Intervention de Frédéric Hannoyer

Je vous remercie de m'offrir l'occasion de témoigner au nom de ST Microelectronics.

Vous m'assignez une tâche difficile. Je vais me livrer à une présentation rapide, qui ne pourra être exhaustive, en m'efforçant de ne pas être trop technique. J'essaierai de couvrir les grandes familles d'attaques à partir d'exemples récents. Dans la mesure où les attaques stratégiques ont été traitées par M. Chauve, je me concentrerai davantage sur des exemples d'attaques contre les particuliers et les entreprises.

Une attaque peut être définie comme une intrusion sur un système de sécurité qui génère un dommage ou un préjudice. Une intrusion élémentaire peut être décomposée en trois composantes : au moins une vulnérabilité dans le logiciel ou le système ; un vecteur – qui est souvent un programme – qui utilise et exploite cette vulnérabilité, qui arrive à passer à travers les mesures de sécurité mises en oeuvre, et qui installe un composant actif, un programme malware, qui est la partie maligne de l'attaque. Soit ce programme lance une autre attaque de l'intérieur du système, soit il effectue sa mission – récolte des mots de passe, analyse du réseau ou du système, écoute des communications – et reporte à l'attaquant. Le composant actif peut soit être autonome, soit être commandé de l'extérieur. Il peut remplir ses missions tout de suite, ou rester silencieux pendant très longtemps – jusqu'à des années. Le rapport de Mandiant (1) cite ainsi des attaques où les composants actifs sont restés inactifs pendant plusieurs années, mais étaient fréquemment questionnés.

Parmi les préjudices subis figure le vol d'argent aux particuliers ou aux entreprises, par exemple avec des malwares tels que Zeus ou Citadel grâce à la récupération des mots de passe temporaires envoyés par les banques, type 3D secure, le vol de propriété artistique, auquel nous avons été sensibilisés par la loi HADOPI, l'espionnage de données ou vol de propriété intellectuelle – secrets d'affaires ou de production. Un exemple en a récemment été fourni par une intrusion sur le site du New York Times (2) visant à connaître la teneur des articles en préparation sur le Premier ministre chinois. Les communications téléphoniques sont exposées maintenant aux mêmes attaques que les données pures.

De nouvelles attaques apparaissent : le chantage aux données personnelles des particuliers (3), assorti d'une demande de rançon ; le sabotage de services, qui empêche l'activité économique, et offre la possibilité de détruire une infrastructure de production, ce qui peut avoir un coût considérable pour une entreprise ; les attaques à la réputation. Nous voyons également se développer la désinformation par le piratage des médias sociaux, comme Twitter. Nous en avons constaté l'impact en ce qui concerne la population en Inde (4), mais aussi les marchés économiques, comme le marché du pétrole – le piratage du compte Twitter d'un diplomate Russe (5) annonçant la mort du Président syrien Bashar Al-Assad a par exemple créé des remous sur les marchés du pétrole.

Parmi les futures attaques à redouter, on peut penser à la santé. La démonstration que l'on peut envoyer une décharge par le piratage de pacemakers à une dizaine de mètres doit nous faire réfléchir, de même que le fait que tous les équipements médicaux soient connectés à Internet pour pouvoir récupérer des mises à jour de logiciels. Je pense également à la domotique. Comment réagirait une caserne de pompiers si toutes les alarmes incendie d'une ville se déclenchaient en même temps ?

Les attaques peuvent être distinguées selon le point d'attaque. Celui-ci peut être situé dans le terminal, qu'il s'agisse d'un ordinateur, d'un compteur électrique, d'un téléphone, ou de tout navigateur web. Il peut être situé dans le centre de données lui-même, où les mots de passe ou les informations dans le nuage sont stockées, ou enfin dans le réseau – d'où on peut facilement rediriger les communications d'une victime vers le PC d'un attaquant ou écouter les messages en clair.

La sécurité se doit de couvrir les trois maillons de cette chaîne, le terminal, le centre de données, et le réseau. Les vulnérabilités utilisées peuvent être scindées en deux catégories : celles qui peuvent être traitées par une mise à jour des logiciels, et celles pour lesquelles cette mise à jour s'avère délicate ou ne suffit pas.

Pour ce qui est des premières, l'accumulation actuelle de couches logicielles de fournisseurs différents, et de plus en plus complexes, rend la tâche de sortir un produit sans vulnérabilité logicielle impossible. Une vulnérabilité du logiciel est juste un bug non fonctionnel, qui ne crée donc pas de problème dans l'utilisation de l'application, mais est exploité par le pirate pour prendre le contrôle et compromettre l'équipement – car il a alors tous les pouvoirs. On a parlé dernièrement de la vulnérabilité de la technologie Java dans le navigateur web, et des attaques de Facebook et d'Apple (6).

Ces vulnérabilités logicielles sont très nombreuses. Elles peuvent être traitées. Mais avant cela, elles créent des exploits « zero day », qui peuvent se définir comme l'exploitation d'une faille qui n'est pas publique, indétectable donc par les équipements de sécurité, et qui concerne même les plateformes bénéficiant des dernières mises à jour. Les exploits « zero day » sont devenus un phénomène courant, qui bénéficie même d'une chaîne de valeur et d'un marché pour les développer et les revendre (7). Ils doivent être traités sérieusement. C'est pourquoi il est essentiel de pouvoir mettre à jour les plateformes de manière très réactive et à distance.

Parmi les autres vulnérabilités à traiter, je citerai les vulnérabilités sur la chaîne de production chez les sous-traitants, et les équipements qui pourraient être piégés (8). C'est pourquoi il faut garder une maîtrise industrielle dans les produits. Lorsque l'ensemble de notre coeur de réseau sera chinois ou américain, quelle confiance pourrons-nous réellement lui accorder ? Il nous faut au moins arriver à construire cette confiance.

Je pense aussi aux attaques de cryptographie et aux attaques sur les certificats (9), qui sont les bases de la confiance sur les échanges numériques, ou encore aux attaques sur la vulnérabilité humaine – mots de passe devinables, complicités internes…

Le critère majeur est à mon sens la grande furtivité des attaques. Les malware peuvent s'attraper en surfant nos sites préférés (10) ou en ouvrant un attachement ou un lien dynamique dans un e-mail, ils peuvent se mettre en dessous du système d'opération et des systèmes de sécurité. Ils s'interfacent entre vous et le matériel, par exemple lorsque vous tapez votre code confidentiel sur votre téléphone ou sur un terminal de paiement, ou lorsque votre logiciel vous donne des informations confidentielles, ou lorsque vous communiquez au niveau du réseau. Ils sont aussi capables de dissimuler toutes leurs actions des mécanismes de surveillance du terminal.