Insidieusement, le numérique a percolé dans nos vies au point qu’à l’aune de ce siècle on en vient à traquer, sans véritable surprise, les failles de sécurité dans les robots cuiseurs. Au seuil de l’été, une grande marque de distribution discount avait en effet mis en vente des appareils culinaires automatiques équipés d’un micro – pour une éventuelle commande vocale – et fonctionnant sous Android 6, le même système d’exploitation que certains smartphones. Des bidouilleurs avaient alors réussi à se téléphoner par robot ménager interposé, grâce à une application VoIP. Cette anecdote illustre l’étendue des questions de sécurité qui se posent dans notre quotidien, envahi par la quinzaine de géants du web à l’échelle mondiale (Google, Facebook, Apple, Amazon, Microsoft, Uber, Alibaba, Netflix, Twitter, etc.) et dont la tendance monopolistique est servie par la cascade de services – souvent vendus comme étant gratuits – d’applications diverses ou d’appareils connectés.
« À la Fac, tout le monde masque sa caméra, souvent avec un bout d’autocollant opaque, par crainte d’un virus et de se faire pirater ou observer par des individus malveillants. D’autant que certains réseaux wi-fi ne sont pas sécurisés et rendent possibles des piratages », note Angelo, un étudiant brésilien attablé à la cafétéria du campus universitaire de la place du 20-Août. À quelques mètres de lui, un représentant syndical, plus âgé, livre ses propres craintes : « J’ai l’impression que des intrusions sont facilement possibles, sous différentes formes, dans les boîtes e-mail. Je redoute également la possibilité qu’ont certains employeurs de tracer les flux de téléchargement des personnes qui travaillent dans une même entité informatique. »
Mais dans l’ambiance estudiantine, ce n’est pas la crainte qui domine. Comme le résume Garance, « les pirates visent des gens qui ont de l’argent. Ce qui n’est pas notre cas. Mais j’évite tout de même d’autoriser les applications à accéder à la caméra ou aux contacts de mon smartphone. » Bref, pas de quoi envisager de faire l’impasse sur des outils devenus indispensables et dont il apparaît illusoire de pouvoir se priver. « J’ai essayé, en vain, soupire Margherita, étudiante en droit. On est habitués à contacter tout le monde instantanément et mes amis s’inquiètent quand je ne réponds pas. Alors, j’essaie quand même de ne pas abuser des réseaux sociaux et de ne pas autoriser ma géolocalisation. Pour le reste, c’est mon smartphone et ça ne dépend pas de moi. Je ne peux rien faire. »
Cette assertion de Margherita, pour être résignée, est vraie dans la mesure où tous les experts en sécurité numérique s’accordent à reconnaître qu’il est impossible d’utiliser un ordinateur, une tablette ou un smartphone sans laisser aucune trace sur la Toile et en fermant totalement la porte à des virus ou des programmes malveillants. Le web est basé sur l’échange de données et d’informations, avec ou sans notre consentement, et le numérique, en perpétuel renouvellement, offre une foule de possibilités qui s’accompagnent de menaces, tant pour la protection de la vie privée que pour l’intégrité des appareils informatisés. Mais, en réalité, la pire menace pour votre machine mobile ou votre PC, c’est… vous-même ! Les fautes classiques ? Utiliser le même mot de passe (ultra simple) pour tous ses comptes d’utilisateurs, livrer trop facilement les informations de sa carte de crédit, installer des applications douteuses auxquelles l’on autorise tous les accès à son smartphone, etc.
