Secu
Sécurité : « Le cloud est plus dangereux que les virus »
Par La rédaction, publié le 23 novembre 2012
Pour Thierry Karsenti, directeur technique de Check Point pour l’Europe, le cloud pourrait s’avérer en définitive plus dangereux que les virus, contre lesquels les utilisateurs ont fini par apprendre à se préserver.
Décembre approche et les premiers bilans commencent à poindre. En terme de sécurité informatique, « l’année 2012 n’est pas en rupture, elle s’inscrit même dans une certaine continuité », nous indique, lors d’un entretien, Thierry Karsenti, directeur technique Europe pour la société Check Point, spécialisée dans la sécurité informatique, aussi bien pour les grands comptes que pour les particuliers.
2012, année de l’industrialisation de la cybercriminalité
Une continuité par rapport à 2011 et c’est « plutôt inquiétant », ajoute-t-il. 2012 est l’année de la « confirmation d’une tendance de fond, une certaine accélération de la menace de la vie quotidienne ». Une tendance double que 2012 a vu « s’industrialiser », nous confie Thierry Karsenti.
La première tendance voit se multiplier les ransonwares, ces logiciels qui s’installent en prétendant vouloir vous aider à sécuriser votre machine, puis vous forcent à payer pour prétendument évincer un virus qui n’est en fait lié qu’à leur présence. Une forme « d’extorsion financière », qui se généralise, commente-t-il.
La deuxième tient au vol de bande passante. L’ordinateur est alors utilisé comme une « puissance informatique ». Un logiciel s’installe à l’insu de son propriétaire et ne va quasiment pas altérer son bon fonctionnement. En revanche, de manière ponctuelle, il va « dérober une partie de la bande passante ». Tout étant commandé grâce à un botnet, par un serveur, qui gère les machines contaminées et créent ainsi un réseau de traitement de spams, qui sera loué à des spammeurs.
Le cloud pointé du doigt
Et au vu de l’explosion du marché des mobiles, cette dernière tendance ne risque-t-elle pas de prendre une nouvelle ampleur avec des smartphones de plus en plus puissants ? Sans doute, oui, mais dans le futur proche, pour Thierry Karsenti, le vrai danger, lié à l’arrivée des smartphones, est à chercher du côté du cloud.
« Jusqu’à aujourd’hui, vous êtes le maître de votre sécurité. C’est vous qui décidez si vous investissez du temps, de l’argent ou de l’expertise pour vos données informatiques. Si vous récupérez un virus, c’est que l’ordinateur n’est pas à jour, que vous n’êtes pas allé au bon endroit. Mais vous ne vous en prenez qu’à vous-même. »
Avec les smartphones est venu l’avènement d’une nouvelle ère, le post-PC, où l’ordinateur n’est plus le centre de votre activité numérique. Désormais, non seulement les données sont dématérialisées car numériques, mais leurs supports physiques quittent votre proximité. « Jusqu’à présent la donnée était proche de vous. Elle était numérique mais se trouvait sur un disque dur, physiquement vous la situiez », commente Thierry Karsenti. « Avec le cloud, avec les solutions d’Apple, d’Amazon, de Microsoft ou encore de Google, la donnée est dans le nuage, elle est quelque part, mais il n’y a rien de plus flou qu’un nuage. »
Changement de paradigme
Et ce flou pose de lourdes questions en terme de sécurité, au sens large. « La sécurité de cette donnée vous échappe », explique le directeur technique Europe de Check Point. « Vous n’êtes plus maître du bon cycle de vie de vos données. » Et sans exagération, d’aller un pas plus loin : « Vous n’êtes d’ailleurs pas forcément maître de la donnée. Parfois, quand vous allez sur certains de ces sites, que vous mettez des photos ou des informations, vous vous rendez compte que vous n’êtes légalement plus la personne qui a des droits sur cette donnée. »
C’est ce qu’a si bien démontré l’affaire Megaupload et ses répercussions pour des milliers d’utilisateurs, dont Kyle Goodwin, relance-t-on. « Megaupload est l’exemple parfait. Beaucoup de PME stockaient pour des raisons financières des gigaoctets de données avec ce service. A un moment, une décision politique d’un Etat, en l’occurrence américain, ferme ce site et vous n’y accédez plus. Les données existent encore mais vous n’avez plus votre mot à dire. On vous a dépossédé de la donnée. »
Sécurité à double sens
Dès lors la définition du terme sécurité est double. Le cloud implique de « futurs enjeux sur la sécurité au sens informatique de cette donnée ». Il faut ainsi s’assurer que « les serveurs dans le cloud soient sécurisés, chiffrés, et qu’en cas de fuite de données, les utilisateurs soient avertis ». Voilà pour le premier point, qui « paraît la moindre des choses », commente Thierry Karsenti. Et d’ajouter : « mais ce n’est pas le cas aujourd’hui dans beaucoup de pays ».
