Marc Goodman : « L’État doit protéger la vie numérique des citoyens »

Pas une seule semaine ne se passe sans que l’actualité ne fasse état d’une cyberattaque, d’une faille de sécurité ou de vols de données sur Internet. Comment expliquer une telle situation ?

Les ordinateurs deviennent de plus en plus importants dans notre vie quotidienne, ils sont présents au bureau, à la maison, dans les hôpitaux, les prisons, les écoles, etc. Et même dans nos poches avec les téléphones portables. Ils sont devenus indispensables pour organiser notre quotidien (achat en ligne de biens et services, recherche d’un logement, d’un travail, sites de rencontre, demandes de documents administratifs, communication sur les réseaux sociaux, etc.). Tous ces ordinateurs sont exposés aux cyberattaques. Plus nous branchons nos appareils et nos vies au réseau mondial d’information, plus nous devenons vulnérables.

« Tout est connecté, tout est piratable », c’est un peu le fil conducteur de votre enquête sur les crimes du futur. Quelles sont les nouvelles menaces de la cybercriminalité ?

Les nouvelles menaces sont liées au fait que nous sommes de plus en plus connectés aux systèmes informatiques. Ces connexions ne sont pas fiables, et même totalement vulnérables. Nos ordinateurs à la maison et au travail sont profondément liés à Internet, mais c’est aussi le cas de toutes les infrastructures critiques dont dépend notre société moderne : réseau électrique, trafic aérien, éclairage public, système sanitaire, écoles, etc. mais aussi les hôpitaux, par exemple, qui sont aujourd’hui remplis d’ordinateurs et de scanners à rayons X, qui peuvent être facilement piratés ! Ce que je retiens en tant qu’ancien agent de police, c’est que les criminels ont toujours un coup d’avance sur les services de l’État ou de la police. Les technologies émergentes comme la robotique, la réalité virtuelle, l’intelligence artificielle, l’impression 3D, ou encore la biologie de synthèse, font déjà l’objet d’exploitations par le crime organisé ou les organisations terroristes. L’explosion de l’internet des objets connectés favorisera la cybercriminalité. Nous vivons aujourd’hui entourés de 50 milliards d’objets connectés ! Le pire, c’est que nous n’en sommes qu’au début de l’internet des objets ! Les voitures, les jouets, les montres et, même récemment aux états-Unis, les médicaments sont connectés, reliés à l’internet, exposés au réseau informatique mondial. Ces innovations sont très positives lorsqu’elles sont utilisées au service du progrès, de la société, de l’éducation, etc. Mais lorsqu’elles sont dans de mauvaises mains, elles peuvent se retourner contre nous.

Les grandes infrastructures de nos démocraties sont-elles à l’abri du piratage ?

L’informatique connectée s’est implantée au cœur de nos grands réseaux vitaux permettant à un État moderne de fonctionner : installations électriques, centrales nucléaires, transport maritime, terrestre, ferroviaire, etc. C’est pourquoi nous sommes plus vulnérables que jamais aux attaques de hackers, organisations criminelles, mafieuses ou terroristes. Plus de 100 pays ont aujourd’hui des programmes de guerre informatique. En effet, cela demande peu de moyens de fabriquer un rançonware ou un virus informatique pour déstabiliser une entreprise ou même un gouvernement. L’exemple le plus récent est la Corée du Nord, accusée en décembre dernier par les états-Unis d’être à l’origine de l’attaque informatique, lancée en mai 2017 via le logiciel malveillant surnommée « Wannacry », ayant affecté des centaines de milliers d’ordinateurs dans le monde. Une attaque qui a réussi à paralyser des usines du constructeur automobile français Renault. Dans mon livre, de nombreux exemples montrent à quel point nous sommes fragiles et très peu préparés à ce genre d’attaques. Savez-vous aussi qu’il est aussi possible de pirater les systèmes de communication embarquée dans les avions de ligne ? En avril 2015, le FBI a interpellé un chercheur en sécurité, Chris Roberts, qui était parvenu à pirater le système informatique d’un Boeing 737, sur un vol d’United Airlines, entre Denver et Chicago. En Europe de l’Est, des adolescents ont aussi été capables de faire dérailler un train, en piratant les systèmes électroniques à distance…

En France, l’État gagnerait à attirer les talents du privé pour investir sur la sécurité numérique.

