La société civile de plus en plus vulnérable aux Etats et à leurs pirates informatiques
La société civile de plus en plus vulnérable aux Etats et à leurs pirates informatiques
Par Martin Untersinger (Hambourg (Allemagne), envoyé spécial)
Lors du Chaos Communication Congress, qui se déroule à Hambourg, a été lancée Sécurité sans frontières, une organisation pour protéger les ONG et les activistes.
Le hacker Claudio Guarnieri a annoncé le lancement de Sécurité sans frontières, un groupement d'experts destiné à venir en aide à la société civile. | Capture d'écran / CCC
La société civile – activistes, ONG, journalistes – est de plus en plus visée par des attaques informatiques. Récemment, Le Monde racontait ainsi comment Amnesty avait été approchée par une fausse ONG, vraisemblablement pilotée par un Etat.
Cette question est une préoccupation croissante des hackers : deux conférences ont abordé cette question lors du Chaos Communication Congress, un grand rassemblement de hackers qui se déroule du 27 au 30 décembre à Hambourg (Allemagne).
« Faire de la sécurité [informatique] pour la société civile est un casse-tête », alors même que de plus en plus d’Etats utilisent les outils informatiques pour les espionner, a expliqué le 29 décembre Bill Marczak, chercheur au sein du Citizen Lab de l’université de Toronto, une équipe de chercheurs en sécurité informatique.
En effet, les ONG, les activistes ou les journalistes constituent des cas particuliers, notamment parce qu’ils opèrent dans des juridictions différentes et ont des besoins de protection très variés. Par ailleurs, ce type de public n’est pas toujours conscient des risques. « La société civile manque de vision sur les menaces numériques » notamment à cause d’un manque « d’expertise interne », a estimé ainsi Claudio Guarnieri, d’Amnesty International, qui collabore également au Citizen Lab.
« Pas besoin de faire sauter le cadenas si vous pouvez sauter par-dessus la clôture »
En outre, il est compliqué pour une ONG, un média opérant dans une zone sensible ou des activistes surveillés de faire appel à des experts en sécurité informatique, ces derniers étant rares, et leur expertise très coûteuse. « [La société civile] ne peut pas accéder à des solutions disponibles seulement au monde de l’entreprise. Elle ne va pas se sécuriser elle-même, les experts sont beaucoup trop demandés », a également expliqué M. Guarnieri.
Au-delà de la question financière, le secteur attire d’autant moins les experts en sécurité informatique que ce dernier est techniquement peu gratifiant, a expliqué M. Guarnieri :
« Quand des entreprises connues sont impliquées dans des piratages d’activistes, cela fait une super histoire pour les médias. Mais ces cas sont des exceptions et ne sont pas représentatifs de la manière dont la technologie est utilisée comme moyen de répression par certains Etats. Pour chaque activiste ciblé par un logiciel espion sophistiqué conçu par une entreprise européenne ou américaine, il y a des centaines d’autres infectés par des logiciels mal codés qui feraient bailler n’importe quel expert. Mais ils méritent la même attention. »
« La plupart des menaces que nous analysons comportent de l’ingénierie sociale [le fait de recueillir des informations sans recourir à un piratage, notamment pour rendre son attaque plus efficace] hautement sophistiquée, mais une complexité technique minimum. Vous n’avez pas besoin de faire sauter le cadenas si vous pouvez sauter par-dessus la clôture », a confirmé John Scott-Railton, du Citizen Lab.
Lancement de Sécurité sans frontières
Que faire pour que les experts, rares et chers, mettent leur savoir faire au service de la société civile, un travail ingrat techniquement mais absolument nécessaire ? Claudio Guarnieri a profité du CCC pour annoncer la création de Sécurité sans frontières (Security without borders).
Capture d'écran / Securitywithoutborders.org
Ce groupe, qui réunit déjà des experts des programmes malveillants, de développeurs et d’autres professionnels de la sécurité informatique, se propose de venir en aide bénévolement à des activistes qui en feront la demande sur leur site. « Si on agrège suffisamment de gens qui peuvent donner ne serait-ce qu’une heure par semaine de leur temps on pourra résoudre de nombreux problèmes », a expliqué M. Guarnieri.
« Nous pouvons vous aider à faire des bilans de sécurité, enquêter sur un piratage et plus généralement conseiller sur les questions de cybersécurité (…). Certains d’entre nous travaillent dans le monde de l’entreprise, au sein d’universités, ou d’organisation de défense des droits de l’homme. Nous voulons donner notre temps pour l’amélioration de la société », peut-on lire sur le site de Sécurité sans frontières.