Le Canard hoquette

Résumons : un fichier CSV en Full Access sur Internet contient des coordonnées (plutôt à jour) du gotha de la cybersécurité en France : le RSSI de la présidence de la République, une brochette de militaires en tout genre, des RSSI – ou Ciso – de grands groupes du CAC 40, et j’en passe. Comment Le Canardest-il tombé sur ce fichier ? Tout simplement en lançant une requête sur Bing avec les mots-clés « Clusif » et « CSV », rien de très compliqué. Passé la lecture de l’article, on est plutôt déçu : on s’attendait à des révélations fracassantes sur la vie intime d’un RSSI de premier plan en cheville avec un ancien garde du corps de l’Élysée (c’est à la mode), mais rien de tout cela, nada. L’article est médiocre : le journaliste devait sûrement être rentré trop tard de son week-end à La Baule et devait pondre quelques centaines de mots sans l’ombre de la queue d’une idée, et il est tombé là-dessus. 

Tout d’abord, le Clusif n’est pas « un as de la cyberdéfense », malgré tout le respect qui lui est dû. Le Clusif est une association Loi 1901 qui ne compte que quelques salariés et dont l’objectif (si l’on en croit le site Web) consiste à « favoriser les échanges d’idées et de retours d’expériences au travers de groupes de travail, de publications et de conférences thématiques ». C’est donc une plateforme d’échanges dont la mission est très utile (les publications du Clusif sont de grande qualité) et en aucun cas l’on n’a affaire à la NSA ou à une officine de barbouzes bardés d’électronique et de gadgets qui clignotent.

Ensuite, on se demande vraiment si le journaliste s’est relu avant d’envoyer son papier à la rédaction. Il a trouvé les coordonnées complètes du RSSI de la présidence. Ouaaaaaahh, génial ! En quelques clics il est possible de les récupérer sur Internet ; le poste n’est pas confidentiel. D’ailleurs, si le journaliste avait un peu creusé, il saurait que la Cada oblige les administrations à fournir la liste de leurs agents sur simple demande. L’info est donc réchauffée, cramoisie de chez cramoisie. Idem pour le reste des coordonnées et des individus qu’il mentionne. Au passage, je signale au journaliste que les satellites espions actuels sont capables de lire les décorations sur l’uniforme d’un militaire, il y a donc belle lurette que le numéro de GSM du RSSI susnommé est connu de tous. La plupart des informations contenues dans le fichier CSV sont quasi publiques (en tout cas celles dont il est fait état), et la seule « entorse » commise par le Clusif est d’avoir été un peu léger avec le RGPD, ce qui ne casse pas trois pattes à un canard.

En revanche, il faut faire feu de tout bois, et je me suis empressé de taper la requête équivalente pour mon CHU : ouf, rien à trouver dans les premiers scores du moteur de recherche. Et de fil en aiguille surgit la réflexion autour de la veille en cyberintelligence, domaine sur lequel, au moins dans le monde de la santé, nous sommes pour la plupart au degré zéro. Entendre par là disposer de robots qui scrutent le Web pour détecter soit des fuites de données équivalentes à celles qui sont citées dans l’article (il y en a), soit des tentatives de siphonnage d’informations constituant par exemple un début d’usurpation de l’identité d’un VIP (fraude au président), etc. La société XMCO a présenté un tel produit il y a quelques années aux Assises de la sécurité de Monaco, et il existe des outils Open Source tel Maltego qui permettent de réaliser ce genre d’opérations. 

Ce type de « veille » SSI rentre dans le paradigme de la SSI en continu – à l’opposé de la stratégie qui consiste à faire des audits ponctuels à toutes les calendes grecques. Il reste juste à trouver un modèle économique viable qui permette à la fois une rentabilisation des outils proposés et des tarifs à la portée des bourses des hôpitaux, ce qui n’est pas une mince affaire.