Compte rendu de la conférence « Réseaux sociaux et web 2.0 – Nouveaux comportements, nouvelles menaces numériques », animée par Pascal Lointier. Pascal Lointier est Président du Clusif, Club de la Sécurité de l’Information Français, et Conseiller Sécurité de l’Information chez Chartis (ex-AIG Europe).
Conférence organisée par le Club IES le 15 décembre 2009.
Compte-rendu rédigé par Jérôme Bondu
Nouvelles menaces numériques
Il est indéniable que les réseaux sociaux sont en train de bouleverser notre manière de gérer nos réseaux relationnels, notre rapport à internet, nos modes de travail et plus globalement notre mode de vie.
Ces nouveaux comportements sont riches d’opportunités, mais aussi riches de menaces.
Au seuil de 2010, cette conférence a eu pour objectif de faire le point sur ces questions.
M. Lointier a introduit le sujet en rappelant que ce que l’on percevait comme « nouveau », était en réalité utilisé depuis longtemps. Ainsi les réseaux sociaux, sous une forme proche de ce que nous connaissons aujourd’hui c.à.d. une infrastructure informatique, ont été créés avec l’Internet. Mais ils étaient jusqu’à présent réservés à des communautés spécifiques, notamment les informaticiens, et s’appuyaient sur des ressources telles que les forums de USENET.
Ces infrastructures de mise en relation ont vu leur essor amplifié du fait de l’opportunité de mise en application de travaux de recherche en sociologie. Notamment la théorie du 6ème degré, la théorie des « small world » dite aussi de Milgram ou encore les études plus récentes sur le « swarm intelligence ».
Idées reçues des médias sociaux
Internet est un média qui charrie beaucoup d’idées reçues.
On a une vision monolithique de l’internet alors qu’il s’agit d’un monde de diversité de ressources et d’acteurs : Internet signifie « Interconnexion of networks » et à l’origine, c’était un projet militaire pour maintenir la capacité de communication dans un contexte de guerre froide (explosion nucléaire en haute atmosphère ou encore Impulsion Electro-Magnétique). Internet n’a donc pas été conçu pour le commerce électronique, ce qui se traduit par une triple problématique d’authentification : l’email reçu (cf. phishing), le site visité (cf. pharming) et le profil et/ou avatar (cf. réseaux sociaux). Pour illustration, voici quelques-unes de ces idées qu’il est bon de relever avant de voir les prolongements dans les réseaux sociaux :
– Il n’y a pas de pertinence de l’information sur internet. Tout peut y être dit, le pire comme le meilleur. La qualification de l’information (source, donnée émise) est donc critique voire fondamentale.
Le droit à l’oubli est difficile
– Le droit à l’oubli est difficile à mettre en œuvre d’une part en raison de la résilience intrinsèque d’internet et d’autre part, en raison de la volonté clairement affichée par certains réseaux sociaux d’exploiter les données que vous aurez mis, ou qu’on aura mis en ligne et qui vous concernent : tout ce que vous direz/écrirez pourra être retenu/exploité contre vous… .
– Google est, parait-il, le meilleur des moteurs, mais « le meilleur des moins bons ». De plus, il semble qu’en France nous ayons un tropisme googlien inexplicable. Google est utilisé dans près de 90 % des recherches. Aux Etats-Unis même, il ne dépasse pas 70 %. En outre, il faut garder à l’esprit le modèle économique sous-jacent : faire du commerce, géolocaliser la réponse pour orienter les achats, etc. Pour dire la même chose autrement, l’indexation n’est ni neutre ni exhaustive.
Google pourrait devenir le pire cauchemar des entreprises
– Google pourrait devenir le pire cauchemar des entreprises. Avec les Google Apps, le service DNS et la dématérialisation, l’entreprise aura bien du mal à maîtriser la disponibilité de ses informations (leur accessibilité au moment voulu) et la confidentialité (espionnage économique sur une infrastructure tierce dont vous ne connaissez pas les règles et solutions de sécurité). De plus, comment tracer, historiser, des emplois et justifier ainsi la conformité à vos réglementations (SOX, PCI-DSS, CNIL?) ?
– L’évolution vers la photo-vidéo numérique, la mise en partage des fichiers ont créé un « exhibitionnisme électronique » qui fait que l’on s’affiche sans pudeur ni retenue sur internet, et l’on présente sur la toile (c’est-à-dire à qui veut le voir) ce que nous refuserions de montrer ne serait-ce qu’à un public restreint dans le monde réel.
– Autre évolution détectée, on perd peu à peu la mémoire collective contre une mémoire individuelle virtuelle. On stocke sur internet, dans ses mails, sur son blog, … des choses que l’on ne fait plus l’effort de retenir. On utilise Google pour vérifier « l’ortografe » d’un mot?
