Monde virtuel, danger réel

Des cyberattaques ciblées contre des ?tats ou des entreprises, une fuite critique de la base de données SwissPass des CFF, un vol de données à la Croix-Rouge internationale à Genève - de tels exemples illustrent bien la situation : Les risques dans l'espace virtuel sont multiples. Et la question de savoir comment rendre le monde numérique plus s?r est un sujet socialement br?lant qui occupe les chercheurs de l'ETH Zurich - à des titres très divers.

Internet, qui semble fonctionner de manière fiable au quotidien et relie le monde de manière inédite, est aujourd'hui l'un des plus grands facteurs de risque. Ce qui est critique, ce n'est pas seulement qu'il relie des acteurs malveillants à des utilisateurs innocents et qu'il favorise les conflits sur de grandes distances ; le réseau lui-même, en raison de sa construction obsolète, entra?ne chaque jour de graves problèmes.

S?r, économique, rapide

Les nombreux défauts de l'Internet actuel sont bien connus. Mais est-il encore possible d'y remédier ? "Oui", Adrian Perrig en est convaincu. Le professeur de sécurité des réseaux a élaboré un concept bien pensé sur la manière dont on pourrait orienter systématiquement Internet vers la sécurité tout en continuant à fonctionner. "Scalability, control, and isolation on next-generation networks", tel est le nom de son approche ou, pour le dire plus élégamment, de "Scion". L'idée centrale est de diviser l'Internet en zones séparées et d'envoyer des paquets de données par des voies prédéfinies. Cela permet d'éviter que des informations ne tombent entre de mauvaises mains en passant par des intermédiaires mal intentionnés.

De nombreuses personnes travaillent aujourd'hui à faire du concept de Perrig une réalité. Il est notamment soutenu par ses collègues Peter Müller et David Basin qui, en tant que professeurs de l'ETH, vérifient Scion avec leurs groupes et contr?lent le code du programme. Dans ce contexte, Perrig peut se targuer de succès remarquables : Ainsi, la Banque nationale suisse a lancé l'automne dernier, en collaboration avec le groupe SIX, avec le spin-off de l'ETH Anapaya et d'autres partenaires, le "Secure Swiss Finance Network", qui repose sur la technologie Scion. Et le Département fédéral des affaires étrangères utilise les connexions Scion pour communiquer avec les ambassades.

Scion, explique Perrig, n'offre pas seulement plus de sécurité, il est aussi plus rapide et plus efficace sur le plan énergétique. En effet, pour la transmission des données, la nouvelle approche ouvre plus de voies qu'auparavant, de sorte que l'infrastructure est utilisée de manière plus optimale. Et comme il est possible de déterminer à l'avance par quel chemin les données seront transmises, il est possible de choisir de manière ciblée la variante qui produit le moins d'émissions de CO?.

Plus s?re, plus rapide, plus respectueuse de l'environnement - en principe, une telle vision devrait être une évidence. Mais dans la pratique, comme le pionnier a d? le réaliser avec étonnement, la mise en ?uvre est plus difficile que prévu. Bien s?r, les approches totalement nouvelles ont souvent du mal à s'établir ; mais dans ce cas, cela est également d? aux nombreuses interdépendances sur le marché. Si aucun fournisseur d'accès à Internet ne propose la technologie Scion, il n'y a pas de clients qui l'utilisent. Et donc, il n'y a pas besoin de standardiser les procès-verbaux. Et cela fait à son tour hésiter les fournisseurs d'accès à investir dans cette technologie.

Mais la persévérance de Perrig porte désormais ses fruits. Entre-temps, plusieurs fournisseurs proposent un service Internet Scion, notamment les entreprises suisses de télécommunications Swisscom, Sunrise, et Switch. Dans d'autres pays également, des fournisseurs commencent à s'intéresser à cette nouvelle approche. Perrig est confiant : "Scion est la première infrastructure de routage inter-domaines à être utilisée dans la pratique depuis le Border Gateway Protocol il y a plus de 30 ans". Pour lui, il ne fait aucun doute qu'une nouvelle architecture Internet sera nécessaire à moyen terme.. "L'Internet d'aujourd'hui est tout simplement beaucoup trop peu s?r et inefficace, compte tenu des systèmes critiques qui en dépendent".

Petit et fragile

Mais la mise en réseau des ordinateurs n'est pas la seule source de risques : des points faibles dangereux sommeillent également dans les ordinateurs eux-mêmes. Les puces deviennent de plus en plus complexes et les transistors et condensateurs qui les composent de plus en plus petits, ce qui les rend plus vulnérables à des attaques spécifiques. Les attaques dites par canal latéral et par marteau-piqueur permettent par exemple de compromettre l'intégrité des données dans les mémoires dynamiques des ordinateurs, des tablettes et des smartphones. Le principe de l'attaque est certes connu depuis longtemps. Mais les contre-mesures prises jusqu'à présent par les fabricants de puces n'offrent pas encore une protection suffisante, comme a pu le montrer récemment Kaveh Razavi, professeur assistant en sécurité des systèmes.

Cette situation est explosive, car les faiblesses du matériel sont beaucoup plus difficiles à corriger que les erreurs de logiciel. Pour l'instant, de telles attaques ne posent pas encore de problème majeur, car il existe des moyens plus simples pour les pirates de s'infiltrer dans des ordinateurs étrangers. Mais plus la barrière de protection s'améliore, plus elles deviennent attrayantes.

