Bientôt un "cyberchaos" sur Internet?

Oui pour Sébastien Dupont, expert en cybersécurité, auteur de "Vous êtes fous d’aller sur Internet !"

Aujourd’hui on ne peut plus démêler le vrai du faux sur Internet. Qu’il s’agisse des réseaux sociaux, des sites de rencontres, et bientôt des objets connectés, les risques de piratage et de harcèlement sont légion. À plus grande échelle, une cyber-tempête globale n’est pas à exclure.

Votre livre liste pas moins de cent types d’arnaques, piratages, vols d’identité, cyberharcèlements en ligne… faut-il être parano quand on va sur Internet ?

Je pense que oui. Aujourd’hui, on ne peut plus aller sur Internet la fleur au fusil. Moi-même, pour prendre un exemple, quand je reçois aujourd’hui un SMS qui me dit ‘Allez chercher votre colis au point-relais, etc., cliquez ici pour savoir dans combien de temps vous allez pouvoir le récupérer’, je ne clique plus.

Pourquoi ?

Parce qu’on ne peut plus démêler le vrai du faux. Il y a un exemple croquignolesque sur la Côte d’Azur : un papy se servait de photos de mannequins sur les réseaux sociaux et quand la rencontre avait lieu dans la vraie vie, il instituait un jeu où il fallait que la lumière soit éteinte et les yeux bandés. Sur certains sites de rencontres, on a affaire à des robots et non des êtres humains, comme l’a révélé l’affaire Ashley Madison (la base de données de ce site de rencontres adultères a été rendue publique après un piratage, révélant des millions de faux profils, NdlR). C’est un scandale parce que vous payez pour un service qui n’existe pas.

Vous appelez la technologie qui nous entoure des "oui-oui" numériques. C’est-à-dire ?

J’ai fait le parallèle entre Oui-Oui, ce personnage enfantin, qui est très gentil et dit oui à tout, et nos appareils numériques, qui rendent tout si facile. Le problème, c’est que même sur votre smartphone ou votre tablette, si votre mot de passe n’est pas robuste, par exemple si c’est le nom de votre animal de compagnie et que vous l’avez publié sur Facebook, n’importe qui pourra très facilement accéder à vos comptes, à votre vie intime, et mettre la pagaille dans votre identité numérique.

En parlant de "pagaille", vous évoquez un risque de cyber-chaos généralisé… et mettez en garde contre les objets connectés.

D’ici quelques années, on va tous avoir ces objets connectés à la maison comme on n’imaginait pas il y a 20, 30 ans. Que ce soit pour commander plus rapidement ses courses sur Internet, pour programmer son frigo, sa machine à laver, etc., qui vont communiquer en wi-fi pour parler à votre place. Le cyber-chaos peut advenir une fois que tout est connecté sur Internet. On a vu qu’il était déjà possible pour des hackers de contrôler des centaines de milliers de caméras. Ils ont ensuite créé des botnets , c’est-à-dire de grands réseaux de machines zombies, qui obéissent à des ordres et focalisent des actions, toutes en même temps, par exemple pour perturber un site bancaire. L’exemple qui illustre le cyber-chaos, c’est celui du réseau électrique. Si des hackers parviennent à arrêter d’un coup un certain nombre de machines -­ c’est arrivé avec des climatiseurs et des appareils de chauffage -­, cela crée une réaction en chaîne qui peut faire tomber l’ensemble du réseau électrique d’un pays. C’est un scénario du pire, mais les industriels cherchent des solutions.

Quels conseils donneriez-vous pour éviter de se faire pirater ou arnaquer sur Internet ?

Sur les réseaux sociaux, restez le plus anonyme possible si vous n’avez pas besoin de vous faire identifier. À la maison il faut un antivirus, surtout s’il ne s’agit pas de matériel Apple. Pensez à vos sauvegardes, c’est le seul moyen pour faire face aux rançongiciels (virus qui bloquent l’accès à vos données tant que vous n’avez pas payé une rançon, NdlR). Faites attention à vos mots de passe et mettez des filtres parentaux si vous avez des enfants. Et puis surtout, ne paniquez pas si vous subissez une cyberattaque. N’oubliez pas qu’un arnaqueur sait aussi manipuler vos émotions…

Internet n’est plus l’allié du consommateur

Achats en ligne . Si Internet a pu dans un premier temps aider les consommateurs à comparer les prix pour aller au plus offrant, la mise en place de la "tarification dynamique", qui permet aux commerces en ligne de modifier les prix instantanément en fonction de l’offre et de la demande, a changé la donne. En effet, selon Graeme McLean, maître de conférence en marketing à l’université de Strathclyde (Écosse), les algorithmes qui sous-tendent cette tarification dynamique ont peu à peu appris à se surveiller et à se copier les uns les autres, créant "une collusion involontaire entre les prix" qui les pousse artificiellement à la hausse. Ces nouveaux marchés non concurrentiels entraîneraient "moins d’innovation, une productivité inférieure et, finalement, une croissance économique moind re" , écrit le chercheur dans une tribune parue sur le site The Conversation. Un état de fait qui n’a pas échappé à la Commission européenne, qui a ouvert trois enquêtes en rapport avec ces pratiques anticoncurrentielles.

