Foll Cédric

Ces dernières semaines, quelques articles ont relayé la première victoire d’une intelligence artificielle contre des joueurs professionnels de Poker. Une victoire d’abord symbolique. Si l’on s’était habitué depuis quelque temps à ce que la machine supplante l’homme aux jeux ne laissant que peu de place au hasard, le Poker semblait pouvoir rester, encore pour quelque temps, un jeu pour lequel une analyse froide ne suffirait pas. Pourtant à bien y regarder, il s’agit essentiellement d’un calcul de probabilités, domaine trivial pour un ordinateur si on lui fournit assez de données, avec un soupçon d'adaptation au style du jeu de l’adversaire. Mais le grand public et la presse n’aiment rien tant que se faire peur en imaginant un futur proche dans lequel les ordinateurs dépasseront les humains pour la plupart des tâches.

S’il est un sujet relatif à la sécurité dont le grand public s’est emparé ces dernières années c’est bien celui de la vie privée. Grâce aux révélations de Snowden, aux leaks sauvages de données personnelles défrayant la chronique chaque mois ou encore aux publicités ciblées de plus en plus invasives, le grand public a largement saisi les enjeux de la préservation de sa vie privée en ligne.

Internet s’est développé avec l’illusion pour beaucoup d’utilisateurs que tout y était gratuit. Que les services dématérialisés tels que les pages personnelles, services de messagerie, blogs ou réseaux sociaux pouvaient être utilisés sans aucune contrepartie si ce n’est la présence de publicités plus ou moins désagréables.

Nous ne saurons probablement jamais si des cyberattaques commandées par la Russie ont fait basculer l’élection américaine en faveur de Donald Trump. En revanche, le fait que la question soit débattue, et que cette hypothèse semble tout à fait plausible y compris pour des enquêteurs de la CIA nous fait mesurer à quel point les questions de cyberdéfense sont devenues stratégiques. Il était largement convenu que les attaques informatiques puissent constituer une nuisance et avoir d’énormes impacts financiers. En revanche, que des pirates puissent influer sur l'élection du président de la première puissance mondiale a de quoi surprendre.

La publication de la base de comptes utilisateurs de Yahoo le 22 septembre dernier avec son demi-milliard d’identifiants est largement la plus grosse fuite de données rendue publique à ce jour et a de quoi donner le vertige. C’est peut-être le dernier clou dans le cercueil de cette société, ce géant du Web déchu qui pouvait se payer en 2000 des publicités en prime time à la télévision à une époque où elle était encore regardée par tous [1].

Les plus anciens d’entre nous avaient l’habitude de commencer leurs tests d’intrusions par des nmap avec trois lignes d’options. L’étape de scan de ports prenait des heures pour vérifier la présence de services accessibles sur les 65536 ports possibles en UDP et TCP. Les yeux s'éclairent à la découverte de toutes les lignes affichant « open » et l’amusement commençait pour vérifier s’il n’existait pas une vulnérabilité recensée sur le service, une erreur de configuration ou des identifiants faibles.

Il est bien connu des attaquants que la cible à privilégier pour réussir une attaque est le maillon le plus faible. Sans se montrer exagérément pessimiste quant à la nature humaine, il y a fort à parier que dans bien des cas ce maillon est l’humain, car, comme l’a écrit Bruce Schneier, « Given a choice between dancing pigs and security, users will pick dancing pigs every time ».

L’été 2015 se terminait avec comme principale actualité à nous mettre sous la dent le piratage des données d’Ashley Madison et la mise en pâture d’une kyrielle de données nominatives d'utilisateurs réels (ou pas) qui se seraient bien passés d'apparaître dans ces listings.

Pèse-personne, babyphone, tapis de course, montre multisport, station météo, thermostat d’ambiance, lecteur multimédia, enceinte pour ne citer que mes objets connectés disposant d’une adresse IP. Et puis un cardiofréquencemètre parlant le protocole ANT+, un bracelet de self tracking causant BLE, différents capteurs de ma station météo et mon thermostat au travers d’un protocole non spécifié dans leur documentation technique.