Dans le vaste bâtiment de la police fédérale, rue Royale à Bruxelles, le commissaire Olivier Bogaert nous guide dans un long dédale de couloirs froids, après avoir passé un sas de sécurité métaphorique. L’homme est nimbé d’une longue expérience liée tant à son travail depuis 1997 dans les équipes de la police judiciaire fédérale spécialisées en nouvelles technologies (Computer Crime Unit) qu’à celui de chroniqueur dans diverses émissions de la RTBF, notamment Surfons Tranquille sur Classic 21. Selon lui, les failles sont principalement humaines. À avoir manifestement dégainé plus souvent son clavier que son flingue, ce communicateur ne manque d’ailleurs pas d’histoires où des personnes se sont vues dépossédées de sommes d’argent importantes à cause de leur naïveté. Mais il est vrai, à leur décharge, que les cybercriminels ficellent des scénarios artistiquement alambiqués pour faire plonger leurs victimes. Celles-ci n’ont d’ailleurs pas forcément un trop petit bagage intellectuel ou un trop faible niveau social. En laissant toutes ses données personnelles en liberté sur la Toile, on s’expose en première ligne. Et l’arnaque qui revient telle une ritournelle, c’est la “fraude au digipass”.
Pour ferrer leurs poissons, les escrocs surfent sur l’actualité, opèrent des intrusions dans la vie, les courriers privés ou scrutent les messages postés innocemment sur les portails web affichant des commentaires publics mais aussi sur les réseaux sociaux. « Ces derniers sont importants car le fonctionnement de Facebook, par exemple, fait que les membres de la plateforme reçoivent des contenus en rapport avec ce qu’ils ont aimé. Il est donc assez facile de les toucher et de capter leur attention grâce à des messages sponsorisés payants, menant vers des montages frauduleux », résume le policier. Et de raconter une mésaventure survenue à une dame qui avait indiqué sur un site de seconde main qu’elle était intéressée par l’achat d’un objet. Un faux vendeur la contacte pour lui dire qu’il lui envoie ledit objet via un service de livraison… et qu’une société va lui téléphoner pour une authentification. Le bonhomme qui l’appelle ensuite, en se faisant passer pour un employé de l’entreprise d’expédition, la rassure en lui recommandant de ne lui communiquer en aucun cas le code pin de sa carte bancaire, mais simplement de lui lire le numéro qui s’affiche sur son digipass, la petite calculette qui génère une signature électronique. Or, il faut savoir qu’avec le numéro de carte et cette seule signature chiffrée, les voleurs n’ont pas besoin du code pin pour effectuer par la suite des opérations sur votre compte bancaire, via l’application mobile liée. « Pour un chemisier à 25 euros, c’est un transfert de 250 euros qui ont été effectués sur des comptes à l’étranger », déplore notre interlocuteur. Et le filon ne se tarit pas. Dans ses statistiques, la police fédérale a enregistré 21 239 cas de la sorte en 2017. Pour le premier semestre 2018, 10 554 fraudes aux cartes de paiement sont recensées.
Le principe, dommageable, se décline en une ribambelle de scénarios plus inventifs les uns que les autres : faux concours dont on est le gagnant, dons à des associations, aide à une personne dans le besoin bloquée à l’étranger, opérations de soutien aux gilets jaunes… « Il s’agit de jouer sur l’émotion et l’inquiétude, deux ressorts qui incitent à donner suite. Certains Belges vivent tellement dans la solitude qu’ils s’enferment dans le déni. » Ce refus de reconnaître une situation où l’on est abusé se retrouve d’ailleurs aussi au sein de certaines entreprises qui cherchent à tout prix à éviter toute mauvaise publicité ayant trait à des arnaques dont elles ont été victimes. D’où l’existence d’un important chiffre noir dans les statistiques. Les réseaux sociaux livrent aussi beaucoup d’informations sur les fonctions des employés, ce qui a notamment permis l’essor des “fraudes au président” consistant à se faire passer pour un dirigeant d’entreprise avant de demander péremptoirement, par téléphone, à un employé abusé, d’effectuer un virement bancaire urgent sur des comptes interlopes où l’argent disparaît.
