Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

2014, le jeu des prédictions

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Commentaires Commentaires fermés sur 2014, le jeu des prédictions

Bien malin qui pourra prédire l’avenir. Alors contentons-nous – comme l’année dernière, d’ailleurs – d’extrapoler sur les tendances du moment, et de d’essayer de déterminer quels courants sont assez forts pour nous porter tout au long de l’année…

A commencer, bien entendu, par l’affaire Snowden. Tout a déjà été écrit au sujet des révélation de l’ex-consultant Edward Snowden. D’ailleurs jamais un vulgaire jeu de slides Powerpoint n’aura eu un tel impact sur le monde… Entre fantasmes, chasse aux sorcières, génération spontanée d’experts du monde du renseignement, demi-aveux pour des demi-vérités et amalgames partisans, force est de constater que ce que l’on appelle désormais « L’Affaire Snowden » (notez la majuscule…) est illisible.

Après avoir passé une grande partie de l’année 2013 à essayer de comprendre le fond de cette histoire, l’année 2014 devrait être celle de l’étude de ses impacts. Heureusement, autant le fond de l’affaire demeure illisible, autant ses impacts constituent une matière plus solide à étudier.

L’affaire Snowden a ouvert une crise majeure, historique même, au sein de l’industrie de la sécurité des systèmes d’information. Et il ne sera pas trop d’une année entière pour en mesurer les conséquences. Sur le plan économique, d’abord : les premières études sur le sujet sont déjà là depuis un moment, et comme toujours les chiffres sont à prendre avec précaution. Dès l’été dernier l’on parlait par exemple de plusieurs dizaines de milliards de revenus perdus pour les fournisseurs IT américains. Aujourd’hui ce serait plutôt 180 milliards selon Forrester Research. Plus récemment, Cisco a reconnu que ses ventes en Chine avaient souffert de ce que l’on appelle désormais « L’effet Snowden » . Et il est évident que s’il est le seul à en parler pour le moment, le géant n’est certainement seul à observer un impact commercial (même si son concurrent Juniper affirme quant à lui que ce n’est pas le cas). D’ailleurs une étude réalisée par l’hébergeur Peer1 auprès de 300 entreprises britanniques et canadiennes montre que 25% d’entre elles ont décidé de ne plus héberger leurs données aux Etats-Unis. Il sera donc difficile de chiffrer précisément cet impact, mais il faudra certainement compter avec lui au dernier trimestre 2014.

Autre effet, secondaire mais déjà bien visible : la tentation du Made in France à tout prix, sous prétexte que « c’est plus sûr parce que c’est français » . Nous en avions déjà parlé ici dès les premières heures de l’Affaire Snowden et cela s’est confirmé depuis : Edward Snowden a offert un blanc-seing à tous les projets approximatifs qui végétaient jusqu’alors et qui tentent désormais de se vendre sur leur seule étiquette bleu-blanc-rouge. Ce n’est pas grave, mais il conviendra d’être vigilant en 2014 face à ce type d’argument (il semblerait cependant que les acheteurs ne se laissent pas convaincre aussi facilement !). S’ils se poursuivent, les efforts de certification et de qualification menés par l’ANSSI en 2013 pourrait toutefois aider les entreprises en ce sens.

Mais il n’y a pas que les revenus des professionnels de la IT qui seront écornés par cette affaire. Plus difficile à évaluer est la crise de confiance que traverse désormais Internet, ses utilisateurs et plus généralement tous les acteurs qui font le web. Le coeur du débat concerne évidemment le droit à la vie privée. Rien ne sera résolu en 2014 mais l’on peut s’attendre à contempler un Internet fortement polarisé, que ce soit entre internautes et / ou associations (vie privée contre maintient de l’ordre), entre internautes et fournisseurs de service web (« tous vendus ! » , clame la foule surexcitée) ou même entre internautes, fournisseurs de services web et gouvernements, dans un ménage à trois que n’aurait pas renié Feydeau.

Car les remous de l’Affaire Snowden pourront certainement inciter les gouvernements à en profiter pour se positionner plus clairement sur la gouvernance du Web (même si cela n’a effectivement que peu de rapport en soit, il s’agira avant tout d’une opportunité politique à saisir). Et là encore, quelles que soient les modalités de ces manoeuvres, elles ne pourront conduire qu’à une polarisation accrue sur le réseau. Attentons nous donc en 2014 à une recrudescence des chauds débats sur la gouvernance du web (neutralité, régulation, interceptions…) et probablement des actions d’associations et d’hacktivistes sur ce terrain de bataille.

A noter que le journaliste Steven Levy vient de publier une enquête remarquable au sujet de « L’effet Snowden » et en particulier la crise de confiance qu’elle a provoquée envers les grands noms du web. C’est une (longue) lecture fortement recommandée !

Enfin il sera intéressant de suivre le parcours de Glenn Greenwald et Laura Poitras. Les deux seules personnes au monde supposées avoir accès à la totalité des données dérobées par Edward Snowden sont désormais embauchées par le milliardaire Pierre Omidyar, fondateur de eBay, pour créer un site d’information en ligne. Les documents Snowden se retrouvent donc en quelque sorte privatisés, ce qui n’a déjà pas manqué de diviser les supporters de Greenwald. En fonction des choix des deux journalistes concernant l’ouverture (ou pas…) de ces documents aux autres médias, cela donnera certainement lieu à des prises de positions tranchées voire à des actions d’hacktivistes en 2014.

