FANCY BEAR GOES PHISHING : La sombre histoire de l’ère de l’information, en cinq hacks extraordinairesde Scott J. Shapiro
Ne vous laissez pas tromper par le titre adorable : comme le reconnaît Scott J. Shapiro dans « Fancy Bear Goes Phishing », son nouveau livre sur la cybersécurité, le piratage peut infliger de terribles dommages. Shapiro est l’auteur, avec Oona A. Hathaway, de « The Internationalists » (2017), qui relate les efforts du XXe siècle pour interdire la guerre ; parmi les nombreuses questions animant « Fancy Bear Goes Phishing », il y a celle de savoir si le piratage a ouvert la porte à la guerre par d’autres moyens.
Après tout, « Fancy Bear » et « Cozy Bear » font référence aux unités de cyberespionnage liées au renseignement russe qui ont eu accès aux systèmes informatiques du Comité national démocrate avant l’élection présidentielle de 2016. Fancy Bear a publié une mine d’e-mails comprenant les discours à huis clos d’Hillary Clinton à Goldman Sachs et son président de campagne astuces pour le risotto.
Le piratage était indéniablement embarrassant, et les résultats des élections de 2016 ont fini par être si proche qu’il est impossible de dire si le goutte-à-goutte des e-mails divulgués a été un facteur dans le renversement d’une marée tumultueuse en faveur de Donald J. Trump. Sans oublier que le piratage des systèmes du DNC « était un acte d’espionnage standard », écrit Shapiro, et l’espionnage se trouve être légal en vertu du droit international. Les espions aiment faire du phishing – et alors ? C’est ce qu’ils font de leurs prises qui est la vraie question. En « publiant les informations volées » pour que le monde les voie, « Fancy Bear aurait pu se livrer à un acte de guerre ».
« Peut-être » – maintenant il y a une petite phrase avec beaucoup de marge de manœuvre, et Shapiro n’est pas pressé de la cerner. L’un de ses thèmes est de savoir comment les pirates « exploitent le principe de dualité » ou « l’ambiguïté entre le code et les données », qui peuvent tous deux être représentés par des nombres. Je dirais que Shapiro, professeur de droit et de philosophie à la Yale Law School, fait quelque chose d’analogue avec ce livre – bien que contrairement à la plupart des hackers qu’il décrit, il utilise l’ambiguïté avec un effet largement bienveillant. Les livres sont composés de mots, et quiconque recherche des mots qui équivaut à un guide complet sur la cybersécurité ou à un thriller apocalyptique sur un Armageddon numérique serait servi plus efficacement ailleurs. Shapiro a peut-être des choses à dire sur la cybercriminalité et la cyberguerre, mais ce qu’il veut vraiment faire avec ses mots, c’est nous raconter les histoires de cinq hacks.
L’affaire avec la DNC en est une. Les autres impliquent le ver Morris, qui a infecté les débuts d’Internet en 1988 et qui a été créé par le fils du scientifique en chef pour la sécurité informatique à la National Security Agency ; les logiciels malveillants des années 1990 d’un hacker bulgare connu sous le nom de Dark Avenger ; le piratage du téléphone portable de Paris Hilton en 2005 par un garçon de 16 ans ; et le « Mirai botnet », un superordinateur en réseau développé en 2016 par trois adolescents qui ont pris de la force en conscrivant secrètement des appareils dits intelligents, comme des caméras de sécurité et des grille-pain.
Shapiro lui-même a commencé comme étudiant en informatique à l’université et a travaillé comme entrepreneur en technologie, construisant des bases de données pour des clients qui comprenaient Time-Life Books. Il n’a pas piraté son premier ordinateur avant l’âge de 52 ans, bien qu’il ait rattrapé le temps perdu en piratant le site Web de la faculté de droit de Yale, « un exploit que mon doyen n’a pas apprécié ». Shapiro est drôle et inlassablement fasciné par son sujet, attirant même les non-spécialistes dans des descriptions techniques du codage en dévoilant les liens entre la programmation informatique et, disons, le paradoxe d’Achille et de la tortue. Il propose Rousseau comme un guide éclairant des débuts d’Internet. Un seul paragraphe passe prestement de Poutine à Descartes en passant par « The Matrix ».
