LISEZ ICI LA PREMIÈRE PARTIE DE L’HISTOIRE

¯\_(ツ)_/¯

« La première réaction d’une entreprise frappée par une cyber-attaque, c’est de ne rien dire », explique Hemanshu Nigam sur la scène de la salle de réception du Venetian. « D’un côté, le département juridique vous supplie de vous taire et d’effacer toute trace susceptible de vous impliquer. Quant au département technique, la vérité c’est que dans la plupart des cas, ils n’ont aucune idée de ce qui a bien pu se passer. Mais CNN veut un commentaire dans l’heure. » Malgré les injonctions de son département juridique, le silence d’une entreprise lui donne inévitablement l’air coupable ou incompétente, devant les médias et aux yeux de ses employés. Une confiance en berne dans le leadership peut conduire ces derniers à divulguer des informations sensibles à la presse. C’est probablement ce schéma qui a conduit les employés de Yahoo à faire des révélations au New York Times en septembre dernier. C’est aussi la raison pour laquelle après un temps de silence raisonnable, des communiqués rédigés dans un langage prudent à l’extrême et vagues sur les implications réelles de l’incident sont publiés. L’expectative dans laquelle ils laissent les uns et les autres vaut mieux que des soupçons ou que le scandale que provoqueraient la divulgation de fausses informations. Une fois la preuve d’une cyberattaque découverte, se réfugier dans le silence laisse la porte ouverte à des fuites internes que redoute la direction. D’un autre côté, le département technique ne peut émettre à cet instant que des hypothèses probables, maquillées en certitudes.

En attendant, motus et bouche cousue.

« Pour ne rien dire, il faut qu’une enquête soit en cours », explique Hemanshu Nigam. « De cette façon, l’entreprise peut dire aux médias qu’elle travaille avec les autorités et que toute déclaration risquerait de compromettre l’enquête en cours. C’est la raison pour laquelle elles contactent rapidement le FBI en leur demandant de venir à tout prix voir ce qui ne va pas : cela leur permet d’opposer un silence légitime aux questions qu’on leur pose. » Dès les premières minutes de son passage sur scène au Structure Security 2016, Bob Lord a promis qu’il donnerait plus d’informations sur le vol de données personnelles dès que les enquêtes en cours seraient terminées. Le 15 décembre dernier, le FBI a ouvert une enquête sur le nouveau vol massif de comptes d’utilisateurs dont Yahoo a été victime en 2013. « Nous prenons ce genre d’intrusions très au sérieux et nous déterminerons ce qu’il s’est passé et qui a fait ça », a déclaré l’agence fédérale à l’époque. En attendant, motus et bouche cousue.

~

« La plupart des gens ne vivent pas dans l’univers du crime », explique Hemanshu Nigam tandis que nous parlons dans un coin plus tranquille, après sa conférence. « C’est pour cela qu’ils sont surpris quand quelqu’un les agresse dans la rue ou qu’on les cambriole. Ils traitent Internet de la même façon. Ils ont le sentiment que personne n’est susceptible de s’en prendre à leur boîte mail ou à leurs fichiers personnels. Les hackers ne font qu’exploiter cette conviction infondée, comme tout agresseur. Nous qui évoluons dans l’univers criminel, nous partons du principe que quelque chose de mal va arriver. » Hemanshu n’a pas toujours été expert en sécurité informatique. Il était à l’origine procureur spécialisé dans les crimes sexuels, à Los Angeles. Puis il a officié au sein du département de la Justice américain en tant qu’un des premiers procureurs s’occupant des crimes prenant pour cible les enfants sur Internet. Il a ensuite intégré la section des crimes informatiques. C’était en 1998, durant la première vague de criminalité numérique.

Brad Smith, senior vice president and general counsel at Microsoft, talks to reporters during a news conference at the National Press Club in Washington D.C. November 5, 2003 where he announced the creation of the Anti-Virus Reward Program to help law enforcement agencies identify and bring to justice those who illegally release damaging worms and viruses on the Internet. The reward program is initially funded with $5 million dollars and rewards of a quarter-million dollars each were set up for the arrest and conviction of those responsible for unleashing the MSBlast.A worm and the Sobig virus. Photo by Jeff Christensen

Anti-Virus Reward Program
Brad Smith, Microsoft

En 2002, il a rejoint Microsoft où il est resté quatre ans. Il y a supervisé le développement des standards de sécurité de plateformes comme Xbox, MSN et Windows. Il travaillait parallèlement avec les services secrets américains, Interpol et le FBI pour lancer avec Microsoft l’Anti-Virus Reward Program, qui a aidé les autorités à identifier et traduire en justice les hackers. Ce n’est qu’en 2010 qu’il a fondé SSP Blue, qui travaille aujourd’hui pour MySpace, Tumblr et des institutions gouvernementales comme le Bureau du procureur général de l’État de New York. Depuis le début des années 2000, la lutte contre le piratage a beaucoup changé. « La principale différence aujourd’hui, c’est que tout le monde est connecté », dit-il. « Cela facilite grandement les choses pour les hackers, qui disposent de trois milliards de cibles potentielles. » La forme des attaques a elle aussi changé. Il y a dix ans, elles étaient davantage focalisées sur les sites Internet, qu’il s’agissait de subvertir ou de faire tomber. Aujourd’hui, il les pirates visent à obtenir des fichiers de grande valeur.

