Les spécialistes ont longtemps martelé aux entreprises de se protéger contre les menaces externes. Pourtant plusieurs affaires - Snowden, LuxLeaks ou Panama Papers – montrent le developpement d’un nouveau type de menace.
Après la fuite massive de documents à l’origine de l’affaire « Panama Papers » qui a éclaboussé plusieurs pays, les dirigeants mondiaux sont sur la sellette. Le président russe Vladimir Poutine a qualifié la divulgation des comptes bancaires offshore de complot des services américains, tandis que l’Islande a nommé un nouveau premier ministre et que le premier ministre britannique David Cameron a admis avoir détenu des parts dans un fonds fiduciaire offshore. Les Panama Papers incarnent les scandales politiques de demain, à l’ère numérique, depuis le piratage initial jusqu’à la technologie cloud utilisée pour analyser les documents. Bob Woodward et Carl Bernstein, les célèbres journalistes qui ont fait tomber Richard Nixon, n’auraient jamais pu imaginer traiter des millions de pages de documents confidentiels.
Les Watergate de nouvelle génération s’appuieront sur des technologies telles que les dossiers partagés et les forums de discussion en ligne. Mossack Fonseca, le cabinet d’avocats piraté, symbolise le cyber-risque dont de nombreuses entreprises n’ont pas encore pris conscience. Les pirates visent manifestement bien plus que de simples cartes bancaires et numéros de sécurité sociale. Cette violation de données nous donne un aperçu de la nouvelle réalité des fuites en ligne et envoie un signal clair à l’ensemble des entreprises sur la cible potentielle que constitue toute information sensible.
Une fuite équivalent à 2 600 camionnettes de documents !
Les Panama Papers représentent 1 500 fois la quantité d’informations dévoilées par les Wikileaks de 2010. Il s’agit de la plus grande fuite sur laquelle des journalistes aient jamais eu à travailler et une affaire symptomatique de l’ère numérique. D’un point de vue logistique, le vol d’un tel volume de données n’aurait pas été possible autrement que par un acte de piratage en ligne : il aurait fallu 2 600 camionnettes pour transporter les 11,5 millions de fichiers incriminés, soit un total de 2,6 téraoctets de données ! Les lanceurs d’alerte modernes n’ont plus besoin d’exfiltrer des documents en les dissimulant soigneusement dans une chemise cartonnée. Il leur suffit d’extraire une base de données entière et de l’éplucher à distance. La masse d’informations dérobée au cabinet Mossack Fonseca couvre pratiquement tous les documents archivés sur une période de 40 ans. Elle illustre ce qu’un journaliste a appelé la loi de Moore en matière de fuites, suggérant que le volume de données exposées augmentera au même rythme exponentiel que la puissance des ordinateurs.
La complexité des technologies et des méthodes mises en œuvre dans l’enquête sur les Panama Papers ferait la fierté de tout architecte logiciel. Les journalistes qui ont traité les données ont eu recours aux outils informatiques les plus récents pour télécharger, partager et protéger une base gigantesque d’informations sensibles, un exploit dont de nombreuses entreprises seraient bien incapables. Les premiers contacts entre le lanceur d’alerte et le journaliste ont eu lieu sous forme de messages cryptés. L’équipe a stocké les photos cryptées dans le cloud, tandis que des journalistes ont collaboré à l’étude de ces révélations sur des forums de discussion en ligne sécurisés. Tout au long du processus, le cryptage, décrié par le gouvernement qui y voit un outil propice au terrorisme, a confirmé son utilité dans la protection de la confidentialité et de la dissidence politique.
Lanceurs d’alerte : quand la menace vient de l’intérieur
Le geste du lanceur d’alerte anonyme fait assurément écho aux principes de lutte contre la corruption puisqu’il a permis de lever le voile sur les activités illégales et immorales d’hommes politiques et autres figures publiques. L’affaire pose néanmoins la question de la confidentialité et du rôle de l’hacktivisme, c’est-à-dire des cyberattaques motivées par des convictions politiques ou idéologiques. La divulgation de l’intégralité des documents, réclamée par certains, remet en cause le droit à la confidentialité des clients de Mossack Fonseca, en particulier de ceux qui n’ont rien commis d’illégal ou n’exercent pas de fonctions publiques. Avec l’hacktivisme, la prise de décision se situe hors du champ du système juridique. Que se passe-t-il si des hacktivistes agissent au nom d’entités ou de principes que nous jugeons déplorables ou dangereux ? L’atteinte à la vie privée de citoyens innocents doit-elle être considérée comme un dommage collatéral regrettable, mais nécessaire ? L’affaire des Panama Papers met en lumière le nouveau pouvoir dont jouissent les lanceurs d’alerte. L’avenir dépendra de la manière dont ils l’exerceront.
