Journal d'investigation en ligne
Dossier
par Antoine Champagne - kitetoa

Sécurité informatique : données personnelles, on a largement dépassé l'accident nucléaire

Mais il y a toujours des gens pour nous dire que tout va bien se passer

Alice au pays des merveilles... Tout va bien sur le front de la sécurité informatique. Surtout si vous utilisez notre produit "PluFortKeTout". Tout va bien également sur le plan des données personnelles. Les parlementaires français veulent même mettre en place un cyberscore, comme un nutriscore, mais pour nos données.

Tchernobyl - CC
Vous lisez un article réservé aux abonnés.

En 1998, j'ai commencé à dresser une liste des entreprises, gouvernements, ministères et autres banques qui annonçaient être des pros d'Internet et qui dans le même temps laissaient un accès complet, avec un simple navigateur, à toutes sortes de données personnelles et confidentielles. Cela a duré jusqu'en 2011, date à laquelle j'ai co-fondé Reflets.info. À chaque découverte, je pensais que j'avais atteint un seuil. Que je ne trouverais rien de pire. Et pourtant.

Depuis ces années lointaines, en temps Internet, le niveau de sécurité a certes augmenté, mais la complexité des systèmes aussi, élargissant le périmètre faillible. In fine, même s'il est compliqué d'évaluer avec précision la situation, il semble bien que nous avons largement dépassé le stade de l'accident nucléaire.

Prenons quelques exemples simples. Ils ne surprendront pas les experts mais peut-être ouvriront-ils des perspectives aux utilisateurs classiques du réseau...

Les plateformes en savent plus sur vous que votre maman, votre femme ou votre mari. Beaucoup plus. Elles savent par exemple si vous êtes zoophile à tendance teckel mort ou pas.

Les États ont passé toutes les bornes depuis des lustres et sont tapis dans vos outils les plus intimes pour surveiller ce que vous faites.

Vos utilisez de plus en plus d'applications Web et toutes les données que vous leurs confiez vont, un jour, se retrouver dans la nature : il doit probablement y avoir maintenant plus de données diffusées par les groupes de ransomwares que sur Wikileaks.

Et pour couronner le tout, personne n'avoue que tout s'écroule jour après jour. L'appareil communicationnel continue de vous convaincre que tout va bien, qu'il faut continuer à croire en l'infaillibilité des machines, à croire que votre vie va se simplifier grâce aux services offerts par le Web.

Déroulons tout cela.

Maudites plateformes des 7 enfers

Il n'y a pas à dire, chez Google, ce sont des malins. Qui croit encore qu'il s'agit d'un moteur de recherche ? Google est l'un des deux pires aspirateurs à données personnelles qui aient été inventés. Cela s'est fait peu à peu. Personne ou presque n'a vraiment senti venir le truc avant qu'il ne soit trop tard. Comme la grenouille qui cuit dans la casserole où l'eau chauffe doucement. Le premier pied dans la porte a consisté à « offrir » une adresse mail à tout le monde. Une fois que chacun avait son petit Gmail, il était simple d'ajouter des sources d'aspiration et de les relier à la fiche associée à chaque adresse Gmail...

La société affirmait « Don't be evil » (ne soyez pas malveillants) jusqu'en 2018 avant de transformer cette phrase en « Do the right thing » (faites de bonnes choses ou faites ce qu'il faut faire), ouvrant la voie à une interprétation bien plus large. Dans la longue - beaucoup trop longue - série d'aspirateurs disposés sur les Internets par Google, il y a par exemple la proposition faite aux entreprises de s'occuper des statistiques de visites sur leurs sites Web. Le début de la fin pour la privacy.

Si en France nous sommes habitués à ne pas être fichés sur la base de nos choix politiques, philosophiques, ethniques, sexuels, l'affaire est un peu différente outre-atlantique. Rien ne dit que Google ne fait pas de corrélation. Le mot est important. En matière de big data, tout le problème tient dans ce mot. Vous pouvez collecter toutes les méta-données du monde (dans un univers où le payload est chiffré (1) ), sans corrélation, elles ne servent à rien. Si les données ne servent à rien, il n'y a aucune raison de les collecter... Si vous avez suivi le raisonnement jusqu'ici, vous avez compris que personne ne collecte des données sans avoir en tête la volonté de les exploiter et de les rentabiliser.

Maintenant observez la part de marché de Google Analytics, le service de Google permettant aux propriétaires de sites Web de faire de la mesure d'audience : on tourne autour de 75%. Relisez doucement : 75% des sites qui font des statistiques détaillées des visites, fournissent à Google les informations concernant leurs visiteurs, ce qu'ils font sur le site, ce qu'ils lisent, combien de temps ils passent sur une page, quel matériel ils utilisent...