Mais, depuis 2015, ce qui inquiète le plus les entreprises, ce sont les ransomwares et autres “cryptovirus”. En clair, des logiciels malveillants qui prennent en otage les données d’une ou plusieurs machines (lorsqu’ils se propagent) et qui affichent un message indiquant qu’elles sont rendues illisibles par un chiffrement et ne seront débloquées qu’après l’acquittement d’une rançon. L’infection, dont l’une des plus connues se nommait caustiquement “Wanna Cry”, se loge souvent dans des courriels mais trouve régulièrement d’autres portes d’entrée. La police déconseille fortement de payer et recommande de débrancher immédiatement toutes les machines, câbles, clés USB, disques durs externes et même téléphones portables en train de charger en USB. Puis de consulter la plateforme www.nomoreransom.org lancée par les polices européennes – Europol – proposant à la fois des conseils et des outils de déchiffrement pour sauver les entreprises concernées. Mais beaucoup restent toutefois tentés de verser le montant de la rançon, face à l’ampleur de la menace, sans pour autant avoir la garantie que tout se débloquera subséquemment. « 1000 ordinateurs peuvent être infectés en une heure et il faut compter trois mois pour réinstaller toute l’informatique », indique-t-on au Segi, le service général d’informatique de l’ULiège. Laurent Debra, le directeur adjoint, donne la mesure de la réalité des tentatives d’intrusion : « On bloque en moyenne trois ou quatre attaques par seconde, y compris la nuit, entre internet et l’intérieur de l’Université. Les anciens virus ne détruisaient pas tout alors que les nouveaux cryptovirus rendent les systèmes inopérants et viennent s’ajouter aux tentatives de vols de données, d’espionnage scientifique et autres extorsions de fonds. » Officiellement, la police a enregistré 238 cas de ransomwares en 2017 et finissait d’en compter 97 pour le premier semestre 2018.
Au début du mois de mars, la clinique André Renard, située en périphérie de Liège, à Herstal, était victime d’une attaque du genre, opérée par des pirates ukrainiens réclamant une rançon. Malgré le fait que la propagation soit restée circonscrite, l’activité du site hospitalier a été gravement perturbée et il aura fallu près d’un mois pour que tout rentre dans l’ordre. « Il faut savoir que beaucoup d’entreprises et de PME ne sont pas protégées car la cybersécurité coûte très cher en matériel et en personnel, notamment en ce qui concerne les ingénieurs en sécurité réseau. Chez nous, on dénombre 100 000 prises réseau et 2400 bornes wi-fi, rappelle Didier Korthoudt, directeur du Segi. Au niveau de l’université, on essaie de sécuriser de plus en plus les réseaux et nos deux centres de données sont localisés dans deux bâtiments suffisamment éloignés l’un de l’autre sur le campus du Sart-Tilman. La technique est comparable aux défenses des châteaux forts qui combinaient murailles, douves, mâchicoulis, archers… Différents firewalls [des barrières de tri, ndlr] sont installés dans chaque ensemble et sous-ensemble, selon les départements ou Facultés dont les accès sont différenciés. On vérifie que ce qui est souhaité est bien ce qui est consulté par nos 30 000 utilisateurs, CHU compris. Tout cela, sans brider le travail des habitués du réseau. »
À côté des flibustiers du web, il y a ceux qui avancent toutes voiles gonflées sur l’océan des données personnelles et qui regardent l’horizon sans tirer angoisse de l’insondable profondeur de l’eau trouble. Notre vie numérique est parsemée d’actions, de traces invisibles que nous laissons derrière nous à chacun de nos passages sur le web. Ces empreintes sont enregistrées sur des serveurs par des firmes qui se les approprient dans une visée de marketing. Et généralement, ce “big data” est collecté sans qu’on le sache, mais avec notre consentement obtenu grâce à des conditions générales que nous approuvons sans même les lire, dans l’enthousiasme de la première utilisation d’un service alléchant. Une certaine opacité demeure, malgré l’avancement que représente le règlement général sur la protection des données (RGPD) adopté au niveau européen en 2016.
Au printemps dernier, le service “Qualité de vie des étudiants” proposait des ateliers pour apprendre à gérer ces données, découvrir comment les effacer, protéger les comptes, crypter les messages. Dans le contexte du scandale Facebook-Cambridge Analytica, en 2015, qui concernait l’utilisation de données personnelles de 87 millions d’utilisateurs dans le but d’influencer les intentions de votes, une étude interpellante était remise en lumière. En 2008, un chercheur américain de l’université de Stanford, Michal Kosinski, créait une application ludique sur Facebook. Sur la base de l’échantillon des six millions d’internautes l’ayant utilisée, il en a conclu qu’après dix likes sur Facebook, l’algorithme vous connaît mieux que vos collègues. Après 100, il vous connaît mieux que votre famille. Et avec 230, il vous connaît mieux que votre conjoint... L’illustration est parlante, qui ne prend même pas en considération les géolocalisations, cookies et autres algorithmes analysant en permanence la masse des renseignements générés par nos activités et qui sont susceptibles de conduire à des profilages prédictifs.
