La "guerre" contre le coronavirus Covid-19 met le système de santé et les institutions à l'épreuve et paralyse l'économie. Mais au-delà de la crise sanitaire, doit-on également craindre une crise informatique ? Réponses et réflexions, avec des spécialistes.
Le dimanche 22 mars dernier, en pleine crise sanitaire, l'AP-HP (Assistance publique-Hôpitaux de Paris) a été victime d'une attaque informatique. Cette cyberattaque "en déni de service" (une abondance de connexions sur un même serveur pour le surcharger) a paralysé les systèmes informatiques de l'établissement pendant une heure.
Pour contrer l'attaque, les accès à internet ont été diminués. Les ouvertures de messageries, les connexions à Skype et aux applications externes de l'AP-HP ont été bloquées. "L'incident a été géré rapidement et efficacement par les équipes de l'AP-HP, sans impact critique" a finalement précisé un responsable de l'ANSSI (Agence de la Sécurité des Systèmes d'Information).
Cette attaque informatique n’est pas anodine, encore moins inédite. Les serveurs et systèmes informatiques sont en permanence la cible d’actes malveillants. Mais ce qui rend la situation alarmante, c’est que l’AP-HP en soit la cible au moment où le système de santé fait face à une épidémie mortelle.
Alors sommes-nous aujourd'hui plus vulnérables que d'habitude, face à des cyberattaques ?
« En fait, on est déjà exposé aux cyberattaques.
On l’est tous les jours »
C'est ce qu'affirme Simon Vieille, directeur des systèmes d’information pour l’entreprise Zenitude, une société qui gère des résidences hôtelières partout en France.Pour lui, il est nécessaire d’évaluer les risques encourus par les entreprises et les institutions. L’attaque dont a été victime l’AP-HP a été gérée relativement rapidement, sans graves conséquences. La situation aurait pu être bien plus dramatique. Une attaque informatique contre les services de santé pourrait rendre impossible la gestion du flux des patients, mais aussi de tout le matériel informatique de réanimation. Si un virus venait à se propager à l’intérieur des serveurs, c’est tout un établissement hospitalier qui se retrouverait paralysé, ou du moins, ralenti.
Gilles Bousquet est enseignant en informatique au département info-com de l’UFR Lettres, à Dijon. Il rappelle que la grande différence entre un virus biologique et un virus informatique, c’est l’intention de faire du mal qu’il y a derrière le second. « Même si les deux ont la capacité de se reproduire, n’oublions pas que derrière un virus informatique, il y a de la malveillance : un individu ou un groupe ayant pour objectif de nuire, d’escroquer ou se venger. »
Google a récemment signalé plus de 18 millions d’emails malveillants et de phishing liés aux escroqueries sur le coronavirus, en une semaine seulement, du 6 au 13 avril. 240 millions de messages de spam quotidiens liés au coronavirus ont également été relevés. Les agences de sécurité informatique alertent sur plusieurs menaces :
- de faux emails du ministère de la Santé et de l’OMS
- de faux emails offrant une aide financière
- de faux SMS et appels téléphoniques
- de faux sites web d’information sur le Covid-19
- de fausses applications mobiles liées au Covid-19
La sécurité informatique doit devenir une priorité
Les entreprises se dotent aujourd’hui de directions du numérique, qui gèrent les infrastructures informatiques, ainsi que les logiciels. Elles sont parées pour des attaques dites « classiques » mais demeurent « partiellement impréparées » selon Alamin Mansouri, professeur des universités en informatique et chef du département réseaux et télécommunications à l’IUT d’Auxerre.Les cyberattaques sont de plus en plus sophistiquées et imprévues. Il est donc nécessaire de penser la sécurité dans la totalité du déploiement des chaînes informatiques. On pensait l’avoir délégué aux logiciels antiviraux et aux pare-feux, mais ça reste insuffisant.
- Alamin Mansouri, responsable pédagogique de la licence professionnelle Cybersécurité à l'IUT Dijon-Auxerre
La crise sanitaire actuelle met en lumière ces difficultés. Les problèmes ne peuvent pas être réglés aussi vite que d'habitude, car il est parfois impossible d’intervenir physiquement sur le matériel informatique. « Nous n’avons pas forcément pensé à un Plan B du Plan B qu’est le télétravail » déplore Alamin Mansouri. « La sécurité informatique doit devenir une priorité ».
