Peut-on donner des conseils de cybersécurité quand on a été victime d'un ransomware ?

Reflets, invité à une conférence sur le sujet...

Pourquoi ? Pourquoi est-ce que rien ne change dans le monde de la cyber-sécurité ? Pourquoi ceux que l'on entend le plus sont-ils toujours ceux qui n'y connaissent rien, de simples vendeurs de potions magiques aussi chères qu'inutiles ? Reflets.info était invité à une conférence organisée par la ville de Saint-Cloud. On en est ressortis abasourdis.

Vous lisez un article réservé aux abonnés.

La société qui édite votre journal préféré a son siège à Saint-Cloud. A ce titre, nous avons reçu une invitation pour une conférence sur la cybersécurité. Cela s'adressait aux TPE et aux PME. Ça tombe bien, nous sommes une sorte de TPE et nous avons deux ou trois notions sur le sujet de la sécurité informatique. Les participants à la « table ronde » allaient-ils nous époustoufler ? Il y avait là du beau monde : Orange, l’Académie de l’intelligence économique, Xefi, le Campus Cyber et l'Institut Montaigne.

Le maire de Saint-Cloud qui accueillait quelques représentants de TPE/PME et quelques curieux n'a pas manqué de rappeler en introduction que sa ville avait été victime d'un ransomware. Tout a été réglé en quelques jours a-t-il précisé, soulignant que les données personnelles touchées étaient peu nombreuses et relativement peu sensibles. Sans doute... Reste que la réalité est un peu plus compliquée que cela. Selon nos informations, des mots de passe de la ville étaient toujours actifs quelques semaines après le piratage. Mais tout cela est du passé et cette transparence est bienvenue. Avoir été victime est peut-être un avantage pour promouvoir de bonnes pratiques auprès d'un public non averti et pour qui la parole d'une collectivité territoriale compte ?

C'est après, pendant la « table ronde » que les choses se sont corsées.

Tous enfourchent le costume des sachants s'adressant à un public de néophytes.

Les poncifs habituels sont déroulés les uns après les autres. Les pirates sont méchants, ils sont capables de tout, peuvent paralyser ou détruire une PME. Ces dernières pensent toujours que « ça n'arrive qu'aux autres », et là, « c'est souvent trop tard ». Les pirates vont faire de « l’usurpation d’identité, demander des crédits et ce sera ensuite très compliqué de se sortir de cette situation ». Roger, le commercial qui vendait des pneus il y a cinq ans est devenu commercial cybersécu et a très bien intégré les éléments de langage. Il faut diffuser du FUD (Fear, Uncertainty and Doubt). Rien n'a changé depuis le siècle dernier. Déjà dans les années 90...

Le top départ du grand n'importe quoi est donné par le représentant d'Orange qui explique tout à trac qu'« il faut penser préventif. Car aujourd'hui, il faut le savoir, on peut aller sur le darknet et prendre une licence pour devenir hacker. Tout ça en10 minutes et pour 120 euros ». On n'en saura pas plus en dépit d'une demande d'éclaircissement d'un participant.

Le représentant du Campus Cyber s'enflamme. Il en est sûr, les patrons commencent à être sensibilisés : « il y a une offre, il y a une demande. Mais comment les faire se rencontrer ? L'offre est peut-être trop chère ? ». Ce à quoi un autre intervenant répond du tac au tac que « ça a pu être le cas, mais ça ne l'est plus ». On est rassurés, l'offre va donc rencontrer la demande et la sécurité s'améliorer.

Vient le temps des questions. Un participant s'inquiète : « comment est-il possible que l'on puisse enregistrer un nom de domaine similaire à celui d'une entreprise avec juste une lettre qui change et que des pirates puissent faire ensuite du phishing ? Pourquoi n'y a-t-il pas de règles contre de ce type de comportements ? ». On attend la dissertation sur la régulation d'Internet, sur celle des registrars et de l'ICANN. Pas du tout. Une réponse incongrue tombe : « réduire le débit dans les tuyaux, ce n'est pas une bonne idée, les fournisseurs d'accès doivent tout véhiculer sans distinction. Sinon, vous allez prendre des procès des intégristes libertaires d'Internet  ». OK boomer.

« Oui, mais quand j'ouvre le robinet chez moi, j'ai de l'eau propre. Là, les fournisseurs d'accès nous livrent un Internet sale. Ce n'est pas normal », tente le participant.

« J'ai envie de vous dire que moi, même si je pense que l'eau est propre, je la filtre quand même. Vous comprenez ? » se voit-il répondre. On a essayé mais on n'a pas compris le rapport avec les noms de domaines.

« Et dans la Blockchain, tout de même... ça a été créé pour qu'il y ait une traçabilité, on devrait pouvoir remonter jusqu'aux pirates quand même, non ?  » essaye un adepte du Web 3.0 dans la salle.

« Ah ça ! C'est un serpent de mer le Bitcoin, ça a été fait pour ne pas être traçable », explique doctement le représentant du Campus Cyber. « On ne peut pas en parler parce que c'est la pointe de la lutte contre cette problématique mais il y a des solutions qui commencent à apparaître pour retrouver les propriétaires des wallets », précise-t-il avec le ton mystérieux de celui qui sait des choses.

In fine, tout en ayant souligné qu'il n'y connaissait rien et qu'il avait abordé ce sujet comme un profane, c'est un gendarme qui a participé à une étude de l'Institut Montaigne qui dira les choses les plus censées et les plus utiles pour les participants. Peut-être simplement parce qu'il n'avait rien à vendre. Ni lui-même, ni une solution technique.

La palme du vendeur de snake oil revient à celui qui est « tout le temps sur le terrain auprès des PME », le représentant de Xefi. Car, à l'inverse du maire, il a omis de préciser que sa boite avait été éventrée par le groupe de ransomware Everest (lire notre article ici) et que les mots de passe des serveurs de sa boite, spécialisée dans le soutien en cybersécurité aux TPI/PME, mais aussi ceux se ses clients, s'étaient retrouvés sur le Net, aux yeux de tous.

Alors qu'il aurait pu essayer un truc comme « on s'est vraiment fait exploser. On ne s'y attendait pas parce que c'est notre business de vendre des produits qui protègent contre ces attaques. Du coup on a tout revu de fond en comble. Nos façons de travailler. On ne garde plus les mots de passe de tout le monde dans un fichier texte non chiffré sur le disque dur de l'admin. Mais aussi nos produits. Maintenant qu'on a compris ce qu'il ne faut pas faire, on est prêts pour vous aider. Faites nous confiance ».

Sur un malentendu... ça peut marcher... ?