juin 20th, 2017

Un rapport d’une quarantaine de pages, un communiqué de presse de 20 feuillets , et surtout un leitmotiv en trois temps : développer la confiance numérique, garantir la souveraineté nationale et conforter le rayonnement international, une recette qui « garantira le succès de la transition numérique ». Il s’agit là surtout d’un acte de foi de l’Anssi, émis au moment précis d’un changement de gouvernement et d’une très légère modification du nom de l’autorité de tutelle (désormais Secrétariat général de la défense et de la sécurité nationale).

C’est également là un bilan chiffré de l’année écoulée : 1700 stagiaires, 21 experts SSI qualifiés, 16 nouveaux produits qualifiés, 95 autres certifiés, 13 agréments octroyés, la préparation d’un grand chantier d’aide aux PME/TPE victimes de malveillance. Mais également de la sécurité opérationnelle, avec une soixantaine d’audits et contrôles de sécurité, plus de 3200 signalements d’événements de sécurité numérique (notamment via le Cert-FR) et une campagne de labels ayant récompensé jusqu’à présent 77 entreprises Françaises dans le monde de la SSI, donc 41 pour la seule année 2016 selon le communiqué.

C’est Bruce Schneier qui a été l’un des rares à attirer l’attention du public sur un article de la Stanford Law Review signé par Alan Rozenshtein et traitant des « intermédiaires de la surveillance ». Article dont l’élément déclencheur a été la lutte opposant en 2016 Apple et le FBI dans l’affaire du téléphone chiffré après la tuerie de San Bernardino.

Pour Rozenshtein, il ne s’agit en aucun cas de présenter Apple comme le vaillant défenseur de la vie privée, mais d’analyser le contre-pouvoir « de fait » mis en évidence par le refus de cette entreprise de collaborer avec les autorités Fédérales. On peut parler, explique l’auteur, de l’émergence d’un groupe d’intermédiaires de la surveillance. Des intermédiaires qui ont à la fois les pouvoirs financiers et idéologiques leur permettant de résister à la pression des organismes d’Etat. Leurs armes, les arguties juridiques, les louvoiements légaux, une attitude procédurière, un rejet systématique de toute collaboration a priori avec les autorités et la fourniture d’un « service minimum » en matière de fourniture des données. Flic, d’accord, mais pour son propre compte, et non celui de l’Etat.

Ces spécialistes de la surveillance numérique possèdent les outils adéquats, et maitrisent lesdits outils à tel point qu’ils peuvent les utiliser à l’encontre des autorités. Une force qui sert donc à entraver toute tentative de surveillance plus approfondie par un pouvoir policier. En d’autres termes, ce n’est pas par pure bonté d’âme qu’agissent ces chevaliers d’industrie, mais bien parce qu’ils ont compris qu’ils ont tout intérêt à détenir une part importante de cette « puissance de surveillance », donc de pouvoir « tout court ». Ce que l’auteur appelle la « séparation des pouvoirs de surveillance ».

La surveillance a longtemps été une prérogative régalienne. La société libérale a fait en sorte qu’une partie de ce pouvoir change de main, écartant du coup le spectre d’un techno-totalitarisme d’Etat tant redouté par les écrivains de science-fiction des années 80, mais faisant surgir la menace d’une aliénation de l’individu par des conglomérats privés et supranationaux… dénoncée par la génération suivante des auteurs de S.F. Rozenshtein est un juriste, il ne fait pas de politique-fiction et se contente de mesurer, en 70 pages et 360 notes et références (plus fort qu’un ouvrage de la Pléiade) l’étendue de cette nouvelle distribution des cartes, avec ses implications économiques, politiques, légales et ses conséquences sur la vie privée.

A côté de l’étude de Cracked Labs, les films de Costa Gavras passent pour d’aimables historiettes de patronage. Son auteur, Cristl Wolfie, dresse une typologie des différentes méthodes employées par les entreprises des NTIC qui « collectent, combinent, analysent, échangent et exploitent les données personnelles » de millions de particuliers, chaque jour, à chaque instant. Et ceci dans l’opacité la plus totale, ou dans le cadre d’une transparence très relative. C’est, explique l’analyste Viennois, un combat très inégal, qui oppose le particulier à la puissance de groupes d’envergure internationale. Pourtant, la seule riposte possible contre ce flicage permanent serait d’exiger, par des voies légales, une totale transparence des pratiques de collecte, des méthodes d’exploitation et de leurs conséquences.