La deuxième définition du terme sécurité tient plus à une approche du point de vue de l’utilisateur final, du respect de sa vie privée. « Ce sont toutes les questions juridiques autour du cloud. A qui appartient véritablement une donnée ? » Et la question devient vertigineuse, quand ce spécialiste de la sécurité élargit d’un coup le spectre du « cloud ». Car, les acteurs Over The Top, les Google avec Gmail, les Facebook avec les milliers de données personnelles qu’ils détiennent sur nous, toutes ces sociétés font partie intégrante de la question du cloud et de la sécurité qui l’accompagne.
Et Thierry Karsenti de s’interroger : « Qui est le produit ? Facebook, c’est votre produit ? Ou vous êtes le produit de Facebook, qui vous vend à des annonceurs ? »
Défense de l’utilisateur et de ses données
Et, de fait : « Il y a une vraie problématique autour de la donnée. Un seul état en Europe établit un contrat d’utilisation entre l’utilisateur et Facebook et impose de proposer un interlocuteur juridique, c’est l’Allemagne, qui, après le nazisme, est très sensible à tout ce qui touche aux données personnelles et à leur sécurité. » Une exception qui fait que si « vous êtes Français, [et que] vous avez un problème avec Facebook, il faut aller en Californie pour porter plainte ».
Dès lors, on comprend mieux la position énoncée. Et d’avancer une hypothèse ? La relative nouveauté de ces enjeux, comparée aux dangers informatiques classiques qu’on a l’habitude de rencontrer avec Windows, ne complique-t-elle pas la tâche ? « Absolument, et, en plus, ils sont plus complexes d’approche. On fait rarement exprès d’avoir un virus. Alors que sur Facebook, on reçoit un message avec une application qui a l’air super sympa. Est-ce que j’autorise cette appli ou pas ? A quoi accède cette application ? A tous vos contacts et à tous vos posts. » Et d’enfoncer le clou(d). « Je peux demain développer une application, très sympa, mais qui en plus d’être un jeu agréable, récupérera tous vos amis, contacts et messages. Et tout cela a une vraie valeur. »
Deux ne font qu’un
Et de boucler la boucle. Un danger sécuritaire pour vos données qui prend aussi la forme d’une menace pour la sécurité informatique. « En ce qui concerne l’attaque de l’Elysée, la première approche a été d’aborder un collaborateur du palais présidentiel par Facebook. » Ce qui montre bien que les deux aspects de la sécurité informatique partagent un point commun, l’utilisateur, et un besoin essentiel, la pédagogie.
« Il y a un besoin d’éducation sur les prérequis (matériel, logiciel, etc.) et sur les usages. Quel bon comportement faut-il adopter ? Il faut sensibiliser les utilisateurs, et on le voit bien c’est très difficile. » Une fois encore le problème se situerait-il entre le clavier et le siège ? « Oui, c’est tout à fait cela et il y aura toujours quelqu’un », plaisante Thierry Karsenti, qui sait bien que le combat n’est pas près de prendre fin.