Si l'on devait prendre un exemple, on pourrait choisir un site porno, histoire de marquer les esprits. Si vous choisissez d'afficher une page sur Pornhub dans votre navigateur, Google sait que vous avez un intérêt, par exemple, pour les gros sexes masculins, les gros seins, les fellations... Ces informations sont livrées à Google par Pornhub. Dans un autre onglet de votre navigateur, vous êtes connecté à votre compte Gmail... Google peut faire de la corrélation :

  • une personne avec l'adresse IP XX.126.45.76 est connectée à Gmail avec l'adresse mail toto@gmail.com. Elle utilise un ordinateur sous Windows Vista 6.7.55 et avec un navigateur Firefox 45.6.5.
  • une personne avec l'adresse IP XX.126.45.76 est connectée à Pornhub. Elle utilise un ordinateur sous Windows Vista 6.7.55 et avec un navigateur Firefox 45.6.5.

Il y a 99,99% de chances qu'il s'agisse de la même personne. Il est donc possible d'affiner la fiche du prospect toto@gmail.com avec des préférences sexuelles.

Quand vous consultez Pornhub (et d'autres sites pornos), Google met à jour votre fiche
Quand vous consultez Pornhub (et d'autres sites pornos), Google met à jour votre fiche

Google en sait plus sur vos préférences sexuelles que votre partenaire. Mais pas uniquement sur ce sujet...

Cela vaut évidemment pour tout. Si vous passez 70% de votre temps sur des sites politiques de droite, votre identité calculée (2) chez Google sera probablement de droite. Si vous vous intéressez beaucoup aux sites qui évoquent (positivement) le mouvement Black Lives Matter, vous serez probablement « catalogué » « personne de couleur ». Et ainsi de suite. In fine, votre profil sera vendu, revendu et re-revendu des centaines de fois. A chaque fois que vous livrez, volontairement ou pas, une information de plus à Google, le prix de votre fiche augmente. Ce processus marche aussi avec Facebook, l'autre aspirateur de données.

Les États des douze cercles de la mort

Les États ne sont pas en reste en termes de collecte de données personnelles. Les lecteurs de Reflets connaissent la puissance des outils made in les pays des droits de l'Homme mis à la disposition par des entreprises à l'éthique douteuse.

L'appétit est insatiable. Vraies ou fausses, les remontées qui nous sont faites de sources variées laissent à tout le moins perplexes : l'ensemble des URL consultées par les Français, les mails envoyés ou reçus, les usages des téléphones portables, tout serait capté, mouliné en permanence.

S'il est compliqué de prouver de telles assertions, elles sont dans la ligne des programmes de la NSA et ne semblent pas, au regard des révélations basées sur les documents extraits par Edward Snowden, totalement farfelues.

Si elles étaient vraies, cela poserait un certain nombre de problèmes. D'une part ces programmes seraient illégaux. D'autre part, cela reviendrait à dire que l'État considèrerait tous les citoyens comme des délinquants en puissance et non plus comme des partenaires d'un contrat social. Dans quel esprit paranoïaque pourraient naitre de tels projets ? C'est un question qui mérite une longue réflexion et dit beaucoup de la société dans laquelle nous vivons.

Les récentes révélations sur l'usage par le Maroc des produits de la société NSO (Pegasus) montrent par ailleurs les possibilités offertes par les sociétés privées pour pirater les téléphones portables des opposants et autres cibles dont on se demande bien pourquoi elles ont été choisies. Ces outils s'inscrivent dans éco-système désormais particulièrement développé et dont on ne soupçonne pas toujours l'étendue.

Ransomtamère dans l'undermonde du milieu

Qui n'a pas entendu parler des ransomwares... Ils sont désormais partout. Le nombre d'entreprises victimes s'allonge chaque jour. Le montant des rançons perçues par les groupes de pirates qui les diffusent reste peu élevé si on le compare aux profits générés par le trafic de drogue, par exemple. Mais ce sont surtout les dommages en termes de données personnelles qui sont colossaux.

Avant de chiffrer les données sur le réseau de l'entreprise visée, les groupes de pirates extraient des tonnes d'informations. Pour bien montrer à l'entreprise victime qu'il faut payer, les groupes menacent de publier ces informations et en diffusent, de manière « préventive » une partie, histoire d'inciter au paiement de la rançon.

Si l'entreprise ne paie pas, les données sont soit mises aux enchères, soit diffusées intégralement.