Il est de plus en plus fréquent, continue Wolfie, que des entreprises de crédit, des assurances, des « complémentaires maladie » fouillent notre vie numérique pour en extrapoler (sur des bases parfois très discutables) des conclusions qui permettront d’estimer le montant d’une prime, l’étendue d’une couverture, le montant maximum d’un emprunt. Le plus souvent par simple analyse de nos traces numériques : présence ou absence et activité sur les réseaux sociaux, contenus des communications publiques, analyse du champ sémantique ou de l’environnement social des liens de premier niveau, extraction de détails anodins pouvant par exemple dénoter une tendance au tabagisme, à la consommation d’alcool, à la pratique de sports considérés comme dangereux, ou plus simplement à l’estimation du niveau de vie selon ce qui peut fuiter des « confidences publiques » : nombre d’enfants du foyer, écoles fréquentées, intérêts politiques, religieux, ou syndicaux, orientations sexuelles, usage des cartes de crédit…

Cette surveillance peut aller jusqu’à contrôler la vitesse des mouvements du curseur souris devant une page de formulaire ou l’épluchage des pages, devenues les référents des navigations Web passées. Une hésitation, une interruption imprévue provoquée par un proche, et les outils d’analyse peuvent diagnostiquer une hypothétique difficulté de compréhension ou d’attention au travail, puis, par voie de conséquence, diminuer le montant d’un prêt ou au contraire tenter de séduire le consommateur en faisant apparaître des coupons de réduction histoire de reconquérir une parcelle de temps de cerveau.

La faute aux « big five » ? Sans l’ombre d’un doute, mais pas uniquement. Parfois, des officines peu connues agissent discrètement pour le compte de leur maison mère qui n’affiche jamais ouvertement cette soif de surveillance. Chez Oracle, le géant des bases de données et outils de traitement, cette basse besogne de la surveillance est assurée par des entreprises d’aspiration de données : Datalogix, AddThis, Crosswise, BlueKai… Datalogix seule agrège les données de milliards de transactions effectuées dans plus de 50 chaines d’épicerie et 1500 points de vente. AddThis trace 900 millions d’usagers du net via 15 millions de sites Web à son service et un milliard de téléphones mobiles.

Les téléphones encore, qui constituent une manne bénie des opérateurs… et des cabinets d’analyse statistique tels que Cignify, lequel recense la durée et la fréquence des appels GSM. Ce genre de données passionne les vendeurs de minutes, comme Telefonica, mais également les organismes bancaires (Mastercard), les spécialistes du reporting œuvrant pour le compte des organismes de crédit (Experian, Equifax) ou bien encore le Google Chinois Baidu.

L’étude s’achève par des chiffres, encore des chiffres : Facebook, 1,9 milliard de profils utilisateurs en stock, Google 4 milliards en cumulant les « fiches » des possesseurs d’Android, l’annuaire des abonnés Gmail et les inscrits sur Youtube. Apple compte 1 milliard de dossiers de clients IOS. Experian 918 millions de profils de souscripteurs de crédits (et près de 3 milliards de dossiers marketing et prospectifs), tandis qu’Equifax sait presque tout sur 820 millions de personnes et 1 milliard de terminaux. Oracle, sur le marché des Data Brokers, est assis sur un tas d’or d’un milliard d’abonnés téléphoniques, presque deux milliards de visiteurs Web et 5 milliards d’identifiants consommateurs uniques. Cela fait bien longtemps que l’on ne peut plus dire« sur Internet, personne ne sait si je suis un chien ».