Les personnalités publiques ne sont pas les seules à craindre pour leurs secrets. Le cabinet Mossack Fonseca a exposé les informations sensibles de l’ensemble de ses clients, ruinant ainsi sa réputation en matière de respect de la confidentialité. Au vu de cet échec, chaque entreprise réévaluera probablement la sécurité de ses données et se demandera à qui faire confiance pour les stocker.
Il est tentant pour les entreprises d’envisager la cybersécurité sous un angle financier, et de considérer que seuls les numéros de sécurité sociale et les secrets industriels présentent de la valeur pour les pirates informatiques. Les pirates animés par des motivations politiques ou idéologiques sont les grandes inconnues de cette « équation du risque ». Avec le vol de données mis au jour dans le scandale des Panama Papers, les entreprises ont compris que toute information sensible constituait une cible potentielle pour les pirates, et que ces derniers n’obéissaient pas qu’à des motivations purement financières. Autrement dit, le rôle de la sécurité n’est plus de protéger « ce que nous pensons qu’ils veulent », mais « ce que nous ne voulons pas qu’ils sachent ».
La plus grande incertitude réside dans les données que les entreprises ne stockent pas elles-mêmes. Chaque entreprise collabore avec des partenaires avec qui elle partage des informations sensibles. Une entreprise moyenne échange des données en ligne avec 1 555 partenaires, et tous ne satisfont pas aux exigences de sécurité d’une banque ou d’un commerçant. Circonstance aggravante, les partenaires travaillent souvent avec plusieurs sociétés. Le piratage d’une seule boutique de services photo en ligne, par exemple, a eu des répercussions sur les clients de la quasi-totalité des plus grandes enseignes de drugstores d’Amérique du Nord.
Certains partenaires détiennent d’importants volumes de données confidentielles. Mossack Fonseca a stocké une mine de renseignements sur les secrets financiers de ses clients. Combien d’entreprises conservent d’énormes stocks de secrets professionnels ? Qu’il s’agisse de documents juridiques, de propriété intellectuelle ou de données financières, les entreprises traitent des informations qui pourraient s’avérer très compromettantes si elles tombaient entre de mauvaises mains, notamment celles de concurrents ou du public. Leurs méthodes et motivations gagnant chaque jour en complexité, les pirates informatiques ciblent des informations qui vont au-delà des données personnelles standard faciles à monétiser.
Pour preuve de cette tendance, des sources anonymes ont révélé que plusieurs grands cabinets d’avocats américains avaient été victimes de violations de données visant un grand nombre d’entreprises. Mossack Fonseca est loin d’être un cas isolé, comme l’a souligné un associé principal : « Les cabinets d’avocats ploient sous le nombre de tentatives de piratage de leurs systèmes ». L’attaque dont la société Target a été victime, par exemple, montre non seulement que les pirates peuvent infiltrer des entreprises par le biais de partenaires commerciaux, mais aussi que les partenaires commerciaux eux-mêmes détiennent à présent des informations convoitées par les pirates. Lors d’un autre incident, des criminels se sont attaqués à une agence de presse afin de pirater les informations financières figurant dans des communiqués de presse non encore publiés.
Quelle sera l’évolution du paysage professionnel dans un monde où les entreprises doivent se préoccuper de leur propre cybersécurité autant que de celle de la société chargée de diffuser leurs communiqués de presse ? Près de la moitié des entreprises n’évaluent pas le risque associé à leurs fournisseurs avant de leur transmettre des données. Une situation qui pourrait être en passe de changer. Les cabinets d’avocats reconnaissent prêter davantage attention à leur sécurité, mais il revient à tous les secteurs de tirer des leçons des erreurs commises par Mossack Fonseca. La firme panaméenne utilisait des logiciels obsolètes présentant des vulnérabilités critiques, y compris pour son portail utilisateur.
Si les motifs des fuites à caractère politique sont difficilement prévisibles, ce n’est pas le cas des attaques qui exploitent des vulnérabilités de base. Les entreprises traitant des informations sensibles auront de plus en plus de mal à échapper aux conséquences de mauvaises pratiques de sécurité. L’incident des Panama Papers est la parfaite illustration d’un nouveau monde où aucune société n’est un îlot numérique isolé. Les passerelles qui relient entre elles les entreprises présentent un risque potentiel. Toute faille de cybersécurité sur l’une de ces passerelles peut constituer une menace existentielle.