mercredi 24 octobre 2012

Qui sauvera mon tripoux dans le cyberespace?

Ma grand mère avait hérité d'une recette de tripoux particulièrement savoureuse, ce qui m'amène à mon sujet d'aujourd'hui lié à cette fameuse cyberguerre dont tout le monde parle.

Au début d'internet il était admis que la sécurité informatique ne reposait que sur un socle défensif: antivirus, firewall, log, etc..
A lire différents blogs et communiqués aujourd'hui, on entend parler de plus en plus ouvertement de cyberguerre, de lutte offensive et du cyberespace comme nouveau champ de bataille. La transition s'est faite approximativement avec Stuxnet, lorsque le monde s'est rendu compte que l'informatique impalpable avait finalement les pieds très ancrés dans le monde physique. On est passé d'un discours purement défensif à un discours ouvertement offensif. Le défensif a montré ses limites, un général US disait à ce sujet que le temps de réponse est beaucoup trop court: "A piece of information can circumnavigate the globe in about 133-134 milliseconds, your decision space in cyber [is] half that". La fin de son discours est clairement tourné vers l'offensif: "Today, the offense clearly has the advantage, Get cyber legislation in there, bring industry and government together, and now we have the capability to say 'You don't want to attack us. We can stop it and there are other things that we can do to really make this hurt.".

On a pu voir dernièrement l'OTAN diffuser un draft qui souhaite légaliser la cyberguerre. Le but de ce document est d'appliquer/d'adapter au mieux les lois régissant la guerre conventionnelle au "cybermonde". Par exemple, qu'est ce qui peut être pris comme une intention belliqueuse, quelles répliques sont admises, etc.. 
Il reste toutefois un dernier point, communément partagé: A la différence du monde physique ou l'ennemi est visible et identifiable, contre qui tourner ses armées lorsque l'attaque vient d'Internet? The department has made significant advances in solving a problem that makes deterring cyber adversaries more complex: the difficulty of identifying the origins of that attack. Over the last two years, DoD has made significant investments in forensics to address this problem of attribution and we're seeing the returns on that investment. Potential aggressors should be aware that the United States has the capacity to locate them and to hold them accountable for their actions that may try to harm America. ". Ce point est vraiment nouveau dans le discours "cyberguerrier", il indique clairement que l'anonymat est en train de disparaître, ce qui implique entre autre qu'un APT ne pourra plus prospérer car on est capable d'en identifier l'auteur.

Mais allons un peu plus loin dans la réflexion. Les états sont donc de plus en plus sensibilisés aux questions d'attaques informatiques aussi bien destructives que disruptives ou aux intrusions. Les discours politiques visent à protéger les infrastructures publiques. On ne peut qu'anticiper que cette protection va s'étendre aux OIV (Organismes d’Intérêt Vitaux).

Ma grand-mère m'a légué la recette du tripoux que le monde entier envie. Devant la qualité de ce plat, j'ai décidé de monter une entreprise pour promouvoir ces saveurs inimitables. J'ai misé sur la vente par internet. Et un problème se pose avec mon usine de tripoux en conserve. Qui me protégera d'un acte de piratage ou d'une copie infâme? Un tripoux à bas prix pourrait voir le jour si on vole la propriété intellectuelle de ma recette. Un concurrent malveillant pourrait infecter mon usine pilotée par système scada afin d'accélérer la cadence de mes salières pour rendre mon tripoux impropre à la consommation (ma grand-mère me disait toujours: sans trop de sel et à feu doux!). Plusieurs attaques peuvent empêcher mon site web de vendre, depuis le (D)Dos en passant par la modification des commandes en ligne. Contre toutes ces attaques, je n'ai pas d'autre choix que de mettre de la sécurité classique (AV, firewall, patching policy, IDS, SIEM, etc..) qui bloquera les 80% des attaques basiques, mais qui n'empêcheront pas les drames décrits ci-dessus. L’État est capable de prendre des mesures pour protéger ses infrastructures, mais pour les miennes?

Jusqu'où la protection publique qui dispose d'une force de frappe conséquente ira pour protéger les acteurs privés qui sont en droit d'attendre cette protection? Cette question en recouvre d'autres:
-Dans quelle mesure les cyberattaques vont-elles modifier les pouvoirs de la police étatique vis à vis de l'Internet et par là même rogner sur les libertés d'Internet?
-La "police du net" restera t'elle longtemps l'apanage des sociétés privées alors que l'État est de plus en plus impliqué dans la protection de son cyberterritoire et de ses intérêts
-Est-ce la fin d'un Internet anonyme et sans frontières?

Aucun commentaire:

Enregistrer un commentaire

Enregistrer un commentaire