Pour lui, toutes les entreprises qui ne l'ont pas encore fait doivent dupliquer leurs serveurs. C’est-à-dire les rendre accessibles ailleurs, sur un serveur non infecté.
En cas d’attaque informatique, l’ANSSI peut soutenir techniquement les grandes sociétés, les hôpitaux, récupérer des données et réduire l'imapct de l’attaque.
Les utilisateurs doivent être formés
Pour Alamin Mansouri, les entreprises doivent se protéger en formant leurs utilisateurs. « Le plus grand point de fragilité, ce sont les utilisateurs. On forme les salariés à évacuer les bâtiments en cas d’incendie, mais on ne les forme pas en cas d’attaque informatique ».On forme les salariés à évacuer les bâtiments en cas d’incendie, mais on ne les forme pas en cas d’attaque informatique.
- Alamin Mansouri, responsable pédagogique de la licence professionnelle Cybersécurité à l'IUT Dijon-Auxerre
Simon Vieille ajoute que « si les systèmes sont de plus en plus sécurisés, ce sont les gens qui utilisent ces systèmes qui sont les premiers vecteurs d’attaques ». Selon ce spécialiste de l’informatique, « on attaque de moins en moins une société sur son parc informatique. La première couche d’attaque, c’est la personne qui consulte ses mails ». Dans ces mails, on incitera, via des mécanismes psychologiques, à ouvrir une pièce-jointe qui contiendra un spyware (logiciel espion), un trojan (cheval de troie) ou un ransomware (logiciel qui demande une rançon).
Pour Simon Vieille, si les infrastructures sont vulnérables aux cyberattaques, c’est « parce qu’elles reposent sur des systèmes et logiciels propriétaires ». Par exemple, quand vous installez Windows ou iOs, vous ne savez pas comment ils fonctionnent ni comment résoudre leurs bugs. Vous êtes donc exposés à leurs failles informatiques.
Une des solutions serait d’utiliser des logiciels libres. « Chacun peut visualiser le code source et s’attarder sur sa conception. Pour chaque faille découverte, tous les utilisateurs bénéficient d’un patch de sécurité, pouvant être proposés par tout le monde. »
A ces arguments, les entreprises répondent que les logiciels libres sont « de mauvaise facture » et la formation des utilisateurs « coûteuse ». Pourtant, « l’arrêt de l’activité est encore plus coûteux » précisent Alamin Mansouri et Simon Vieille.
Les théories d'une coupure mondiale d'internet
Sur Le Journal du Net, Jean-François Marie imagine une Europe plongée dans une crise informatique en 2040. « L’économie serait paralysée du jour au lendemain. » Il décrit des scènes de chaos dans les aéroports, avec des tours de contrôle muettes, incapables de guider les appareils en vol. Des péages d'autoroutes hors-service, générant des bouchons interminables. La signalisation qui dysfonctionne et crée des accidents en série. Des passants coincés dans les commerces, galeries et ascenseurs. Sur Latribune.fr, on trouve l'hypothèse, en 2035, d'une perturbation mondiale d'Internet. Les réseaux électriques s’en retrouveraient coupés, la production industrielle stoppée, les opérations des bourses et places financières suspendues.
S'il faut rester prudents face à ces scénarios catastrophe, trois risques de dysfonctionnement informatique de grande ampleur peuvent être recensés :
- des coupures accidentelles. Selon BFM Business, ça a notamment été le cas en Géorgie en mars 2011. En voulant dérober des fils de cuivre, une femme de 75 ans endommage des câbles de fibre optique. L’Internet arménien est coupé pendant 12 heures.
- des attaques en déni de service qui ciblent des banques, des entreprises et des gouvernements. On vient saturer un site web, un serveur, en l’assommant de requêtes, jusqu’à ce que le trafic soit perturbé. C’est ce qui s’est passé à l’AP-HP en mars dernier.
- des blocages par les Etats pour contrer des révoltes ou des manifestations.
Quelle frontière entre fiction et réalité ?