Paradoxalement, s’il y a probablement un domaine sur lequel 2014 n’apportera rien de neuf c’est celui des premiers intéressés : les services de renseignements. Habitués au « business as usual » et à régler leurs problèmes entre eux, il y a fort à parier que l’ordre du jour dans les services est plutôt de continuer à opérer après avoir fait le bilan de ce que savent désormais leurs adversaires sur leurs propres capacités, et de déterminer ce que cela implique comme changements éventuels à apporter dans les méthodes de travail. Pour le reste, il faudra toujours que quelqu’un s’y colle…

La cyber-défense devient mainstream. Autre sujet, qui n’a cependant rien à voir avec l’Affaire Snowden (ne la confondons pas avec le renseignement), la cyber-défense devrait s’imposer en 2014 comme un sujet central et mainstream. Après une année 2013 de mise en place (publication du Livre Blanc, votes au Sénat et à l’Assemblée, montée en puissance de la réserve citoyenne cyberdéfense, diverses publications militaires, création d’un centre de réaction cyber par l’OTAN, etc…) l’année 2014 devrait marquer la consolidation du dispositif. On devrait ainsi y voir plus clair dans les doctrines, être plus raisonnable dans les perspectives d’usage de l’arme cyber et peut-être même (rêvons…) enfin entendre parler de capacité offensive de manière officielle. Le Cercle Européen de la Sécurité ouvrira d’ailleurs le bal le 13 février prochain avec un débat consacré précisément à la cyber-défense (« La cyber défense française, combien de divisions ? » avec le sénateur Jean-Marie Bockel et l’Amiral Arnaud Coustillière)

Les criminels visent les terminaux de paiement. La fin de l’année 2013 aura été marquée par une forte recrudescence des affaires de terminaux de paiement électroniques piégés, jusqu’à la découverte d’un botnet de caisses enregistreuses. Depuis, l’année 2014 s’est ouverte sur des attaques physiques de distributeurs de billets (infection via une clé USB après en avoir percé le capot) et un piratage majeur chez le groupe de grande distribution américain Target) où 70 millions de données personnelles ont été dérobées après avoir infecté les terminaux de paiement en magasin.
L’année devrait être marquée par un intérêt accru des criminels pour ce type d’attaque. Les systèmes d’information étant désormais (un peu) mieux protégés, leur attention se tourne fort logiquement vers le nouveau maillon faible de la chaîne : le terminal de paiement et la caisse enregistreuse (souvent un simple PC sous Windows) présents sur le point de vente. Ces derniers voient passer l’ensemble des numéros de cartes bancaires, sont parfois anciens, peu souvent mis à jour (quand ils peuvent l’être !) et souffrent des vulnérabilités bien connues des systèmes grand public, sans pouvoir bénéficier pour autant des mesures de protection habituelles (en l’état actuel des pratiques, installer et mettre à jour un antivirus ou un client de sécurité sur le Windows embarqué d’une caisse enregistreuse ou d’une balance à légumes de supermarché est probablement une punition pour RSSI pas sage…). Le corollaire, bien sûr, est que l’on peut s’attendre à voir se développer en 2014 les offres de sécurité destinées aux terminaux de paiement (Point-of-Sale).

Résilience et réponse aux incidents. Le rôle du RSSI au sein de son entreprise a déjà beaucoup évolué, comme nous le notions l’an dernier. Nous n’y reviendrons donc pas. En revanche une nouvelle mission pourra lui être attribuée en 2014 s’il n’a pas pris les devants : mettre en place ou formaliser la capacité de réponse aux incidents de l’entreprise. Car le mantra de l’année en SSI pourrait bien être la fameuse devise « Ce n’est pas une question de savoir si vous allez être piraté, mais de savoir quand vous allez l’être » . Le RSSI ne l’ignore pas, bien entendu, mais 2014 semble bien partie pour être l’année où l’on songe vraiment à faire quelque chose à ce sujet.

Et vous, sur quoi pariez-vous pour 2014 ?

Les grosses surprises

Quelles pourraient être les surprises de l’année ? Ces paris totalement improbables que l’on aime malgré tout contempler juste pour se faire peur ? Nous voyons pour notre part deux bons candidats :

L’Affaire Snowden se révèle être une manipulation. Ca serait alors à nouveau l’affaire de l’année ! Mais après tout, les seules preuves exhibées jusqu’à présent sont des présentations Powerpoint et les aveux voilés d’officiels américains. Rien de concret, donc. Certes il y avait bien les débats au sujet de la puce Clipper et la fameuse _NSAKEY de Windows, mais ça commence à dater. Alors une manipulation ? Et dans quel but ? Nous n’y croyons pas, mais avouez que vous y avez pensé vous aussi, non ?

La guerre cyber est déclarée. Et l’on ne parle pas ici d’intervenir en support d’une opération traditionnelle, ni bien entendu d’espionnage. Mais plutôt d’une opération systématique de la part d’une Nation visant à détruire via des attaques informatiques les infrastructures critiques d’une autre (neutralisation ou perturbation de ses systèmes de contrôle aérien, ferroviaires, bancaires, de distribution d’énergie, de communication, de logistique…). Là aussi, ça serait l’affaire de l’année…


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.