campagne, propriété… ». Cinquante ans plus tard, les annonces matrimoniales du Chasseur Français nous font sourire. Aujourd’hui, c’est plutôt : « Hello, tu baises ? ». Tinder, Grindr, Happn… Ce sont quelques unes de la multitude des applications mobiles de rencontres, massivement utilisées depuis quelques années.

Les couples ont toujours eu recours à une aide extérieure pour se former. L’invention de l’agence matrimoniale date du XIXe siècle. La démocratisation des annonces matrimoniales est née avec le développement de la presse, plus particulièrement du Chasseur Français. Ce magazine spécialisé dans la chasse, créé en 1885 est surtout connu pour ses dernières pages remplies de petites annonces.

Après les marieuses, les applications mobiles sont une suite logique. Leurs usages se développent : une aventure d’une nuit voire de quelques heures, une relation longue, des rencontres homosexuelles… Les applications permettent plus de liberté et remettent en question notre rapport à l’amour et à la sexualité.

« J’utilise les applications pour meubler »

Benjamin est attablé dans un bar du 9ème arrondissement de Paris. Avec sa casquette rouge mise en l’envers, des lunettes à monture noire et une barbe de quelques jours, ce jeune chef de chantier est l’incarnation du Parisien branché. Il s’est inscrit sur le site de rencontres AdopteUnMec.com il y a sept ans et Tinder, il y a cinq ans. Le fonctionnement de cette appli est simple : elle fait défiler les profils des inscrits selon plusieurs critères, les plus importants étant leur sexe et la position géographique. L’utilisateur zappe ces profils en indiquant s’il les apprécie ou non. Si l’attraction est partagée, les deux inscrits sont mis en relation et peuvent commencer à échanger. Côté sécurité, seule la possession d’un compte Facebook est exigée.

DSC_0411

« Grâce à Tinder et autres applications, j’ai déjà dû avoir une quinzaine de relations plus longues et peut être soixante-dix aventures d’une nuit », hésite Benjamin. Pour ce Parisien, Tinder « est une manière de combler une névrose de séduction. Je peux me sentir valorisé et garder une superficialité dans la relation en même temps ».

Il n’hésite pas à profiter pleinement des opportunités qu’offre l’application. « Je vois souvent plusieurs filles en même temps, ce ne sont pas des relations explicitement monogames ». Mais il se sert de cet outil surtout par nécessité. « Si je pouvais m’en passer, je m’en passerai. Je préfère cent fois prendre un verre dans la vraie vie que de parler derrière un écran ! »

Découvrez le témoignage de Benjamin:


Pour Nicole Beauchamp, psychanalyste, le nombre très élevé des aventures d’une nuit auxquelles s’adonnent les utilisateurs s’inscrit dans une logique de protection de soi-même : « C’est une défense contre les émotions, la peur d’engagement et du désir ».

Valentin, 22 ans, est étudiant en communication visuelle. Il allume sa cigarette entre deux gorgées de café. Depuis cinq ans, il utilise régulièrement Grindr, application basée sur les principes similaires à ceux de Tinder, spécialisée dans les rencontres gay. Grindr met en relation des utilisateurs surtout pour des rencontres à objectif clairement défini : le sexe. Chaque profil comporte une photo, une description et le statut VIH.

DSC_0417

Habituellement, après un échange de messages sur l’application, cet étudiant rencontre ses partenaires directement chez eux ou chez lui. « Je ne fais jamais de ‘dates’, ça me fait trop peur. On discute, mais soit chez moi, soit chez lui, au bord du lit ».

Malgré son côté désenchanté, le jeune homme rêve de trouver une âme sœur. « Bien sûr que je cherche l’amour. Les applications sont là pour meubler entre temps ». Mais il ne se fait pas d’illusion quant à la possibilité de le trouver sur internet : « J’ai du mal à me projeter avec une personne rencontrée sur l’appli. Si elle est plus facile d’accès pour moi, c’est qu’elle l’est aussi pour les autres ». Sa dernière vraie histoire amoureuse a duré six mois et s’est achevée à cause de manque de confiance entre les deux partenaires. « Je sais qu’il allait sur des sites de rencontre, des applications… ».

La désillusion amoureuse

Les applications permettent de rencontrer plus de gens, plus rapidement, à côté de chez soi. Pour Pauline, lobbyiste, inscrite sur Tinder depuis un an, l’utilisation de l’appli a changé sa vision de l’amour. « Je suis devenue plus pessimiste. Forcément, quand on rencontre plus de gens, on est plus souvent confronté à la déception ». Elle adopte donc une attitude pragmatique : ne pas s’attendre à une rencontre extraordinaire pour ne pas être déçue. « Tinder c’est un peu comme la vie, tu ne sais pas dans quelle direction évoluera ta relation ».