Serons-nous témoins d’un de ces scénarios dans les prochains moins, les prochaines années ? « Ça relève de la fiction » nous a-t-on assuré. Mais entre fiction et réalité, parfois la frontière est mince.Simon Vieille explique qu’aujourd'hui encore une cyber attaque ne peut pas viser l'ensemble des matériels informatiques. Et ça s'explique. Nos ordinateurs, téléphones, tablettes, ordinateurs de bord dans les voitures ont chacun un système d'exploitation. Et s'ils sont la cible d'attaque, ils ne seront pas tous impactés en même temps.
Pour se protéger, Simon Vieille rappelle l’importance de mettre à jour tous ses périphériques régulièrement. « Si une vulnérabilité est détectée dans le logiciel, un virus ou une attaque peut s’y engouffrer. »
Un autre type d'attaque, c'est la surcharge du réseau. « Mais il me paraît impossible qu’Internet crashe » rassure Simon Vieille.
« On a souvent appelé ça la toile. Mais ça a du sens. Ca donne l’image qu’Internet est comme une toile d’araignée, sans centre. Ce sont plein de fils qui se rejoignent à des carrefours. » Pour le directeur des systèmes d’information, Internet pourrait être coupé en plusieurs parties, mais jamais stoppé complètement à l’échelle mondiale.
En 2017, Annabelle Laurent sur le site Usek & Rika, rappelait que « pour éteindre Internet, il faudrait couper tous les câbles sous-marins qui acheminent les données d’un bout à l’autre de la planète ». Pour Simon Veille, on peut donc imaginer une coupure entre les Etats-Unis et l’Europe, qui « au pire, ne pourront plus communiquer entre eux. » Alamin Mansouri le rejoint sur cette idée : « Internet n’est pas basé à un seul endroit. »
Le danger : des milliards de données au même endroit
Pour Simon Vieille, le danger se trouverait dans la centralisation des usages vers des services, des « portions de la toile » : Amazon, Google, Facebook, Microsoft, etc. Les données sont toutes rassemblées au même endroit et deviennent donc une cible privilégiée des attaques. « Si ces services étaient atteints puis coupés, Internet ne serait pas à l’arrêt. Mais des millions et des millions de personnes n’auraient plus accès à leurs données. »Stocker ses données soi-même serait donc une façon de se protéger ? Encore faut-il avoir les moyens et les connaissances techniques pour le faire. Ceci illustre un autre problème. Nous ne sommes que des consommateurs d'informatique et nous ne cherchons pas à comprendre comment l'outil fonctionne. Alamin Mansouri propose de « démystifier l’informatique, pour que les usagers deviennent aussi acteurs et responsables de leurs usages. Mais gardons en tête qu’il y aura toujours des failles dans le système. »
Gilles Bousquet et Alamin Mansouri insistent sur la nécessité de vulgariser le monde et le langage de l’informatique pour que chacun se familiarise et anticipe les risques.
Une guerre invisible ?
Il y aura aussi toujours des groupes de plus en plus actifs défendant des intérêts économiques, qui ciblent les entreprises, les particuliers, les institutions et les Etats, notamment lors des échéances électorales. Peut-on parler de « guerre invisible », de guerre d’un nouveau genre, sans char ni véhicule armé ?« A en juger par les révélations de plusieurs lanceurs d’alertes, comme Snowden, il y a véritablement aujourd’hui un combat entre les nations, sur le terrain de l’informatique. »
« Il y a aujourd’hui en France une sorte de paranoïa » déplore Gilles Bousquet, enseignant en informatique à l’université de Bourgogne. L’informatique, le numérique fascinent. A tel point que des théories complotistes autour de l’Internet se multiplient.
Elles rejoignent la collapsologie, courant de pensée récent, qui étudie les risques d’un effondrement de notre civilisation industrielle. Les collapsologues envisagent différents scénarios : la crise sanitaire et la crise technologique, entre autres.
Une catastrophe informatique ferait-elle plus de dégâts que la crise sanitaire actuelle ? Impossible pour l'instant de le savoir. « Il faut faire confiance aux professionnels de la sécurité informatique » plaide Gilles Bousquet.
Le monde ne s'effondrera pas à cause d'une pièce-jointe naïvement ouverte !