Cristallisation des problèmes sur les réseaux sociaux
Ces nouvelles menaces numériques semblent se cristalliser dans les réseaux sociaux :
Derrière les réseaux sociaux, il n’y a pas de service public
– Derrière les réseaux sociaux, il n’y a pas de service public, ce sont des sociétés commerciales qui veulent « faire de l’argent » avec votre vie privée et/ou professionnelle. Facebook a changé récemment ses CGU (conditions générales d’utilisation) et a déclaré que les informations lui appartenaient ad vitam aeternam ! De plus, cet acteur interdit le « suicide virtuel », opération également commercialisée 😉 qui consiste à effacer ses traces sur la Toile.
– Les réseaux sociaux sont devenus le support d’actions délictueuses préexistantes comme le Scam nigérian. Cette arnaque vise à faire croire à la cible qu’une somme très importante peut être débloquée (et partagée) s’il avance un faible montant. Bien sûr, ce « faible » montant, s’il est « prêté », est perdu.
– Les réseaux sociaux sont une incitation au « naturisme numérique » (qui est tendance déjà forte sur internet), renforcé comme on l’a vu par le passage de l’argentique au numérique.
Les réseaux sociaux n’offrent pas de contrôle de la sphère privée
– Ils n’offrent pas de contrôle de la sphère privée : on ne maitrise plus ses informations personnelles. Un tiers, bien intentionné, peut fort bien mettre sur son web/blog/profil/microblog des informations, des photos, qui vous concernent sans que vous en soyez averti et/ou consentant.
– Ils n’offrent pas de droit à l’oubli. Une polémique a surgi récemment sur internet sur le fait que Facebook s’arroge le droit de garder actif le profil de personnes décédées.
– Il y a un « effet de pression normative du groupe », qui fait que l’on est incité à s’y inscrire, surtout quand on est invité par un client, un ami, un collègue de travail. Refuser peut paraitre impoli. Il y a donc une incitation pernicieuse à être présent sur ces outils.
Les réseaux sociaux n’offrent pas de garantie pour authentifier un interlocuteur
– Ils n’offrent pas de garantie pour authentifier un interlocuteur. Nous l’avons déjà évoqué et de plus, un profil, une identité virtuelle, peut être usurpé. Et la sécurisation en HTTPS ne résout rien. Quand le navigateur sur lequel on « surfe » affiche le cadenas, symbole d’une connexion en HTTPS (sécurisé) cela n’est en rien une assurance que nous sommes sur un site authentique. Cela signifie simplement que les échanges d’informations (entre vous et le site) sont protégés par le chiffrement des échanges. Mais l’on peut avoir des échanges protégés avec un site pirate !
– Les implications dans le monde réel sont réelles. A titre d’exemple, le Canton Genevois a envisagé il y a quelques semaines de condamner un viol sur un monde virtuel, car les conséquences psychologiques ne sont pas neutres pour l’internaute/avatar.
– Chacun doit trouver la protection qui lui convient. On peut « fuir » ces réseaux sociaux. On peut aussi les utiliser avec réserve et précaution. Qu’est-ce que je mets en ligne ? Qui est susceptible de le lire et avec quelles conséquences ?
Risque de détournement malveillant
En conclusion sur ces nouvelles menaces numériques, Pascal Lointier rappelle que toutes les technologies sans exception présentent un risque spécifique et un détournement d’emploi malveillant. Prenons par exemple une des technologies les plus utiles : l’automobile !
– La voiture coûte très cher en termes de dommages corporels et matériels … c’est le risque spécifique.
– Quand les membres de la bande à Bonnot ont été les premiers à utiliser une voiture pour un braquage de banque, … ils ont réalisé un détournement d’emploi malveillant !
Les réseaux sociaux n’échappent pas à cette règle, et doivent donc être utilisés avec intelligence. Ce ne sont pas les outils qui sont en cause, mais la manière de les utiliser et la volonté d’exploitation commerciale abusive de certains. Il y a donc un nécessaire effort d’éducation.
Ce texte retranscrit une partie de la présentation de M. Lointier sur les nouvelles menaces numériques.
Sur le sujet des nouvelles menaces numériques
On pourra aussi consulter :
- A lire : La cybersécurité, de Nicolas Arpagian.
- Compte rendu de la conférence : Panorama des menaces en cybersécurité.
- Compte rendu : Intelligence économique et sécurité informationnelle.
- Vidéo: Cybersécurité – panorama des attaques et des cybercriminels.
- Mise à jour : décès de Pascal Lointier.
Jérôme Bondu