Qu’en est-il du piratage des données personnelles (bancaires, civiles, etc.) stockées dans les serveurs des entreprises ou des pouvoirs publics ? En novembre dernier, Uber reconnaissait que 57 millions de comptes avaient été hackés en 2016 (pillage de noms, courriels et numéros de téléphone mobile de ses clients). Quelle est l’ampleur du phénomène ?

Malheureusement, nous allons de mal en pis au sujet de la protection des données personnelles. En France, et en Europe, vous avez des législations plus favorables pour protéger les données de vos ressortissants. L’existence d’organismes publics en France, comme la Commission nationale de l’informatique et des libertés (CNIL), dont la mission est de préserver les libertés individuelles, et l’adoption en mai prochain d’un Règlement européen sur la protection des données personnelles (RGPD), constituent une première réponse sur le plan juridique pour défendre vos libertés. Les États-Unis, sur ce plan, sont beaucoup moins protecteurs. Sur la question de la protection des données personnelles, il est important en tant que citoyen, de se demander ce qu’on peut faire déjà à son niveau pour protéger ses propres données, et, en tant qu’entreprise, de faire le nécessaire pour mieux protéger les données de ses clients. Il faut réfléchir à deux fois avant livrer ses données en échange d’un service ou d’une application gratuite. En règle générale, et je le montre bien dans mon enquête, vous n’êtes pas le client, mais le produit, surtout dans le modèle de la gratuité ! Vous avez une responsabilité personnelle sur la diffusion de vos données. L’enjeu est aussi dans l’éducation : comment protéger les enfants qui téléchargent les applis sans réfléchir, qui laissent des traces et des renseignements sans le savoir, et qui peuvent se retourner contre eux quand ils seront adultes.

Plus nous branchons nos appareils, et nos vies, au réseau mondial d’information, plus nous devenons vulnérables.

Aujourd’hui, aux états-Unis, 80 % des entreprises vérifient les profils sur les réseaux sociaux avant d’engager quelqu’un ! Pour les entreprises, l’enjeu de la protection des données se situe au niveau des bases de données clients. Elles doivent renforcer leur sécurité face à des cybercriminels toujours plus efficaces et inventifs. En 2017, Equifax,
une société de crédit américaine, a révélé avoir subi une cyberattaque d’ampleur. 200 000 numéros de carte bancaires et les données personnelles d’environ 145 millions de clients américains, canadiens et britanniques (noms, dates de naissance, numéros de sécurité sociale et permis de conduire) ont été piratés et mis en ligne sur le dark web.
Face à un tel scandale et malgré l’ampleur du pillage, l’état fédéral américain n’a pas pu faire grand-chose. On assiste aussi à l’émergence rapide d’une industrie de surveillance des données, estimée à 156 milliards de dollars par an, ce qui représente deux fois le budget des services de renseignement américains ! Aujourd’hui, des courtiers en données détiennent de nombreuses informations, collectées sur les réseaux sociaux, récupérées auprès des fournisseurs d’accès, des émetteurs des cartes de crédit, des opérateurs de téléphonie mobile, des banques, etc. qu’ils revendent à des marketeurs ou publicitaires ! Il faut s’attendre à ce qu’ils deviennent aussi une cible pour les organisations criminelles !

En lisant votre livre, on est abasourdi par la créativité, l’ingéniosité et la réactivité des réseaux criminels, capables de tirer parti de la puissance des technologies. Rien ne semble pouvoir les arrêter pour amplifier leurs juteux business. Vous évoquez notamment le dark web, qui serait le lieu de tous les trafics. Que représente « le dark web » aujourd’hui dans la cybercriminalité ? Et comment évolue-t-il ?

Le dark web (aussi surnommé « dark net »), c’est la face cachée du Web, ce que j’appelle « l’underground numérique », un ensemble de bases de données et de sites stockés sur un réseau crypté et non indexé par les moteurs de recherche traditionnels comme Google, Yahoo ! ou Bing, etc. La majorité des sites du dark web utilisent le système de cryptage Tor. Cette partie du web est 50 fois plus grande que le web visible, celui auquel vous avez accès. Il faut savoir que Google n’indexe seulement que 6 % des données disponibles dans le monde entier, les requêtes de Google ne portent que sur l’internet visible. Le dark web est devenu le lieu de tous les trafics : drogues, fausse monnaie, produits de luxe volés, cartes de crédit volés, identités dérobées, passeports volés, armes, munitions et explosifs, images pédophiles, trafics d’organes, etc. C’est aussi un « crimemazon.com » en puissance, où les criminels font leurs courses ! Il est encore difficile de savoir quel est son poids dans la cybercriminalité, mais en dix ans, il s’est fortement développé.