C’est à Eurodisney encore, mais dans les salons (et l’immense tente) de l’hôtel New York, que se déroulera la 15ème Nuit du Hack. Les hostilités débuteront dès 10 heure du matin, avec l’ouverture des atelier Hacking for Kids (un espace d’éveil aux sciences et techniques qui ne connaît pas d’équivalent en France) et la conférence d’ouverture donnée par Freeman. Les interventions se suivront à un rythme et un niveau élevé jusqu’à 11H du soir. Citons, pêle-mêle, les « talk » de Gaël « Ratzilla » sur le hack des automobiles intelligentes (le chapiteau sera vidé, pour ce faire, d’un nombre incalculable de chaises), du vice-amiral Arnaud Coustillière sur le combat numérique, de Eliza Chelleng et Sumanth Naropanth qui hackent des « wearable » truffés de Bluetooth BLE, de Damien « Virtual » Cauquil qui lancera son appel du 24 juin sur le mode « Electroniciens de tous pays, unissez-vous car le hardware « fermé » doit être libéré ! ».

La palme de la pluridisciplinarité et de la collection de buzzwords revient sans l’ombre d’une hésitation à Renaud Lifchitz et à son intervention intitulée « Construisez votre cracker FPGA à bas coût sur une blockchain pour le fun et le profit ». Les fpga sont de plus en plus rencontrés au cœur des armes de test intrusif : la carte du Français Opale, Chipwhisperer, HardSploit, sans oublier leur usage massif dans la partie « pré-traitement de signal » des principales radio logicielles utilisées par les pentesteurs d’IoT et de réseaux UHF/SHF.

Parallèlement à ces conférences se dérouleront des ateliers techniques, aka « workshop ». On y parlera également beaucoup de radios logicielles, d’analyse vectorielle, de modulations numériques… et de voitures intelligentes comprenant quelques pépites de bêtises.

Le reste de la nuit appartiendra ensuite au « Zombies », concurrents du CTF qui s’affronteront au cours de la plus importante compétition de hack de France. Signalons à ce sujet qu’outre les épreuves traditionnelles purement « logicielles et réseaux », se déroulera un challenge essentiellement matériel, réservé aux possesseurs du « VirtualabsBlackBadge collector » vendu via le magasin en ligne de la manifestation. Enfin… matériel, mais pas que.

… auraient pu chanter Ella Fitzgerald et Sinatra. Car cette semaine débute la septième édition de Hack in Paris, dans les salons de l’hôtel Newport Bay, Disneyland Paris. Après les trois premiers jours traditionnellement consacrés aux master classes thématiques, les conférences s’enchaîneront sur un rythme soutenu. On y retrouvera notamment Chaouki Kasmi et José Lopes Esteves, les hommes de l’Anssi qui font parler les téléphones à distance (ou plus exactement qui exploitent les smartphones en abusant leurs assistants vocaux), Damien Cauquil qui, une fois de plus, torturera des périphériques IoT à grand renfort d’attaques sans fil (Damien proposera cette année une approche méthodologique et pratique en matière de « pentesting »), Dominique Brack (SwissCom, @Reputelligence) va hacker de l’humain, tandis que Lee JongHo et Kim MinGeun expliqueront comment torturer et surtout empoisonner le contenu diffusé par les téléviseurs intelligents (une approche différente mais cousine de ce qu’avaient également démontré Chaouki Kasmi et José Lopes Esteves lors du FIC 2017).

Plus techniques, mais oh combien intrigantes, les interventions de Ayoub Elaassal (ouvrir un shell dans un mainframe), de Gil Cohen qui revient sur les canaux de communication nommés de Windows, vieille idée toujours aussi exploitable, tandis que Valérian Legrand reviendra sur les NAC, une panacée inventée dans les années 2000 qui laisse encore quelques intéressantes voies d’accès.

Le détail des conférences est publié sur le site de la manifestation. Comme à l’accoutumée, Winn Schwartau jouera les maîtres de cérémonie et animera le débat « Hackers, the Media, Truth, Trust and Alternative Facts », en compagnie d’Annie Machon, ex barbouze du MI5, Deral Heiland, les plus belles bacchantes de Rapid7, et Michael Masucci. Parler du rapport entre les médias et le monde du hacking sans la moindre présence journalistique, c’est un peu comme qualifier Wannacry d’Armageddon du Web pour mieux en critiquer l’exploitation journalistique.

