Qu’ont en commun le British National Health Service, le système ferroviaire allemand, Federal Express (FedEx) aux États-Unis, le système bancaire russe, et Renault en France ? Ce sont des organisations, voire des institutions, dont les systèmes sont gérés par des pros. Ah ! Egalement, tous sont tombés sous les coups de butoir la cyber-attaque massive WannaCry.
Un simple message destiné aux utilisateurs d’ordinateurs sous Windows, les invitant à payer 300 dollars en Bitcoin pour libérer leurs données cryptées par des cyber-pirates, a suffi pour faire mettre un genou à terre à ces géants de la santé, de la banque, des transports, de la logistique, de l’industrie, des télécoms, des universités… Et à tous ceux qui n’ont pas joué la transparence et qui ont payé en gardant l’information confidentielle.
Dès lundi – les pirates ont pris l’initiative d’attaquer la veille d’un week-end, tout se perd ! – les doigts se levaient pour pointer les coupables. Dans tous les sens, puisqu’à ce jour ce qui ressort est pire que le scénario d’un James Bond en manque d’imagination, convenez-en, un logiciel de la NSA, dérobé par des pirates russes, exploité par des pirates nord-coréens, sur une faille de Windows corrigée, distribué par des bots, et qui s’attaque au monde…
Tout aussi étonnant, certains experts affirment tracer les paiements de rançons versées aux pirates en Bitcoin. Les enchères montent, 30.000 dollars cumulés récoltés à ma droite, 50.000 dollars sur le net, 77.000 dollars à ma gauche. Informations récoltées sur la plateforme Bitcoin. Surprenant, je croyais que la blockchain, qui supporte Bitcoin, était inviolable, mais je constate que ce ne serait pas pour tout le monde…
Mais où va-t-on ? Chez les pirates, la machine est bien rodée. « Agissez maintenant, les prix ne seront jamais aussi bas ! », affirment-ils dans le message qui accompagne la prise de contrôle du PC et la demande de rançon. Le hacker se mue en marketeur, ou en vendeur de foire. « Allez-y ma bonne dame, je vous la fais à 300 dollars ma rançon » nous murmurent-ils. J’aurais pu dire « mon bon monsieur », parce qu’à ce petit jeu de l’ingénierie sociale, nous sommes tous poussés à l’erreur.
Un poing se lève, celui de Microsoft, qui dénonce au mieux le laxisme, au pire la collusion de certains Etats, en particulier l’administration américaine, avec les pirates. On connaît les universités chinoises de hackers, on identifie les pirates russes si proches du pouvoir, on souffre de la puissance de nuisance et de désinformation du web de Daesh. Et le patron de Microsoft d’appeler à des accords de Genève. Il nous ferait presque oublier que les pirates s’appuient sur les failles des systèmes Windows pour pénétrer nos systèmes...
Insidieusement, d’autres doigts se lèvent, mais ils ne sont pas médiatisés, ceux-là. Ils pointent qui le DSI, qui le RSSI, ceux par qui le malheur s’installe ! J’ai quelques amis parmi eux, vous l’imaginez bien, et je sais combien cette attaque massive était attendue et crainte. Et combien ils n’ont cessé de mettre en garde ceux-là même qui aujourd’hui cherchent des responsables et les accusent.
En quelques jours, les supports des éditeurs de solutions de sécurité ont vu les appels augmenter de 30%. Et 100% de ces appels provenaient d’organisations non pas victimes de WannaCry, mais qui souhaitaient savoir comment s’en protéger ? Faut-il qu’un Renault tombe pour s’interroger sur la sécurité de son système d’information ? Ne serait-ce pas là, plutôt, qu’il faut pointer le doigt sur notre incapacité à mettre à jour nos applications et les barrières qui les accompagnent ? Sans parler de notre inconscience. Car le principal enseignement apporté par WannaCry, c’est qu’un utilisateur averti et prudent, équipé d’un système à jour et protégé sans excès, ne verra probablement jamais la moindre demande de rançon...
Reste un risque, grave, celui de forcer la fermeture des accès aux données, sous le prétexte de les protéger. Après des années d’efforts de l’administration Obama pour ouvrir les données publiques, l’administration Trump se démène pour les fermer. D’abord pour cacher ce qu’elle se refuse de voir – les bases de données qui ont suivi l'efficacité énergétique, le dérèglement climatique, les violations de la sécurité au travail et l'abus sur des animaux -, et bientôt celles sur l’éthique, la gouvernance, la santé, l’éducation… Au prétexte de les protéger, pardon, de ‘nous’ protéger ! La dérive est très claire.
Dans tout dérèglement, il faut un bouc émissaire. Mais dans le même temps, les responsables – je vous laisse juge de définir ceux qui pour vous répondent à ce titre… - continuent de faire leur business ou de nous empêcher d’accomplir le nôtre. Ainsi va le monde, le nôtre, celui où une attaque ‘massive’ succède à une autre attaque ‘massive’ sans que l’on se demande où est la faille ni qui est responsable ?
A tous mes amis DSI et RSSI, je dis tenez bon, ne lâchez pas la barre, car si vous vous en éloignez un tant soit peu, qui saura retrouver le cap ? Et surtout restez vigilants. La transformation digitale s’impose ? Elle fera son lot de victimes ! Alors ne laissons pas un vulgaire rançongiciel, aussi massif soit-il, nous détourner de nos objectifs, ceux de l’entreprise, et pour que survivent ses forces vives. Le client est aujourd’hui au centre de la stratégie l’entreprise, remplaçons-le par l’humain, et tout le monde y gagnera..., sauf les pirates et la NSA !
Image d’entête 546027232 @ iStock viadwel