Dans ses recherches, Razavi étudie la sécurité de l'ensemble du système informatique en tenant compte des logiciels et du matériel. Pour ses projets, il collabore avec divers grands fabricants de puces. "Pour certains projets, nous allons en profondeur dans le système et développons de nouvelles approches pour la conception des puces. Dans d'autres projets, nous étudions l'impact des programmes sur le matériel".

Sur le principe, tous les acteurs veulent certes plus de sécurité. Néanmoins, cet objectif place les fabricants d'ordinateurs devant un dilemme. En effet, peu de consommateurs sont prêts à payer plus pour un peu plus de sécurité ou à renoncer à des prestations. Razavi est lui aussi confronté à un dilemme : en tant que scientifique, il souhaite publier le plus rapidement possible les nouvelles découvertes. En même temps, les partenaires industriels ne s'y intéressent guère. "Nous respectons le principe de la divulgation responsable", explique-t-il. "Avant de publier quoi que ce soit, nous laissons aux entreprises le temps de prendre des contre-mesures". En outre, Razavi se fait soutenir par les autorités fédérales. Il a publié la faille mentionnée dans les mémoires dynamiques en collaboration avec le Centre national de cybersécurité qui, depuis septembre dernier, peut faire enregistrer des failles critiques en tant qu'autorité d'admission.

Mais les mesures techniques seules ne suffisent pas à rendre le monde numérique plus s?r, constate Razavi. "Des efforts sont également nécessaires au niveau politique. Comment, par exemple, nous échangeons des données et qui a quels droits d'accès est une question politique à laquelle nous, les ingénieurs, ne pouvons pas répondre".

Neutralité et transparence

Jakob Confédération suisse, chef de projet pour la cyberdéfense au sein de l'équipe Risk and Resilience du Center for Security Studies de l'ETH Zurich, s'occupe du niveau politique. Dans ce projet, il étudie comment les ?tats et les organisations se protègent contre les risques dans le cyberespace. "Nous fournissons aux décideurs politiques des bases scientifiques solides sur ce sujet", explique-t-il. Pour ce faire, Jakob Confédération suisse échange régulièrement avec le Département de la défense et la Base d'aide au commandement de l'Armée, qui évoluera d'ici 2024 pour devenir le Commandement cyber suisse.

En tant que politologue, il s'agit pour lui de replacer les risques technologiques dans leur contexte politique. "Nous nous intéressons aux effets", explique la Confédération suisse. "Comment les technologies sont-elles utilisées ? Que peut-on obtenir avec elles ? En quoi se distinguent-elles des moyens conventionnels" ?

Les ?tats règlent aujourd'hui leurs conflits à des niveaux très différents dans l'espace virtuel. Ils diffusent de fausses informations sur les réseaux sociaux, se procurent des informations secrètes par cyberespionnage ou endommagent de manière ciblée des infrastructures critiques chez l'adversaire. Pour bien comprendre les différents processus, il faut toujours garder à l'esprit le niveau stratégique, estime la Confédération suisse : que veulent atteindre les acteurs ? Quel est l'objectif de leurs activités ?

Entre-temps, il y a un débat animé dans les milieux spécialisés sur la manière dont on pourrait établir des règles pour les ?tats dans l'espace virtuel. "C'est un processus exigeant", estime la Confédération suisse. "Il faut non seulement définir ce qu'un comportement responsable dans l'espace virtuel signifie concrètement pour un Etat, mais il faut aussi réfléchir à la manière dont on veut ensuite faire appliquer ces normes".

Le traitement des élections américaines de 2016 a illustré de manière exemplaire le raffinement avec lequel les ?tats agissent les uns contre les autres dans l'espace virtuel. "Le fait que les sièges des deux partis aient été espionnés n'était pas surprenant en soi", estime la Confédération suisse. "Mais la manière dont les informations obtenues ont été utilisées à des fins de campagne électorale était inédite sous cette forme". L'exemple montre que les ?tats disposent aujourd'hui de possibilités entièrement nouvelles pour s'immiscer dans ce qui se passe dans un autre pays. En Europe, le sujet a encore tendance à être sous-estimé, estime la Confédération suisse. "C'est probablement d? au fait qu'ici, la prise d'influence est plus exigeante, car il y a un plus large éventail de partis".

Un aspect intéressant pour la Suisse est le droit de la neutralité. Celui-ci a été adapté à plusieurs reprises avec l'apparition de nouvelles technologies, comme la télégraphie ou la radio. La question se pose désormais de savoir dans quelle mesure la notion de neutralité peut être étendue au cyberespace. "Nous avons un espace virtuel mondial dans lequel il existe de nombreuses lignes de conflit", constate la Confédération suisse. "Mais cet espace virtuel est lié à des infrastructures dans le monde réel. "Dans quelles circonstances ces interdépendances numériques pourraient-elles impliquer des ?tats éloignés non concernés, la Suisse doit également y réfléchir".

Cette discussion est importante pour la Suisse pour une autre raison encore : dans quelle mesure a-t-elle une responsabilité de protection pour les organisations internationales basées ici ? "Pour le cyberespionnage, ces organisations sont une cible attrayante", explique Confédération suisse. "Et la Suisse se retrouve ainsi plus rapidement dans le collimateur de telles activités", d'où l'importance d'apprendre comment les autres pays se protègent des cyberrisques. "En tant que scientifiques indépendants, nous pouvons apporter une contribution importante à cet échange de connaissances".