Les volumes se comptent souvent en terrabytes.

Les fichiers publiés concernant le cabinet d'avocats Le Bonnois représentent déjà 820 GB
Les fichiers publiés concernant le cabinet d'avocats Le Bonnois représentent déjà 820 GB

Désormais, c'est la foire à la farfouille. Qui veut des gigas de données d'Accenture ? De telle ou telle entreprise industrielle, du cyber-marchand LDLC ? Pirates, concurrents, sociétés de renseignement industriel, journalistes, tout le monde peut se servir sur ce méga-cyber étal. Listes clients, présentations stratégiques, factures, logins et mots de passe des serveurs ou des mails des employés, documents confidentiels des salariés stockés sur leurs postes de travail, adresses et numéros de téléphones personnels, tout est là.

C'est dans ce contexte et donc dans le grand n'importe quoi de la donnée personnelle, que le Parlement français a décidé de mettre en place un cyberscore, comme un nutriscore, mais pour nos données.

Est-ce une manière de sensibiliser les utilisateurs ou une façon de prévenir les pirates ? S'il y a un score pourri, c'est que la sécurité doit être faible, go ! go ! go !

En tout état de cause, s'il était honnête, ce Cyberscore devrait rester partout autour de zéro. Ce qui n'a pas encore été piraté le sera. Disposer d'une note élevée aujourd'hui ne veut pas dire que demain, les données seront toujours bien protégées. Chacun sait qu'un test d'intrusion vaut pour l'instant T où il est pratiqué. Après... Un peu comme un cœur qui fonctionne parfaitement et peut aussi bien s'arrêter de battre demain, un périmètre informatique peut être sécurisé aujourd'hui et piraté demain à l'apparition d'une faille zeroday.

Les corbeaux, messagers des mages pour lutter contre les Orcs

Que faire face au paysage catastrophique décrit ci-dessus ? Simple. S'appuyer sur des communiquants et autres pros du marketing pour tenter de construire par pure magie un paysage digne de Walt Disney. Repeindre Massacre à la tronçonneuse en Princesse Pocahontas, est-ce possible ? Oui, car il faut lutter contre les monstres qui attaquent nos belles entreprises et nos chères données personnelles ! Et il ne sera pas dit que les monstres auront le dernier mot.

Il y a tous ces vendeurs de poudre de perlimpinpin, de « snake oil » qui vont proposer des mesures de sécurité, des formations, des audits... Parmi ces vendeurs de rêve, il y en a même qui vont être victimes de ransomware. Accenture par exemple, victime l'été dernier du groupe LockBit avait pourtant pondu un fantastique livre blanc pour expliquer comment se protéger de ce type d'attaques. Les cordonniers sont les plus mal chaussés, dit-on.

Couverture du livre blanc
Couverture du livre blanc

Les bons contacts pour se protéger. A communiquer aux équipes IT de Accenture. Oh Wait...
Les bons contacts pour se protéger. A communiquer aux équipes IT de Accenture. Oh Wait...

Plus près de nous, XEFI, « leader des services informatiques auprès des TPE/PME » qui réalise des « campagnes de sensibilisation à la sécurité informatique », qui « obtient le label Expertcyber délivré par l'AFNOR », s'est fait exploser par le groupe Everest en juin dernier.

Xefi : pros de la sensibilisation, cyberexperts...
Xefi : pros de la sensibilisation, cyberexperts...

L'écosystème de la sécurité informatique s'auto-congratule en permanence, se réunit dans des cyber cercles, des cyber groupes, des cyber trucs, les cyber experts se décernent les uns les autres des diplômes de spécialistes en ceci ou en cela. L'Ego est surdimensionné, les certitudes sont immuables, et la négation de la réalité, totale.

Huggy les bons tuyaux...
Huggy les bons tuyaux...

In fine, ce sont tous les logins/password de Xefi qui finissent publiés sur Internet. Mais aussi ceux de certains de ses clients.
In fine, ce sont tous les logins/password de Xefi qui finissent publiés sur Internet. Mais aussi ceux de certains de ses clients.

Le cybermonde est un cauchemar pour les données personnelles. Lorsqu'elles ne sont pas pillées sauvagement par les plateformes et les États, elles sont mal protégées par les entreprises, piratées, alors que les cyber experts en tous genres ont juré leurs grands dieux qu'avec eux, c'était impossible. Une fois le piratage réalisé, on passe à la phase de déni. C'est vieux comme Kitetoa.com...