L’élément technologique n’est qu’une moitié du problème de piratage, ce qui équivaut à ce que Shapiro appelle le « downcode ». L’autre moitié est le « upcode », qui fait référence à tout ce qui est humain : les lois, les normes, les biais cognitifs qui permettent aux humains intelligents de penser qu’ils peuvent se débrouiller avec une mauvaise cyberhygiène. Shapiro soutient que les correctifs techniques sont importants, mais ils ne peuvent nous protéger que dans une certaine mesure. Le downcode est en aval du upcode. « La cybersécurité n’est pas un problème principalement technologique qui nécessite une solution principalement technique », écrit-il. « C’est un problème humain qui nécessite une compréhension du comportement humain. »
Et ce comportement humain peut changer, en fonction non seulement des incitations et des punitions, mais aussi des leçons apprises. Un virus qui a fait le tour en 2000 était ILOVEYOU, envoyé par pièce jointe à un e-mail. En plus d’exploiter de sérieuses vulnérabilités techniques dans le système d’exploitation de Microsoft, il a également « exploité notre ‘love upcode' », explique Shapiro. « Les gens veulent être aimés. » Il ne fait aucun doute que les gens veulent toujours être aimés, mais 23 ans plus tard, l’e-mail infecté semble si manifestement suspect qu’il ressemble à une parodie d’e-mail infecté. La plupart des utilisateurs d’ordinateurs réguliers sont probablement trop endurcis et cyniques maintenant pour ouvrir une pièce jointe dans un e-mail qui déclare maladroitement : « veuillez vérifier la LOVELETTER venant de moi ».
Ainsi, au fil du temps, nous construisons des défenses en devenant moins innocents – moins enclins à cliquer sur des liens étranges, moins enclins à donner nos numéros de sécurité sociale, moins enclins à penser qu’un bon mot de passe est 12345. Mais comme le montre Shapiro, la réglementation peut encore rendre même l’utilisateur d’ordinateur prudent plus vulnérable que nécessaire. Le jargon juridique impénétrable des accords de licence interminables a permis aux éditeurs de logiciels d’échapper à toute responsabilité d’une manière que, par exemple, le fabricant d’un grille-pain défectueux ne pourrait pas : « Aucun d’entre nous ne lit les accords de licence parce que (1) ils sont impénétrables pour les non-juristes ; (2) ils sont impénétrables même pour les avocats ; (3) nous sommes impatients ; et (4) nous n’avons pas le choix.
De plus, ajoute Shapiro, nous vivons maintenant dans un monde de « capitalisme de surveillance », ce qui signifie qu’une grande partie de nos données sont stockées et vendues par des entreprises. Nous leur confions des informations hautement personnelles et supposons qu’ils feront tout leur possible pour protéger ces informations contre le piratage. Pourtant, les conséquences juridiques auxquelles sont confrontées les entreprises en cas de violation de données « sont ridiculement légères ».
Des peines plus sévères pourraient aider; une meilleure législation aussi. Pourtant, Shapiro déconseille également de succomber à la croyance qu’il existe une solution miracle qui arrêtera nos cybertroubles une fois pour toutes. « Nous n’avons pas besoin d’une sécurité parfaite », écrit-il, « juste des précautions raisonnables ». Les lecteurs qui commencent ce livre en supposant qu’ils recevront une conclusion plus radicale constateront que leurs attentes ont été (de manière divertissante) renversées : en d’autres termes, ils ont été piratés.
FANCY BEAR GOES PHISHING : La sombre histoire de l’ère de l’information, en cinq hacks extraordinaires | Par Scott J. Shapiro | Illustré | 420 pages | Farrar, Straus & Giroux | 30 $