Que peut faire l’État dans une démocratie moderne et décentralisée pour lutter contre ces nouvelles menaces ?

L’État a une responsabilité très forte pour protéger les citoyens (défense, vie privée). D’abord, il faut que les fonctionnaires, les hommes et femmes politiques, les élus locaux soient sensibilisés et comprennent les technologies d’aujourd’hui. Dans beaucoup de pays, la majorité des fonctionnaires en poste n’est pas née avec ces technologies high tech. Ils sont moins à l’aise en termes d’usages que les nouvelles générations. Un ingénieur ou un entrepreneur de la Silicon Valley a souvent une meilleure connaissance des technologies numériques qu’un fonctionnaire en poste à Dijon ou à Lyon. Pour servir les citoyens, il faut que ces fonctionnaires comprennent mieux cette technologie, qu’ils soient capables d’en saisir les avantages, les opportunités mais aussi les menaces. Car les menaces viennent aujourd’hui de partout, elles sont mondialisées et déterritorialisées, avec l’internet. Auparavant, un policier à Paris n’enquêtait que sur le territoire de Paris pour un cambriolage. Aujourd’hui, le cambriolage peut être organisé depuis Kiev en Ukraine. C’est donc beaucoup plus difficile pour un gouvernement ou un État de faire face à ces réseaux criminels. L’avenir est dans la coopération entre les services de police de différents pays.

Il faut que les gouvernements investissent les nouveaux terrains de la criminalité, inventent de nouvelles politiques publiques pour protéger les citoyens et imaginent de nouvelles lois pour défendre la vie numérique de leurs ressortissants.

Les technologies changent souvent plus vite que les lois. Par exemple, une analyse ADN est aujourd’hui facilement accessible pour moins de 1 000 € sur internet. À l’avenir, comment protéger son ADN ? Un projet de loi devrait investir ce terrain. C’est un nouveau chantier pour l’État. Il faut que les gouvernements investissent les nouveaux terrains de la criminalité, inventent de nouvelles politiques publiques pour protéger les citoyens et imaginent de nouvelles lois pour défendre la vie numérique de leurs ressortissants. L’État a aussi un rôle énorme à jouer dans l’éducation des citoyens. La hausse de la cybercriminalité est notamment liée à la méconnaissance des technologies utilisées. L’école publique doit investir ce terrain, mettre en garde et former les jeunes générations aux nouvelles menaces de la vie digitale. Il faut un changement culturel pour améliorer les choses.

Pourriez-vous nous donner quelques exemples de bonnes pratiques ou d’initiatives prises par des États, des villes ou des régions pour lutter plus efficacement contre ces nouveaux crimes ? Comment les collectivités locales peuvent-elles faire face aux cyber-menaces ?

Je vous donnerais deux exemples. Premier exemple : l’Estonie. C’est l’un des États européens les plus avancés en matière de défense numérique. Ce petit pays balte, cible d’une attaque informatique sans précédent en 2007, orchestrée depuis la Russie, a investi massivement dans la protection et la sécurité numérique de ses ressortissants. C’est un modèle à suivre, tous les citoyens estoniens ont des connaissances informatiques poussées, l’État fait beaucoup pour former et protéger les réseaux et les individus. Deuxième exemple : pour les collectivités locales sans grand moyen, ce que je recommande, c’est d’avoir recours au « crowdsourcing », à la « production participative », c’est-à-dire à l’utilisation de la créativité, de l’intelligence et du savoir-faire d’un grand nombre de personnes, en sous-traitance, sur des tâches précises. Les chercheurs contre le Sida ont déjà utilisé il y a une dizaine d’années le « crowdsourcing » en ayant recours à un jeu vidéo expérimental baptisé « Foldit ». Au bout de trois semaines, ce sont des joueurs qui  ont réussi à modéliser la structure 3D d’une enzyme, ce qui a permis de faire avancer la recherche contre le virus du Sida ! Enfin, je pense aussi que le secteur privé peut aider le gouvernement à trouver des solutions plus rapidement, plus efficacement. En France, l’État gagnerait à attirer les talents du privé pour investir sur la sécurité numérique.