Quand les représentants du peuple fragilisent les infrastructures informatiques du pays
NextInpact nous apprend que les députés ont repoussé avec un certain dédain un amendement (dit "Bluetouff") visant à protéger les "hackers" qui signalent à un site poreux ses failles informatiques. Citant les jurisprudences Kitetoa, Zataz et Bluetouff, les députés qui poussaient cet amendement voulaient éviter des poursuites indues pour accès et/ou maintien dans tout ou partie d'un système de traitement automatisé de données aux personnes qui découvriraient une faille au hasard de leur surf.
Personne ne demande aux députés d'être des experts de tous les sujets sur lesquels ils légifèrent. Mais on est en droit d'espérer qu'ils sont équipés d'une toute petite dose de bon sens. Bien entendu, les votes à répétition de lois sécuritaires aussi inefficaces que liberticides pouvaient laisser planer un doute.
Les révélations quotidiennes sur les mensonges, les arrangements, les renvois d’ascenseurs ont peut-être fini de dégoutter une majorité de Français de la politique.
Visiblement, sur le sujet de l'amendement Bluetouff, il leur manque un peu de background en matière de sécurité informatique et ils font preuve d'un manque certain de bon sens. Ces quelques lignes d'un ex-cyber-criminel (pour avoir signalé aux magasins Tati une fuite de données personnelles de leurs clients) les aideront peut-être à mieux comprendre la portée de leur rejet de cet amendement.
Je suis vieux. Je promène ma projection numérique sur les réseaux informatiques depuis... Depuis avant l'arrivée d'Internet en France. Sur ce point je suis moins vieux que d'autres, mais ce qui est certain, c'est que je suis bien plus vieux que les députés dans ce domaine.
Dans le temps, il parait que l'on écoutait la parole des anciens, parce qu'ils avaient, disait-on, atteint une sorte de sagesse, ils avaient vu des choses, en avaient tiré des enseignements, généralement pas trop idiots. Aujourd'hui, la morgue des députés (et de certains journalistes - il faut savoir avoir du recul sur sa propre profession) est telle que les vieux sont voués aux gémonies.
Alors voilà, chers députés, laissez moi vous dresser un portrait de ce qui va se passer.
Les infrastructures informatiques sont une passoire. Pas une petite passoire. Une monumentale passoire. Tout est accessible à distance. Il suffit de disposer de deux choses assez répandues : du temps et des connaissances techniques.
Chers députés, vous pensez que Linkedin (j'imagine qu'ils y ont un profil donc je tente de leur parler d'un truc qu'ils connaissent) ne dispose pas d'une armée d'informaticiens dédiés à la protection de ce qu'ils ont de plus précieux (les informations et donc la confiance de leurs clients) ? Et pourtant... Les identifiants et les mots de passes de leurs clients se sont retrouvés dans la nature.
Donc, imaginez vos sites gouvernementaux, les sites universitaires, les sites d'entreprises privées, les messageries, les clouds variés, tout cela, est une passoire.
Ah ? Vous êtes zoophile tendance teckels morts ?
Comme je vous le disais, je suis vieux. Et à l'époque où Internet est arrivé, nous n'étions pas nombreux à nous intéresser aux problématiques de sécurité informatique. Nous nous sommes donc "trouvés". Qui ça ? Les hackers qui vous effrayent tant. J'ai donc passé des années en compagnie d'une bonne partie de ceux que je considère comme les meilleurs. L0pht, Rhino9, ADM, w00w00, cDc autant de groupes de dangereux terroristes de fabuleux esprits qui ont façonné par leurs trouvailles la sécurité informatique d'aujourd'hui. Si vous êtes un peu mieux protégés aujourd'hui, c'est grâce à eux.
Votre dédain pour leurs activités vous empêchent de les remercier. Je sais.
C'est dommage parce que franchement, vous leur devez beaucoup. Je vais vous donner un exemple simple à comprendre.
Lorsqu'un sex-shop en ligne français ayant pignon sur rue était mal protégé, les adresses mail de 10.000 clients fuitaient sur le Net.
Ça ne vous regarde pas ? Vraiment ?
Bien entendu, j'aurai pu suivre mes habitudes, prévenir les administrateurs du site. Leur dire que quand même, laisser tous les mails des clients dans un fichier "mail.txt" à la racine du site, accessible avec un simple navigateur, en ajoutant le nom du fichier après l'adresse du site, c'était un peu idiot. Mais avec vos décisions, je serai plutôt enclin à ne rien dire. Ne vous y trompez pas, si je ne dis rien, cela ne veut pas dire que vos données seront protégées. Quelqu'un d'autre les trouvera. Et il en fera sans doute un usage moins respectueux de la vie privée que moi, Bluetouff ou Zataz.
Mais revenons à des sujets mois frivoles.
Les sex-shops, c'est rigolo, cela fournit une illustration généralement assez parlante des dangers liés à l'insécurité informatique. Mais parlons de choses qui fâchent. En passant des années aux cyber-côtés des meilleurs hackers, j'ai vu des choses bien pires. Ils n'ont jamais rien mis en péril, jamais tiré un profit de ce à quoi ils accédaient. Mais d'autres auraient pu. Et si vous avez la trouille pour vos données personnelles stockées sur un sex-shop pouvant révéler vos préférences sexuelles, imaginez le reste. Des entreprises de haute technologie transformées en gruyères, des banques devenant soudainement transparentes, qui pourraient être précipitées dans une crise qui dépasse votre imagination, en quelques clics...
Que leur direz-vous après la catastrophe ? Ah, désolés, on avait l'occasion de protéger les gens qui voulaient signaler de bonne foi des failles dans votre système mais on l'a écartée. Ils se sont tus pour éviter un procès long, coûteux, épuisant, et d'autres ont explosé votre système d'information. Désolés... ?