Dans les années 90, nous avions inventé le concept de « gadgetophrase ». Cela donnait quelque chose comme ça... Lorsqu'une entreprise était épinglée par Kitetoa.com pour avoir laissé fuiter des données personnelles, elle dégainait sa gadgetophrase : « Il s'agissait d'un serveur de test. A aucun moment les données de nos clients n'ont été mises en danger. » Une phrase qui contrastait déjà lourdement avec nos copies d'écran montrant l'étendue de la fuite.

Aujourd'hui, le même déni de la réalité peut être observé auprès des entreprises qui se sont fait pirater par les groupes de ransomwares. Les conséquences sont évidemment bien pires. Kitetoa.com publiait des articles satyriques et le pire qui pouvait arriver était de passer pour un « cave » en sécurité informatique.

Aujourd'hui, les données sensibles ne sont pas floutées par les bons soins de l'équipe de Kitetoa.com. Elles sont publiées sur Internet en paquets de 800 gigas...

Champion toutes catégories dans le déni ces derniers jours : la société de courtage en assurances Adelaïde.

Alors que les preuves d'une grosse fuite de données s'affichent sur les sites de « leaks » du groupe de ransomware Entropy, Adelaïde se fend de messages rassurants :

« Cette tentative d'attaque a été stoppée et contenue très rapidement grâce aux systèmes de détection et de sécurité du groupe Adelaïde. (...) À ce stade, Adelaïde Group n'est pas au courant d'une quelconque compromission des données »

Tout va très bien Mme la Marquise...
Tout va très bien Mme la Marquise...

Pendant ce temps-là sur les Internets :

Sur le site du groupe Entropy
Sur le site du groupe Entropy

Tout va bien. la tentative de piratage a été stoppée et contenue...
Tout va bien. la tentative de piratage a été stoppée et contenue...

Adelaïde se vante sur son site d'avoir été « pionnier dans son industrie en matière de digitalisation des services et cela a été un levier essentiel dans la réussite du groupe ces dernières années ». Le courtier a ainsi accru « son agilité numérique ». Tellement agile... Avec toutes ces contorsions, c'est préférable...

Encore une fois, si l'on compare « l'industrie » du ransomware à celle de la drogue, les chiffres sont ridicules. Toutefois, comme les hackers chinois ou russes il y a quelques années, les ransomwares servent d'épouvantail. Ils servent à vendre des solutions pas toujours efficaces. Ils servent à vendre des idées très mauvaises mais qui reviennent sur le tapis de matière récurrente, comme la nécessité de déchiffrer le trafic SSL.

Les entreprises tablent sur l'information suivante, qui va faire sortir des radars leur propre actualité. Elles nient avoir subi une attaques. Finissent par le reconnaitre mais réfutent toute conséquence. L'attaque n'a pas porté ses fruits. En règle générale il y a bien peu de journalistes pour aller vérifier sur les sites de leak des groupes de ransomware et si l'on tient cette position suffisamment longtemps (quelques jours), tout le monde passera à autre chose : la nouvelle victime.

Entre temps, les données se sont évaporées sur Internet, viennent grossir des bases de données marketing, des bases de boites mail corrompues, des listing de cartes bancaires, de numéros de comptes, la liste est sans fin tant les domaines des entreprises victimes sont variés.

Cette situation catastrophique est bien sûr générée par des entreprises et des États peu scrupuleux, pour qui « données » personnelles veut dire « beaucoup de bénéfices » ou « beaucoup d'information » et non pas « données privées et personnelles auxquelles seuls les propriétaires devaient avoir accès ». Mais il nous faut aussi nous regarder dans le miroir. Une grosse partie de ces données personnelles est livrée sur un plateau aux plateformes par leurs propriétaires.


(1) les métadonnées sont des informations qui ne sont jamais chiffrées. Par exemple, dans un mail, l'adresse de l'expéditeur, celle du récipiendaire, le sujet du mail... Dans un appel téléphonique, il s'agit du numéro appelant et du numéro appelé. Le payload est le contenu véhiculé. Dans un mail, ce sera le contenu du mail. Lors d'un appel téléphonique, ce sera la conversation. Les révélations d'Edward Snowden ont précipité la mise en place de chiffrement rendant l'interception du payload compliqué. Pas de panique (si l'on peut dire), les métadonnées sont à peu près aussi parlantes que le payload si l'on fait de la corrélation.

(2) les machines « calculent » votre identité en fonction des données qu'elles possèdent sur vous. Ce n'est pas « votre » identité, c'est la manière dont les machines vous perçoivent. Ce n'est pas innocent. Plus le temps va avancer, plus cette identité calculée va avoir des répercussions sur votre vie réelle (demande de crédit, assurance...)

5 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée