Gary Davis (@garyjdavis) est responsable de l’évangélisation chez Intel Security (le nouveau nom de McAfee, le spécialiste des logiciels de sécurité). Un intitulé de poste qui éclaire beaucoup le propos qu’il tenait sur la scène de la dernière édition de Lift : il est là pour nous convaincre de l’utilité des protections logicielles de sa firme. Gary Davis n’est rien d’autre qu’un nouveau genre de commercial à l’heure des réseaux sociaux.

Bréviaire de la sécurité

Alors il déroule son discours bien rodé. Tremblez amis utilisateurs ! Avec l’internet des objets, de nouvelles menaces arrivent (et un nouveau marché pour les sociétés de sécurité…), plus dangereuses que toutes celles que nous connaissions jusqu’alors. Les dispositifs qui se portent, ces wearables, sont la nouvelle boite de Pandore de la sécurité. Pour preuve, il nous explique que sur le marché noir, les données provenant de dispositifs qui se portent, ces données qui mesurent tout de vous et savent tout de vous, s’échangent 10 fois plus chères que les numéros de carte de crédit. Pour les criminels vos données comportementales vaudraient 10 fois plus que les informations permettant de vider votre compte en banque ! L’heure à laquelle vous vous levez le matin et vous couchez le soir, le nombre de pas que vous faites pour aller à la boulangerie ou accompagner vos enfants à l’école seraient plus précieux que la possibilité de vous soutirer de l’argent ! Difficile à croire, d’autant que notre évangéliste en chef ne cite pas d’étude pour étayer son propos, ni n’est très précis dans sa comparaison : de quelles données parle-t-il vraiment ? Des données comportementales de toutes les applications de nos téléphones mobiles y compris nos données de contact ? A quelles données de cartes de crédit les compare-t-il : des numéros de carte sans mot de passe ou avec ? Quand on récite son évangile, l’essentiel est donc d’y croire et d’y faire croire, les précisions ou la véracité historique ne sont qu’accessoires ! (Si l’on en croit le Figaro ou la NPR, la menace concerne surtout les données de santé provenant d’hôpitaux ou de systèmes de santé publique que les données de votre Fitbit ou de votre téléphone…).

Image : Gary Davis sur la scène de Lift.

Pourquoi ces données vaudraient-elles autant ? Parce qu’elles permettent d’avoir bien plus d’informations sur les gens ! Elles permettent de savoir où vous êtes, votre activité physique, physiologique, vos symptômes médicaux, de deviner votre état de santé mentale… Autant de données qui vont permettre de dérober l’identité des gens, de faire de la fraude aux assurances, de l’extorsion de fonds, etc., etc. La liste de ces nouveaux risques dépasse des slides de Gary Davis… Et ce alors que le marché de l’internet des objets – et notamment des objets de santé connectés – explose bien sûr, assène-t-il avec des prévisions de croissance folle, surtout quand elles ne sont pas relativisées par rapport au marché de l’informatique personnelle par exemple. Montres intelligentes et traqueurs d’activités personnelles seront bientôt si nombreux que chacun d’entre nous en aura certainement plusieurs autour des poignets.

L’utilisateur : ce confortable responsable !

C’est pourquoi Davis promeut un label pour l’internet des objets, une plateforme sûre permettant de développer un marché stable, comme Windows a été la plateforme de l’informatique des années 90 ou Androïd celle de l’informatique mobile, explique-t-il, sans que l’on soit sûr que tout le monde soit convaincu par ces comparaisons. Aujourd’hui, le monde de l’internet des objets est un gruyère sécuritaire, insiste-t-il. Une étude d’HP a mis en avant quelques 25 vulnérabilités par appareils en moyenne. Il nous faut donc monter le niveau de sécurité de ces objets et ce d’autant qu’ils sont dotés de nombreuses fonctions d’échanges de données sensibles aux virus et piratages. Les flux de données entre nos objets, nos téléphones et le cloud des fournisseurs de services sont autant d’espaces de vulnérabilité qu’il va falloir protéger. Et le pire outil de cette chaîne, c’est bien évidemment vous chers utilisateurs !

Et le spécialiste de la sécurité de rappeler tous ces chiffres qui font peur sur l’inconscience des utilisateurs, qui sont le problème auquel les logiciels de sécurité doivent parer. 36 % des utilisateurs d’un smartphone n’installent même pas un mot de passe pour verrouiller leur téléphone. 14 % seulement installent une application de sécurité. 8 % installent des logiciels capables d’effacer leurs données en cas de vol de leur téléphone… Inconscients que nous sommes !… Et ce alors que pas moins de 15000 smartphones sont perdus dans le métro de Londres chaque année ! Davis finit de terroriser l’audience en activant un logiciel sur son téléphone lui permettant de faire apparaître tous les identifiants Bluetooth des téléphones et appareils connectés de la salle ! Effet garanti ! Tout le monde a l’impression qu’il suffirait que Gary appuie sur un bouton pour que le contenu de tous les téléphones soit aspiré. Il évoque encore les clones du jeu Flappy Bird qui contenaient massivement des malwares permettant de faire des appels téléphoniques sans la permission des utilisateurs, installant des applications sans consentement, envoyant, recevant et enregistrant des SMS ou des données de contact…

Après avoir terrorisé tout le monde, Gary Davis rappelle les bonnes pratiques qui sont si nombreuses que vous ne savez pas dans combien de minutes vous pourrez utiliser votre téléphone ou votre appareil connecté quand vous voudrez vous en servir, tant la liste est longue. Changer le mot de passe par défaut. Fermer la connexion Bluetooth quand elle n’est pas nécessaire. Limiter la quantité de données de votre profil. Eviter les fonctionnalités sociales. Activer la protection biométrique dès que possible. Mettre à jour le logiciel. Fermer son GPS. Lire les CGU. Installer des logiciels de sécurité. Chiffrer ses échanges. N’utiliser que des applications provenant des magasins d’applications officiels… Privilégier les authentifications à plusieurs facteurs. Utiliser des mots de passe forts. Se connecter d’une manière chiffrée aux espaces en ligne…

Heureusement, Gary Davis n’oublie pas de glisser un petit mot aux concepteurs d’appareils et de logiciels, les invitant à mettre la sécurité au coeur de leur conception. Mais on a un peu l’impression que c’est là un bon mot, une plaisanterie, tant le secteur finalement profite bien plus des innombrables failles qu’il propose à l’utilisateur de combler…

Bon, je dois reconnaître qu’on m’a peut-être bien trop servi ce discours pour que j’arrive encore à l’écouter. Je m’en excuse. Oui, Davis a raison, les utilisateurs ne sont pas sérieux… Mais force est de reconnaître que le monde de la sécurité gagne bien plus à culpabiliser l’utilisateur qu’à tenter de remédier aux innombrables défauts de conception des appareils qu’il propose. La conception prenant en compte la vie privée des utilisateurs (privacy by design) ou celle centrée sur l’utilisateur ressemblent surtout à des bons mots dont tout le secteur des technos… se torche : trop heureux d’accabler de tous les maux l’utilisateur, que l’on tient bien coincé entre sa chaise et son écran…

Autant dire que le contraste avec la présentation de Frederic Jacobs était donc saisissant. Frederic Jacobs (@fredericjacobs) est un spécialiste du chiffrement, un de ces hackers activistes qui s’amusent avec le code. Son projet à lui, via Open Whisper Systems est de travailler à rendre le chiffrement utilisable. Qui a déjà cherché à utiliser une clef PGP sait que configurer ces outils pour rendre ses échanges plus sûrs n’est pas aussi simple que ça en à l’air.

Jacobs a lu ses prédécesseurs et notamment le manifeste Cypherpunk, qui insistait sur la nécessité de respecter la vie privée faisant du chiffrement l’arme pour y parvenir. La possibilité de disposer de différentes identités est un fondement du droit à la vie privée comme de l’internet, rappelle-t-il en ces temps où il semble essentiel de rappeler des évidences. Reste que contrairement à ce qu’annonçaient les pionniers du manifeste Cypherpunk, l’internet n’est pas libre de toute censure, au contraire.

Devoir choisir entre l’effort de la sécurité et la facilité d’utilisation n’est pas un choix

Si le respect de nos vies privées en ligne est un tel échec, il faut en rendre responsable la surveillance de masse qui est devenue le modèle d’affaires des entreprises du net à la recherche de la monétisation du moindre de nos comportements, rappelle Jacobs.

Aujourd’hui, en matière de sécurité, on demande aux utilisateurs de faire un choix. D’un côté, ils peuvent utiliser Facebook Messenger, une messagerie en ligne très conviviale, qui s’installe très simplement sur tous leurs appareils, mais que tout le monde peut écouter… Et de l’autre PGP… : qui est tout le contraire. Un protocole de messagerie instantané chiffré, mais qui ne s’installe que sur un appareil, qui ne permet aucune recherche, et qui est loin d’être amical à l’utilisateur… « Demander aux utilisateurs de choisir entre l’effort de la sécurité et la facilité d’utilisation n’est pas un choix. Le monde de la sécurité a besoin de belles applications utilisables. Or, le chiffrement en soi n’est pas un futur ni une caractéristique ».

Jacobs veut mettre au point un prototype qui montre que cet idéal est néanmoins possible. Qu’on peut concevoir des outils qui soient pensés pour l’utilisateur tout en leur offrant une sécurité maximum.

Image : Frederic Jacobs derrière le portrait du cypherpunk John Gilmore.

De la modélisation des menaces

Si nous étions sérieux, nous ne devrions jamais utiliser le moindre téléphone, pas plus que Google ou Facebook… Mais voilà, tous les acteurs de la sécurité jusqu’à la NSA le savent : nos esprits sont la faille favorite des systèmes de sécurité. La moitié des utilisateurs d’internet ont été actifs sur Facebook ce mois, rappelle Jacobs. « De notre propre volonté, nous préférons tous la commodité à la sécurité ».

Les entreprises nous rassurent. Elles nous font croire que notre vie privée est préservée plus qu’elle ne l’est vraiment. Quand elles nous disent qu’elles ne regarderont pas nos messages, cela ne signifie pas qu’elles n’y aient pas accès ou qu’elles ne peuvent pas le faire…

Le seul remède repose donc sur le chiffrement, c’est-à-dire sur l’échange de signatures numériques. Le chiffrement permet d’assurer la confidentialité des échanges entre deux personnes (même si on peut savoir qu’elles ont échangé des messages), l’intégrité (le message ne peut être tronqué ou modifié) et l’authenticité (on ne peut me faire dire ce que je n’ai pas dit).

L’un des protocoles les plus utilisés à ce jour pour faire du chiffrement est le protocole PGP. Il est populaire, mais il a un gros défaut. Si quelqu’un accède à votre clef de chiffrement, il sera capable de lire tous vos messages. D’autres protocoles existent comme OTR qui délivre lui des clefs éphémères, qui est synchrone quand PGP est asynchrone, mais qui n’est pas supporté par les clients de messagerie. En plus, il semble assez complexe à mettre en oeuvre, explique Jacobs.

La synthèse aux défis différents de ces deux protocoles se nomme Axolotl, du nom de ce petit animal capable de se régénérer. Ce protocole de sécurité développé par les équipes qui travaillent autour de Whisper Systems semble être la réponse idéale. Il est tolérant aux échanges asynchrones, il délivre des clefs différentes pour chaque échange et est capable de se réparer si on tente de le compromettre.

Simplifier… tout en assurant la sécurité la plus forte

La technologie est importante, mais elle ne fait pas tout. La sécurité a besoin d’usabilité… « Elle a besoin de simplification. Elle doit proposer des choses qui ressemblent aux autres services de messagerie électronique. Les gens doivent pouvoir partager des images, des messages très simplement. Les messageries sécurisées doivent faire tout ce que les autres font. Tout l’enjeu, le défi, est de simplifier tout en assurant la sécurité la plus forte », explique Jacobs.

Mais ce n’est pas le seul. Une autre question, plus rarement évoquée est de savoir comment financer ces développements complexes. Pour cela, Whisper Systems, a développé un système de financement alternatif pour motiver les développeurs. BitHub, un mélange de Bitcoin et de GitHub qui consiste à accepter les dons en Bitcoins, à les allouer à l’équipe de développement et à permettre à l’équipe de les distribuer à ceux qui contribuent au développement. Un autre enjeu a consisté également à développer un système de prise de décision sur la base de consensus pour faire des choix de développement… Bien sûr, concède Jacobs, Whisper Systems est encore une solution imparfaite, en cours de développement, même s’il a été adopté par WhatsApp, la populaire application de messagerie instantanée, ce qui est une certaine preuve de robustesse et de maturité, comme le soulignait Wired. Il reste encore des choses à améliorer, concède Jacobs en évoquant par exemple le besoin d’apprendre à mieux cacher les métadonnées des échanges qui portent trop d’information.

Qu’importe, l’exemple est stimulant. Au final, Jacobs se fait le porte-parole d’une autre approche de la sécurité, d’une sécurité qui ne refuse ni la complexité ni l’utilisateur. Si pour Davis l’objet le plus sécurisé est un objet déconnecté, Jacobs propose de relever les manches et de chercher des solutions pour que nos échanges connectés deviennent aussi sûrs que nos échanges non connectés. Whisper Systems est assurément une belle illustration de l’innovation dont nous avons besoin. Une innovation qui respecte la vie privée et l’utilisateur. Rien d’autre. Et c’est déjà beaucoup !

Hubert Guillaud