L’erreur est humaine (même en cyberdéfense)

Le 08/04/2019 dans "Cybersecurité"
Image
C’est un article qui a fait grand bruit. Le 13 février dernier, Le Canard Echaîné sortait l’article « Les as de la cyberdéfense ont laissé traîner leurs petits secrets sur le web ». Derrière ce titre sensationnaliste, se cachait un fait : la négligence du Clusif (Club de la sécurité des systèmes de l’information français), ayant permis la fuite de plus de 2000 fiches confidentielles. Un « scandale » vite dédramatisé par certains journalistes et le CLUSIF lui-même. Alors, grosse erreur ou oubli humain ? Focus sur l’actualité, forcément polémique, de la cyberdéfense.

 

C’est vraiment ce que l’on appelle, dans le jargon médiatique, un « buzz ». Entendez par là un événement, pas forcément important, mais si rapidement monté en épingle qu’il deviendra, le temps de quelques jours, incontournable.

Le 13 février dernier, le papier du Canard Enchaîné, signé du bien nommé Jérôme Canard, faisait l’effet d’une bombe. Intitulé de manière très explicite « Les as de la cyberdéfense ont laissé traîner leurs petits secrets sur le web », il faisait état d’une faille résultant d’une négligence de sécurité, découverte sur le site officiel du Clusif (Club de la sécurité des systèmes de l’information français). D’après l’article, cette erreur aurait permis aux utilisateurs d’internet d’avoir accès, en libre service, à « la liste ultraconfidentielle de ses correspondants, cadres sup de grandes entreprises et hauts fonctionnaires chargés de la sécurité informatique. Avec, en bonus, leurs adresses Internet et leurs numéros de téléphone, portables compris ! ».

 

Mais comment une telle chose a pu se produire ? D’après l’article, il aurait juste suffi aux internautes de taper les noms « Clusif » et « CSV » (pour Comma-separated values) dans Bing (le moteur de recherche de Microsoft) pour avoir accès aux données jusqu’ici précieusement gardées. Une publicité dont se serait certainement passé le Clusif, qui, toujours d’après le papier, aurait diffusé « plus de 700 fiches individuelles et les coordonnées de près de 1500 responsables récemment inscrits pour suivre une formation maison ». L’organisme n’a pas attendu la publication de l’article du Canard Enchaîné pour prendre les devants. Prévenu qu’il y avait eu une fuite, Jean-Marc Gremy, président du Clusif, a fait publier, dès le 12 février, un communiqué de presse pour désamorcer la situation. D’après ces mots, « il ne s’agit pas d’un acte de malveillance, une erreur humaine a été commise dans la gestion de notre site internet. Nous allons donc renforcer les actions de contrôle ». Après tout, comme cela est si justement dit, l’erreur est humaine. Et même pour ceux facilement qualifiés « d’as de la cyberdéfense ».

 

 

Contre-vérités

 

 

Il n’a pas fallu attendre très longtemps avant que la riposte advienne. Quelques jours plus tard, le 18 février plus précisément, paraissait l’article, ironiquement intitulé « Le Canard hoquette » sur le site de DSIH.fr. Tout d’abord, l’idée que le Clusif est un spécialiste de la cyberdéfense est démontée. Au contraire, d’après le papier, il s’agit tout simplement d’une « plateforme d’échanges dont la mission est très utile (les publications du Clusif sont de grande qualité) et en aucun cas l’on a affaire à la NSA ou à une officine de barbouzes bardés d’électronique et de gadgets qui clignotent ». Voilà qui est clair. Par ailleurs, l’article vient également discuter cette information divulguée par Le Canard Enchaîné, affirmant qu’il aurait été facile de trouver les coordonnées complètes du RSSI (Responsable de la Sécurité des Systèmes d’Information) de la présidence. D’après le papier de DSIH, cette information ne tient pas debout. Trouver les coordonnées complètes du RSSI de la présidence ? « En quelques clics, il est possible de les récupérer sur Internet ; le poste n’est pas confidentiel ». C’est bien ce qui s’appelle un démontage en bonne et due forme.

 

La « fuite » des données du Clusif intervient à une période où il est plus que jamais question de cyberdéfense, et ce, dans différents domaines. Le 14 mars, un tweet énigmatique de l’Etat-Major des armées a suscité plusieurs interrogations. Au premier abord, ce message (sorte d’enchaînement de lettres et de chiffres) est incompréhensible pour le commun des mortels. Il s’agit en fait d’un langage codé, dans le cadre d’un exercice annuel de cyberdéfense du nom de Defnet, de la part de l’armée française, comme le révélait le site du Journal du Geek. Outre l’armée, la cyberdéfense peut également s’inviter, étonnamment, dans le secteur littéraire. Il y a quelques mois, sortait en effet la bande dessinée Cyberfatale de Cépanou. Cet album sur le monde secret de la cyberdéfense française est l’œuvre d’une femme, Isabelle Valentini, membre de l’Etat-Major, chargée de la cyberdéfense. Un moyen ludique pour les esprits curieux d’en apprendre davantage sur ce monde mystérieux. Bonne nouvelle, un deuxième tome est actuellement en préparation. D’une manière ou d’une autre, on n’a pas fini d’entendre parler de la cyberdéfense !

 

 

Antoine Le Fur

Dans la même catégorie

19/01/2018
Cybersécurité, donnée actuelle et fondamentale
En 2018, ce sera un terme qui sera plus que jamais présent. Depuis quelques années, la cybersécurité est devenue un dossier majeur pour les entreprises. Face aux attaques qui se sont multipliées l’an passé, de nouvelles stratégies se sont mises en place pour améliorer le rapport des salariés avec ce vaste espace qu’est Internet. Quelques éléments de réponses avec Patrick Bodin, Directeur du Pôle Cyber Défense de Silicom.
Lire la suite
02/08/2019
Quand l’Europe attire les entreprises françaises
<p>C’est une question qui n’en finit pas d’intriguer. Chaque année, dans quels pays peuvent bien s’implanter les sociétés françaises ? Les résultats 2019 du Baromètre, dédié à l’implantation internationale des PME, ETI et start-ups françaises, viennent d’être publiés par Banque Populaire et Pramex International. Et cela réserve quelques surprises.</p>
Lire la suite
02/08/2019
Un impact climat de 1 000 milliard de dollars
<p>C’est un chiffre qui a fait beaucoup de bruit. D’après le récent rapport de l’organisation CDP (Carbon Disclosure Project), les 200 plus grandes entreprises cotées à l’international prévoient que le changement climatique pourrait leur coûter près de 1 000 milliards de dollars dans les prochaines années. Un constat alarmant, à l’heure où le sujet de la transition écologique est plus que jamais d’actualité.</p>
Lire la suite