En quelques années, le crime organisé a investi ce nouveau marché. Ces fichiers de grande valeur sont des informations personnelles – photos, informations bancaires, relations. « Il s’agit essentiellement d’entrer en possession de votre identité pour la revendre sur le marché noir », dit-il. Les hackers revendent aussi les accès aux comptes d’utilisateurs. Ils sont utilisés pour toucher d’autres personnes et élargir le réseau perverti. « On ne donne pas assez d’exemples concrets aux gens. On leur dit de ne pas faire ci ou ça, de changer de mots de passe, mais on ne leur explique pas la raison pour laquelle ils pourraient être victimes et de quelle manière. » C’est ce qui explique selon lui que Yahoo ne soit pas moins vulnérable aux cyberattaques que n’importe quel individu. Ce n’est après tout qu’une somme d’individus organisés en réseau : il aura suffi d’une seule faille dans l’enceinte pour pénétrer dans le coffre fort. « Une entreprise comme Yahoo est plus prompte à investir dans le développement que dans ses infrastructures de sécurité », ajoute-t-il. « C’est là le véritable problème souci. Ce devrait être une préoccupation naturelle. Quand on construit une maison, on ne se dit pas qu’un jour on y mettra des verrous : ça fait partie du processus dès le départ. » Selon Hemanshu Nigam, si ces cyberattaques massives ont un aspect positif, c’est qu’elles vont permettre aux entreprises de changer radicalement leur approche du problème. En attendant, Bob Lord pourra toujours sauver la face en s’excusant de ne pouvoir en dire plus car une enquête est en cours.

unspecified-5-845x321

Crédits : Structure Security

Couverture : Le siège de Yahoo.

LOUIS POUZIN N’A PAS INVENTÉ INTERNET, MAIS SANS LUI, IL N’Y AURAIT PAS D’INTERNET

ulyces-louispouzin-couv fab

Louis Pouzin, 85 ans, a créé les protocoles sur lesquels repose l’Internet moderne. Histoire d’un visionnaire dont les créations ont façonné les réseaux d’aujourd’hui.

Pour les clients du café, cet homme aux allures de vieux dandy ou de lord anglais, à la moustache et aux cheveux gris, n’est qu’un parisien comme un autre. Un digne grand-père, peut-être. Mais ont-ils conscience que c’est lui, Louis Pouzin, qui a inventé le protocole à l’origine d’Internet ? Y pensent-ils une seconde, tout en manipulant leur smartphone, évidemment connecté au réseau mondial ? Louis Pouzin, 85 ans, n’a pas inventé Internet. Mais sans lui, Internet n’existerait pas. Paradoxal ? Pas tant que cela. Car une invention n’a pas besoin d’être brevetée pour vivre sa propre vie. Et parce que si nombre d’inventeurs sont passés à la postérité, beaucoup d’autres sont restés dans l’ombre. Par choix, par modestie, ou par un fâcheux coup du sort. Il est maintenant temps de rétablir la vérité de la création d’Internet. Croyez-le ou pas, mais si aujourd’hui nous parlons de « l’Internet » et du TCP/IP, et non de « Catenet » et du « datagramme », c’est grâce, ou à cause des PTT. C’est une longue histoire. Qui commence dans les années 1940. À l’époque, l’ordinateur n’existe pas encore.

ulyces-louispouzin-01

Louis Pouzin aujourd’hui
Crédits : Fabien Soyez

I. De Bull aux USA

Louis Pouzin a grandi au milieu des outils, dans la scierie de son père. « Il achetait des arbres et vendait le bois coupé. Il y avait des machines à vapeur, des scies, une affûteuse, une forge… C’était un paradis », raconte le vieil homme. Tout en buvant son café, il se souvient : « Dès mon plus jeune âge, je bricolais. Pour le plaisir. Je réparais des serrures, des horloges. » Cet amour pour le bricolage et l’invention ne le quittera jamais. Bon en maths, il passe son bac avec mention, et parce qu’il veut par-dessus tout avoir un diplôme mais sans vraiment avoir de métier en tête, il travaille comme un acharné et intègre les rangs de l’École polytechnique en 1950, à 19 ans. Diplômé de « l’X » deux ans plus tard, il rejoint la CIT (Compagnie industrielle des téléphones), ancêtre d’Alcatel. « Ingénieur débutant, je m’occupais de la fabrication, d’assurer l’arrivée des pièces et de leur qualité. Un vrai apprentissage du milieu de l’industrie », raconte-t-il.

IL VOUS RESTE À LIRE 95 % DE CETTE HISTOIRE