Non pour Danielle Jacobs, directrice générale de l’association belge des leaders en technologies numériques (Beltug)

Les particuliers sont de plus en plus conscients des risques qu’ils encourent sur Internet. Du côté des entreprises, de gros efforts ont été faits, autant pour assurer leur propre sécurité que pour protéger leurs bases de données.

En quoi Internet est-il plus sûr qu’auparavant ?

Il n’y a pas une garantie de sécurité à 100 %, d’autant qu’on utilise de plus en souvent Internet, notamment via mobile, y compris dans les entreprises. Mais on peut noter qu’il y a de plus en plus de possibilités pour se protéger. On voit que les gens sont bien plus conscients des risques qu’il y a cinq ou six ans. Cela reste difficile mais les internautes sont conscients qu’ils ne doivent pas cliquer sur n’importe quel lien, notamment quand il s’agit de mails dont ne sait pas d’où ils viennent, de même qu’il faut absolument avoir des antivirus de nos jours.

À quel point les entreprises sont-elles concernées par leur propre cybersécurité - et donc celle de leurs clients ?

Nous avons fait une enquête il y a quelques mois pour connaître les priorités dans les entreprises : parmi les points les plus importants, une majorité concernait la cybersécurité, et sur tous les supports, que ce soit sur les communications mobiles ou autre. Donc on voit que les entreprises sont en train de se préparer pour être mieux protégées, ce qui n’était pas le cas il y a quelques années. Il y a aussi beaucoup plus de produits sur le marché, parce qu’il y a plus de connaissances sur le sujet. C’est une évolution qu’on constate très clairement.

Qu’est-ce qui a fait qu’en 4,5,6 ans, la cybersécurité s’est démocratisée dans les entreprises, mais aussi pour les particuliers ?

Il y a deux aspects : en premier lieu, la presse. Tous les incidents y sont mentionnés. Et il ne se passe presque pas un jour sans un incident. Ensuite, le RGPD (règlement européen sur la protection des données) oblige les entreprises à être plus précises sur l’utilisation des données. Cela va de pair avec le fait que les sociétés sont désormais soumises à des règles de confidentialité, ce qui inclut aussi de veiller à ce qu’il n’y ait pas de fuites de données. Donc je trouve que la sensibilisation qui a eu lieu lors de la mise en place du RGPD a permis d’augmenter la sécurité dans les sociétés. Ce n’était pas le cas en 2016, quand on a commencé à préparer le RGPD : nous avions mis beaucoup d’outils pour aider les sociétés, et au début il y avait des gens qui venaient chez nous pour demander en quoi cela les concernait. Maintenant, on sait que la sécurité digitale est primordiale, ne serait-ce que pour la réputation de l’entreprise. De même, sur le plan géopolitique cette question a pris énormément d’importance, par exemple dans les relations États-Unis-Chine.

Justement, doit-on craindre un cyberchaos au niveau global, par exemple avec la poussée des objets connectés ?

Cela m’étonnerait. D’une part, l’Internet est décentralisé. Concernant les objets connectés, pour le moment il y a des choses sur le marché qui, même si elles sont bon marché, ne sont absolument pas fiables. Je pense qu’il faut avoir quelques accidents avec ce genre d’appareils peu sécurisés pour que tout le monde se rende compte que, là aussi, il faut bien se protéger. Dans une étude de marché que nous allons publier, nous avons posé la question sur le genre de produits de sécurité que les sociétés utilisent. Et ce qui était très étonnant c’est que sur les postes fixes il y a une maîtrise, au contraire des applications mobiles, par exemple les smartphones, pour lesquelles seule une petite partie des sociétés s’impliquent dans la sécurisation.

Une attaque massive… qui n’a pas eu lieu

Fausse alerte . La nouvelle tombée dans la nuit de vendredi à samedi dernier a fait réagir jusqu’au secrétaire d’État chargé du numérique français, qui y a vu un piratage "très rare" : selon l’AFP, des attaques informatiques massives étaient en cours contre des noms de domaine internet, et ce, au niveau mondial. Une information reprise par de nombreux médias mais partiellement erronée. Comme l’a noté le quotidien Le Monde , la dépêche avait en fait mal interprété un communiqué de l’ICANN, l’organisme américain gestionnaire des noms de domaines sur Internet, qui alertait sur les risques liés à de possibles attaques dites "DNS", une forme de piratage consistant à rediriger le trafic d’un site légal vers un site frauduleux.Risques réels. Constatant la mauvaise interprétation du communiqué de l’ICANN, DNS Belgium, son pendant belge, est à son tour sorti du bois. Le gestionnaire de noms de domaines en Belgique reconnaît ainsi que des "cas récents indiquent la gravité de la situation" , et a donc appelé les propriétaires de sites web à mieux sécuriser les données liées au nom de domaine.