Le marché du travail est en déficit de spécialistes en sécurité des S.I., et cette pénurie devrait s’aggraver pour atteindre 1,8 million de postes non pourvus en 2022. Ce déficit est en constante augmentation de 20% depuis 2015
Il s’agit une fois encore d’une étude Frost & Sullivan commanditée par l’ISC², mais également par le Center for Cyber Safety and Education, Alta Associates et Booz Allen Hamilton. La notion de sécurité est donc entendue au sens large, et la perception de pénurie parfois plus subjective que réelle, puisqu’elle n’a pris en compte que le ressenti de « professionnels de la sécurité » (19 000 interviewés au total). Reste que ce sont les Directions Générales qui estiment et fixent leurs besoins en matière de SSI, et non les RSSI eux-mêmes.

Cependant, ce ressenti et cette impression de travailler en sous-effectifs est bien réel et ce quelle que soit la région du monde considérée.

– 66% des personnes interrogées se plaignent du manque de main-d’œuvre pour faire face aux menaces quotidiennes

– 1/3 des responsables du recrutement (au sein des SSI) compte faire croître leurs équipes de 15% à brève échéance

– 70% des employeurs cherchent à accroître leur staff « cybersécurité »

– Actuellement, 90% du personnel SSI est masculin, laissant ainsi apparaître un très net problème en matière de recrutement…

– … mais 94% des recruteurs considèrent qu’une expérience passée est nécessaire pour postuler, posant d’une autre manière le problème de l’œuf et de la poule.

Le rôle et la position des femmes dans le domaine InfoSec est considéré comme un sujet négligeable, voire dérangeant. Le sexisme y est feutré, la discrimination voilée, mais force est de reconnaître que sur une moyenne de 300 ou 400 participants aux conférences « sécu » d’Europe, il est rare de croiser plus d’une dizaine de consœurs. Proportion quasiment identique pour ce qui concerne les intervenantes, qui, à leur corps défendant, deviennent des « symboles » du féminisme corporatiste. Ce qui énerve d’ailleurs au plus haut point des Catie Moussouris et autres Shannon Morse, lesquelles refusent d’être des « femmes prétexte » ou le produit d’une discrimination positive, revendiquant avant tout un niveau de compétence et non un particularisme de genre.

Mais au-delà des postures, les chiffres. Ceux notamment fournis par une analyse de Frost & Sullivan, commanditée par l’EWF ( Executive Women’s forum on Information Security, Risk Management & Privacy) et l’ISC². On ne dénombre que 11% de femmes dans le secteur Infosec, malgré un niveau d’éducation et de diplôme supérieur en moyenne à celui de la gente masculine. Est-il nécessaire de préciser que les salaires sont également très inférieurs à charge de travail et niveau de responsabilité égaux.

Dans cette course à la discrimination, l’Europe manque de peu la première place du machisme, avec seulement 7% de femmes travaillant dans la SSI, précédée par le Moyen Orient (5%), mais loin devant l’Amérique du Nord (14%), l’Amérique Latine (8%), l’Afrique (9%) et la région Asie-Pacifique 10%. Vieux continent, vieilles habitudes.

La parité en fonction des postes est loin d’être même l’ombre d’un espoir. Au niveau des bureaux du directoire et des postes de direction exécutive, on compte 1 femme pour 5 postes. Et 1 pour 10 au niveau managérial. Un écart homme-femme qui se creuse encore plus aux échelons opérationnels (en Europe : 3% de femmes, 39% d’hommes).

Inégalité salariale également. Si l’écart a tendance à diminuer pour ce qui concerne les postes de haute direction, il reste en moyenne de 4500 $/an pour les autres postes de management, et se creuse côté sécurité opérationnelle, avec un delta de 4300 dollars en 2015 dépassant 5000 dollars en 2017. Contrairement aux chiffres précédents qui portent sur l’ensemble du globe, ces données sur les écarts de rétribution ne proviennent que des Amériques, du Nord et Latine. Aucune information statistique émanant d’Europe ne permet d’établir le moindre parallèle objectif, mais les indicateurs généraux Français des professions « cadres et assimilés » prouvent également cette tendance, avec des écarts de salaires pouvant dépasser 30 % entre hommes et femmes.