Des indices accablants ne sont pas pour autant des preuves

Mais dans de nombreux cas, il n'est pas si facile de répondre à cette question apparemment simple. Surtout si l'on s'appuie exclusivement sur les faits objectifs et que l'on fait abstraction de la formation d'opinion subjective par la perception locale/temporelle de la victime ou par la presse.

L'exemple actuel d'EyePyramid - un "voleur d'informations" qui a dérobé quelque 87 Go de données au cours des dernières semaines - illustre bien ce qui se passe lorsqu'il y a trop de subjectivité. Parmi elles, celles d'entreprises privées, mais aussi de bureaux gouvernementaux et d'autres organisations publiques.

EyePyramid a ciblé plus de 100 domaines de messagerie avec plus de 18 000 comptes de messagerie. Les victimes, parfois de haut niveau, venaient d'Italie et d'autres pays européens, mais aussi des États-Unis et du Japon.

Face à ces indices accablants, la conclusion était claire pour beaucoup : il s'agissait d'une attaque menée ou parrainée par l'État !

Cette conclusion a ensuite été reprise avec reconnaissance par les médias et le grand public. Malheureusement, il n'y avait qu'un seul problème : elle était fausse !

Il s'est avéré par la suite que les commanditaires d'EyePyramid étaient un frère et une sœur aux intérêts purement monétaires. Il ne s'agit pas d'une organisation financée par l'État qui se lance dans la prochaine cyber-guerre.

Cet incident montre clairement ce qui se passe lorsque les faits sont interprétés ou simplifiés à l'excès uniquement dans le contexte de sa propre "convenance". Les chercheurs en sécurité sérieux se limitent à des informations techniquement vérifiables lors de l'"attribution", c'est-à-dire l'attribution d'attaques à des acteurs.

Bien sûr, il y a aussi des "indices" qui pointent dans une certaine direction ou dont la combinaison se renforce. Mais on trouve rarement le métaphorique "colt fumant" dans la main de l'agresseur.

Pour rester dans le cadre d'EyePyramid : Dans les faits, des organisations (également) proches du gouvernement ont été compromises. Ce sont des faits objectifs. La simplification selon laquelle un acteur étatique doit donc être derrière tout cela est subjective et trop simpliste.

Malheureusement, le reportage factuel est bien moins spectaculaire que la simplification (incorrecte)...

Même si la simplification injustifiée des faits m'irrite en tant que personne intéressée par la technique, le sujet pourrait être clos à ce stade. Si de tout autres effets de bord n'apparaissaient pas :

Si, dans les reportages, chaque moustique devient un éléphant et chaque action cybercriminelle une cyberguerre menée par des acteurs étatiques, cela a également une influence sur la perception de la sécurité ou sur le comportement de chacun d'entre nous en matière de sécurité.

Lorsque l'on ne parle partout que de cyberguerre et d'acteurs étatiques, la résignation s'installe chez de nombreuses entreprises et personnes privées :

"Comment pourrais-je, en tant que personne/entreprise, me protéger contre un État ?"

Alternativement aussi :

"Pourquoi un État me prendrait-il pour cible ?"

Le "succès" de cette communication tapageuse est que beaucoup ne perçoivent pas le véritable danger - à savoir les cybercriminels ordinaires - et ne prennent donc pas les mesures de protection appropriées.

Soyons clairs : oui, il y a là-bas des acteurs étatiques qui agissent avec de gros budgets. Mais pour les entreprises et les particuliers ordinaires, ces acteurs sont négligeables du point de vue de l'évaluation des risques ! Le cybercriminel "normal", motivé par l'argent, représente un risque bien plus important !

D'où ma demande ici : ne vous laissez pas déstabiliser par les informations sensationnelles sur les cyberattaques d'acteurs étatiques ! Procédez à une évaluation des risques de vos processus commerciaux, vérifiez quels acteurs y représentent un risque réel et élaborez votre stratégie de sécurité en conséquence.

Enfin, j'ai aussi une demande à faire à la presse, aux blogueurs, etc : Certaines choses ne peuvent pas être simplifiées davantage ! Cela vaut également pour les indices dans les attaques informatiques. Même si l'omission/la simplification d'indices peut conduire à de merveilleuses "preuves" qui peuvent ensuite être placées comme un grand scoop.

Raimund Genes est décédé de manière inattendue le vendredi 24 mars à son domicile des suites d'une crise cardiaque.

Le Chief Technology Officer de longue date de Trend Micro a eu 54 ans. Il a développé l'entreprise japonaise de sécurité informatique en Allemagne et en Europe et lui a donné une voix importante auprès du public.

À partir de 2014, Genes a enrichi le magazine E-3 de ses commentaires actuels et perspicaces dans le cadre de la chronique mensuelle sur la sécurité informatique. Là encore, il a fourni un précieux travail éducatif à la communauté SAP.

Nous publions son dernier commentaire sur cette page à titre posthume. Nous présentons nos condoléances à sa famille et à ses amis.