vendredi 6 septembre 2013

Dead can Dance

Ce grand penseur japonais des années 1980, connu en France sous le nom de Kenshiro dit « le Survivant » s'employait souvent à résumer sa pensée par le très nihiliste « Tu ne le sais pas encore mais tu es déjà mort ».
C'est peut-être exactement ce qui est en train d'arriver à Internet.

Internet est mort, et c'est la NSA qui l'a tué.

Oui, je sais, ça fait très prévision farfelue de chantre de l'apocalypse. Disons que Internet n'est pas tout à fait mort, mais il aurait visiblement pris un coup violent, très violent même, et pourrait tout à fait décéder d'hémorragie dans les mois/années qui viennent. Ça prendra peut-être beaucoup de temps, peut-être que finalement des chirurgiens de génie réussiront à sauver la situation, mais pour l'instant Internet est aux urgences, en espérant qu'on évite les soins palliatifs.

Mais pourquoi annoncer qu'Internet est mourant ? Après tout le réseau fonctionne, les échanges se font. Vous recevez vos courriels, facebook et twitter tournent normalement, de nouvelles vidéos sont arrivées sur Youtube ce matin, tout semble aller pour le mieux dans le meilleur des mondes. Bon il y a bien cette histoire de pénurie des adresses Ipv4, mais ça fait 10 ans qu'on en parle et visiblement ça n'a affolé personne, donc les choses semblent aller comme il faut, non ?
Le hic, c'est que ce n'est pas vraiment l'infrastructure d'Internet qui est affectée. Les échanges d'information continuent à circuler comme avant et il n'y apparemment pas trop à craindre de ce côté. Ce qui est en cause en ce moment même, ce ne sont pas les échanges, c'est leur sécurité.
La sécurité et le chiffrement sont devenus des éléments fondamentaux de notre usage du réseau. Nous employons des protocoles chiffrés et sécurisés tous les jours, que ce soit pour consulter notre courrier, protéger les données que nous hébergeons dans les nuages, nous assurer qu'un vil pirate ne va pas dérober à la volée notre numéro de carte bancaire lorsque l'on va faire un paiement en ligne... L'emploi du chiffrement de données sur Internet est devenu tellement courant que l'on n'y fait presque plus attention. Et c'est cette sécurité là qui a été mise en péril.

Dans le cadre de l'affaire PRISM/Snowden, Le Guardian et Le New York Times ont annoncé hier que la National Security Agency américaine et le Government Communications Headquarters britannique auraient depuis plusieurs années mis en place des mesures leur permettant de casser les méthodes de chiffrement employées sur Internet (en Français dans LeMonde.fr). Selon ces articles, les programmes Bullrun et Edgehill auraient permis à leurs commanditaires d'influer sur le travail des entreprises créant les systèmes de sécurisation les plus employés du réseau afin d'y faire introduire des failles de sécurité. Ces failles n'attendaient plus alors qu'à être exploitées, et c'est déjà chose faite.
Si c'est le cas (et je parle bien ici avec réserve, je n'ai pas moi-même mis le nez dans les documents concernés pour vérifier la réalité technique de ces allégations, et elles sont suffisament graves pour prendre des pincettes), cela implique que certaines implémentation des protocoles sécurisés les plus courants (https et ssl) ne sont plus sûrs. La NSA est capable de les casser.

Les habitués du Big Brother vont se dire qu'il n'y a là rien de nouveau, que de toute façon les espions écoutent et espionnent tout le monde depuis que le monde est monde et que ce n'est que la version contemporaine de ces histoires d'espionnage. Mais il faut bien avoir en tête une notion essentielle quand on parle de sécurité et de chiffrement de l'information : si la faille existe, et que ne serait-ce qu'une personne au monde a pu l'exploiter, alors ça veut dire que d'autres peuvent le faire.
Si aujourd'hui la NSA est capable de casser ces sécurités, alors potentiellement dans un futur pas assez lointain d'autres les casseront, et leur objectif ne sera pas forcément la lutte contre le terrorisme international. Et le seul fait qu'il soit possible que les échanges sécurisés soient compromis met en échec la notion de confiance dans le réseau.
Les failles de sécurités introduites à la demande de la NSA finiront par être découvertes et exploitées par des personnes pas mieux intentionnées qu'eux. Ce qui rend tous les échanges en ligne vulnérables, et ce qui risque d'impacter fortement le comportement des usagers du réseau.

Continuerez-vous à stoker les données stratégiques de votre entreprise dans le cloud si vous savez que potentiellement un concurrent peut y avoir accès ? Les universités continueront-elles à coopérer en ligne sur des travaux de recherche si elles peuvent être victimes d'espionnage ? Continuerez-vous à faire des échanges en ligne si votre numéro de carte bancaire n'est plus sécurisé quand vous le saisissez ?
Le jour où un groupe de hackers assez efficace emploiera ces failles pour récupérer une myriade de codes de cartes bancaires et vider les comptes de quelques milliers de personnes à travers la planète, ça risque de faire désordre. Le jour où les transactions boursières mondiales seront victimes d'une attaque et qu'on va voir une nouvelle série de banques s'effondrer ça va faire du bruit (bon OK, depuis quelques années, les faillites de banque, on connaît, mais tout de même). La confiance des utilisateurs dans le réseau va alors s'écrouler, à raison, et l'impact ne sera pas petit. Pensez à toutes ces sociétés qui se sont montées sur le thème du stockage de données en ligne, ou à toute l'activité commerciale qui se passe en dehors des magasins physiques. Tout ceci risque de prendre un grand coup, un très grand coup.

Alors bien sûr rien n'est encore joué. D'ores et déjà la mesure la plus importante à faire pour éviter cela était de révéler l'existence de ces failles, ce qui va pousser à leur colmatage et (il faut l'espérer) au renforcement des sécurités en place sur le réseau. Edward Snowden et ces journaux ont fait exactement ce qu'il fallait en révélant ces informations (en sécurité rien de pire qu'une faille dont on ignore l'existence). Internet a pris un gros coup mais il bouge encore, et certains peuvent œuvrer à le sauver. A son époque, Kenshiro ne connaissait pas Urgences, et heureusement, les docteurs du réseau sont nombreux.

Mais il serait naïf de sous-estimer la gravité de ce qui vient d'être révélé hier. Parce que si la confiance dans la sécurité des échanges réseaux s'effondre, notre usage d'internet et toute l'économie qui s'est développée autour de ces usages vont en pâtir. Et nous n'avons pas besoin d'une nouvelle crise mondiale là tout de suite.