« Il s’agit théoriquement d’espaces publics qui doivent être libres et pas en permanence surveillés », estime Alexandre Liesenborghs, l’un des animateurs des ateliers précités accueillis dans les locaux de HEC. Spécialiste de ces questions au sein de l’ASBL Barricade à Liège, il demeure un adepte résolu de l’autodéfense numérique, soit « l’ensemble des pratiques ou processus à mettre en place individuellement ou collectivement afin de préserver, dans l’ordre puisqu’ils sont induits l’un par l’autre, ses droits à la vie privée, à la confidentialité et à l’anonymat ». Il prône par exemple l’utilisation des VPN, des systèmes réseaux couramment employés, qui connectent sans lien logique des ordinateurs suffisamment distants entre eux, dans différents pays ou d’improbables contrées, et grâce auxquels on peut passer pour devenir quasiment “intraçable” sur la Toile. Avec un inconvénient corollaire : le surf y est plus lent ! Cependant, même lorsqu’elles sont rendues anonymes, les données peuvent à nouveau être rattachées à des personnes, par la suite, à coups d’analyses et de moyens poussés. Un étudiant qui avait lancé une alerte à la bombe en passant par le dark web (internet clandestin préservant l’anonymat, à l’instar des VPN) en a fait les frais, qui a tout de même été confondu par la police, simplement parce qu’il était le seul de toute l’université de Liège à s’être connecté au réseau anonyme, par l’intermédiaire du logiciel dédié, à l’heure de l’appel téléphonique idiot. « En ce qui concerne les smartphones, je prône la stratégie de l’évitement. Et si on décide d’y aller quand même, il vaut mieux restreindre ses paramètres de confidentialité, empêcher la récupération des données par des trackers à l’aide de petits programmes facilement téléchargeables, utiliser des bloqueurs de publicités… »
Et de conseiller aussi de changer régulièrement ses mots de passe – suffisamment longs. Pour la démonstration, il nous montre www.haveibeenpwned.com, un site qui recense toutes les failles de sécurité des grands sites internet et qui, sur base de notre adresse e-mail, montre combien de fois votre compte a pu être compromis par une violation de données (aussi si votre mot de passe a été hacké). Encore plus stupéfiante est la démonstration faite par Olivier Bogaert, notre “cyberpolicier”. En se connectant sur un site web russe (www.insecam.org) permettant de visionner un peu partout dans le monde des caméras de surveillance domestiques ou professionnelles non sécurisées, on atterrit dans le jardin d’une famille avec une vue sur le numéro de plaque de sa voiture. Salles d’attente, grands magasins, parkings… l’intimité de milliers de gens, parfaitement localisés avec des coordonnées GPS précises, y est à portée de clic. « Les objets connectés non sécurisés : voilà la source de problèmes ou de menaces à venir. Beaucoup de détenteurs de ces objets ne modifient pas les paramètres de leur configuration d’usine, ce qui fait qu’il est aisé d’en prendre le contrôle grâce aux modes d’emploi disponibles en ligne », s’inquiète-t-il. Bêtise ou simple faiblesse humaine ?
Les Ateliers d’auto-défense numérique
Les 23 octobre, 27 novembre, 5 février et 4 mars prochains
10 conseils
Au printemps prochain, trois chapiteaux conféreront un air de fête au campus du Sart-Tilman. Spectacles, concerts et un florilège de conférences et de tables rondes feront battre le cœur de la communauté universitaire.
Comment se nourrit la réflexion des chercheurs et des chercheuses ? Quelle est leur vision de l’avenir, leur rôle dans la transition ? Un portail fait découvrir leur contribution à ouvrir le “champ des possibles”.