L’utilisateur peut y découvrir la personne, sans même avoir à la rencontrer dans le réel. Blond(e), brun(e), taille, profession… Sur les applis, on retrouve toutes sortes de critères. Mais que reste-t-il à découvrir de l’autre ? François Charvin, psychanalyste, répond : « Il ne peut y avoir de rencontre si l’on connaît tout de la personne avant ». Peut être est-il mieux d’en savoir moins quitte à être déçu ensuite.

Avant que Pauline ne décide de rencontrer un homme dans la vraie vie, il doit répondre à un certain nombre de critères sur l’application. S’il écrit avec des fautes d’orthographe, n’utilise pas de formules de politesse, si dans ses photos il n’y a que des selfies, pour Pauline, c’est éliminatoire. Tout comme le garçon qui l’a contactée il y a plusieurs jours en commençant la conversation par le charmant : « Hello, on baise ? ».

IMG_8754

Les applications ont déplacé le terrain de la drague. Ce n’est plus dans la rue, dans des bars, des boîtes de nuit que l’on rencontre des gens. Aujourd’hui, c’est l’espace virtuel qui offre le plus de possibilités. « Quand je sors avec mes potes, je ne cherche pas à parler à des filles, j’ai internet pour ça », explique Benjamin. Les applications accompagnent leurs utilisateurs partout, sans limiter les moments de drague à un temps précis, jusqu’à en devenir des passe-temps, voire des addictions. Sur le téléphone de Valentin, Grindr reste très souvent allumé. « Quand je bosse, je me connecte, je vois ce qui se passe… Parfois ça devient une drogue, surtout quand t’as très envie de trouver quelqu’un ».

Benjamin:


Les applications permettent aussi d’économiser le temps. « Les rencontres en ligne se caractérisent par une explicitation des intentions amoureuses et sexuelles. Elles accélèrent l’enchaînement des évènements », analyse la sociologue Marie Bergström.

« Je fais toujours un tri drastique sur les meufs avant de les rencontrer, ça me permet de ne pas perdre mon temps », avoue Benjamin. Une sélection poussée parfois aux extrêmes. « Je me rends compte qu’il m’arrive de zapper des mecs pour des raisons complètement ridicules, par exemple quand je n’aime pas leur prénom… », constate Pauline. « C’est vraiment une logique de supermarché », explique cette blonde aux yeux bleus.

La grande force de l’application, pour Benjamin, c’est de mettre en contact des personnes qui ne se seraient pas rencontrées autrement, dans la vraie vie. Le jeune homme apprécie le fait de pouvoir élargir ses horizons en rencontrant des femmes venant d’univers différents du sien. « C’est un super moyen de faire connaissance avec des gens que je n’aurais jamais croisés. Parmi les filles que j’ai rencontrées sur Tinder, certaines sont devenues de vraies amies ».

« L’amour n’a pas de règle »

Histoires d’un soir, rude sélection, zapping des profils… Dans cet univers virtuel de relations rapides, peut-on encore trouver son âme sœur ? « L’amour n’a pas de règle et le coup de foudre existe ! » assure la psychanalyste Nicole Beauchamp.

Aude, 29 ans, responsable de boutique, en est la preuve. Elle s’est inscrite sur Tinder il y a quatre ans pour oublier sa relation précédente. Depuis plus d’un an, elle partage sa vie avec Mathieu. Ils se sont rencontrés grâce à l’application. « En février 2016 j’avais repéré ses photos. Ça se voyait que c’était un gentil », raconte la jeune femme aux grands yeux verts. Après plusieurs rendez-vous, ils ont décidé de se mettre ensemble.

DSC_0399

Les photos sont un grand critère de choix sur les applications de rencontre. « Juste en les regardant, on peut sentir ce que cherche le mec en face. Les selfies, les lunettes de soleil, tout ça est mauvais signe. Les photos de Mathieu étaient prises par ses potes, pendant les vacances. J’ai eu un bon feeling ».

Découvrez le témoignage d’Aude:


Certains considèrent que les applications encouragent l’infidélité. Une fois en couple, l’utilisateur serait toujours tenté d’aller voir ce qu’il y a ailleurs. La psychanalyste Nicole Beauchamp rassure : « Les applications facilitent les choses mais l’infidélité a toujours existé. Quand on a envie de tromper, on trouve toujours un moyen de le faire ». Aude fait la même analyse. « L’infidélité ? Si tu veux tromper il n’y a pas que Tinder. Je ne me sens pas menacée dans mon couple par les applications, comme je ne me sens pas menacée par une jolie fille dans un bar ».

Aujourd’hui, le couple commence à parler d’emménagement. Aude n’hésite pas à se projeter avec Mathieu en glissant dans la conversation que d’ici trois ans ils aimeraient bien quitter la capitale ensemble.

Malgo Nieziolek


A lire aussi:

« A 49 ans, Tinder m’a aidé à retisser du lien social et à reconstruire ma libido »

Tinder en chiffres clés

Trois questions à… François Charvin, psychothérapeute

Les applications ou la tentation de l’infidélité