Sécurité Web - La DGSI fait peur mais .... n'apprend rien
L’autre jour, j’assistais à une conférence de la DGSI (Direction Générale de la Sécurité Intérieure) dans une entreprise sur le thème de “Intelligence économique et cybercriminalité” (il y en a aussi dans des chambre de commerce, etc…). Un spectacle proprement hallucinant !
Tout commence par une joli animation de la terre qui en met plein les mirettes à ceux qui sont impressionnables….mais ça va vite se gater avec tous les poncifs de la mauvaise présentation powerpoint (trop d’info sur une même page, typo aléatoire, …)… pardon Keynote car le gars utilise un Mac (cherchez l’erreur…!). Après une introduction du contexte, je ne sais pas ce qui arrive à notre intervenant (dont je tairai le nom, évidemment), mais il bascule sur les méchants djihadistes embrigadeurs, la dérive sectaire etc…. Il en oublie tous les confusionnistes qui voudraient aussi faire des attentats façon milice, et surtout SON SUJET. On est bien parti dans le grand n’importe quoi… Et encore j’ai échappé à l’exemple du magazine du bon petit djihadiste (son PDF ne s’ouvrait pas )
S’en suivent alors quelques notions entre données, information et connaissance. Immédiatement, j’ai repéré le schéma de pensée façon NSA (repris par Bauer et compagnie…) selon lequel il faut tout prendre et on triera ensuite. Je n’ai pas été méchant, je n’ai pas demandé où ils mettaient ces données et le risque inhérent à ce stockage. Non, j’ai attendu qu’il nous fasse le topo du spyware qui s’installe avec un logiciel pirate et qu’il embraye sur le phishing (oui, il parle avec des acronymes anglais le gars, souvent mal prononcés…). Euh, monsieur, t’es pas allé un peu vite ? Et les installeurs des sites bien sous tout rapport, les sponsors masqués et les bandeaux de pubs des versions “gratuites”, les scripts dans le navigateur? Ah t’as pas le temps alors tu fais l’amalgame, OK, ça promet pour la suite. Car après tu as les 8 choses à regarder dans les mails de phishing pour savoir si ça en est un. Je défie quiconque de lire son truc et de retenir quelque chose avec son fond sombre digne des “émissions qui font peur avec des brigands et des terroristes partout”. On parle plus de capitalisation boursière des GAFAM que de où, comment et chez qui transitent le plus de données. ça part dans tous les sens sans aucune trame directrice. On parle aussi d’ingéniérie sociale mais seulement en terme de risque, pas assez en terme de comportemental
Je suis méchant, tout n’est pas à jeter mais on y va dans des termes comme DDoS sans expliquer ce que c’est, dans des postures façon “la Russie et la Chine sont les méchants”. La NSA, ce sont nos potes, ils montrent la voie, quoi. Et puis le Japon….Ah le japon, on nous le ressert façon années 90 où la DGSI aurait découvert que le Ministère de l’Industrie japonais (Keizai-sangyō-shō) est un nid d’espion en 95 dans un rapport secret. J’ai eu un scoop alors puisqu’une de mes profs de lycée parlait de ça en …91. Bref, ça situe bien le niveau. On se contentera donc des infos les plus essentielles de la présentation :
- Bien séparer le privé et le public
- Avoir des mots de passe robustes et différents avec des accents que les chinois n’ont pas
- Réfléchir à ce que l’on met sur les réseaux sociaux sur son activité professionnelle
- Le Ransomware ça fait peur parce qu’on te kidnappe tes données (ou on te fait un DDoS comme protonmail )
- Ne pas mettre une clé USB inconnue dans son ordinateur, ça peut le détruire
- Cette présentation a été relue par des grands pontes du renseignement
Je passerai sur la bonne blogue du scan du Wifi et du Bluetooth de la salle pour repérer les numéros de téléphones et entrer dans les téléphones. On voit que tout le monde laisse portes et fenêtres de sa vie privée ouvertes. Au final, la seule solution donnée dans cette présentation, dans le comportemental (ce qui est visé, dit-il en introduction), c’est avoir peur. Mais comme un schéma l’indique en fin de présentation, la peur crée un instant de panique plus ou moins long et propice à l’infiltration avant qu’une réaction soit envisagée. La réaction à faire, elle n’est pas donnée, à part “Installez un antivirus sur votre smartphone”. Parler de firewall, de gérer les permissions des application, non. On reste en surface, par “faute de temps” (je le cite), et on laisse le pekin (oui, elle est facile celle là…) moyen en rase campagne sous le feu de l’ennemi, pour reprendre un vocable militaire. Je n’ai pas osé sortir mes armes, parler de logiciel libre, de chiffrement de SMS. Pourquoi ? Parce que la réponse aurait-été typique du genre “oui mais on n’a pas assez de temps”…ou “le logiciel libre, on peut modifier le code source et donc connaître des failles”.
A travers cette présentation, j’ai plus vu un message politique visant à faire peur au citoyen pour lui faire accepter le pire, plutôt qu’un message didactique visant à l’éduquer face aux menaces du numérique, à donner de bonnes pratiques. Au pire, certains éviteront de ramener des dossiers chez eux, d’aller sur les réseaux sociaux et le “cloud”. Et comme il n’y a pas eu de questions à part les miennes (j’ai vite été grillé comme l’emmerdeur dans une réunion…, je connais la technique d’animation pour ça), et que toute autocritique semblait impossible quant aux failles, il n’en restera rien si personne n’assure le SAV. Un responsable de la sureté de l’information de l’entreprise était là. Une discussion avec lui m’a montré qu’il connaissait son métier, qu’il savait la montagne qu’il restait à gravir … mais que les décideurs eux ne savent rien des risques de leurs actes. Un exemple : Le choix des routeurs et la localisation du stockage de données. Bref, si on pouvait croire que la DGSI allait faire le job, ça sera encore des experts désintéressés comme Genma et autres qui devront faire le job pour initier et éduquer. Mais là, ça risque d’être long.