L’actualité cyber, et la théorie de la paille et de la poutre

On commence par cette discussion privée que j’ai eue avec un confrère officiant dans le monde des TPE/PME (hors santé), lequel s’interroge sur la meilleure façon de déployer les bonnes pratiques cyber dans un secteur qui, dans le meilleur des cas, ne les connaît pas, dans le pire, s’en fiche comme de l’an 40. Hormis la sensibilisation avec des illustrations de cas de PME qui ont mis la clé sous la porte à la suite d’une cyberattaque (ce ne sont pas les exemples qui manquent) et un petit test d’intrusion avec pour objectif de montrer devant le board les messages confidentiels échangés sur les sujets stratégiques (très efficace), je n’ai aucune solution. Enfin, je veux dire, à part laisser Charles s’en occuper. Charles Darwin bien sûr.

On enchaîne avec un document de travail soumis à concertation de la Cnil sur la protection des DPI. Document très complet, comme toujours venant de cette institution, mais qui interroge sur deux aspects. Le premier est de considérer que la sécurité des données de santé s’apparente à la confidentialité (ben non, désolé, ce n’est pas ce que dit le RGPD). Le second est de revenir, une énième fois depuis au moins deux décennies, sur la nécessité de chiffrer le DPI. On répète, encore une fois, que chiffrer n’est pas une fin mais un moyen, et que ce moyen est la réponse à un besoin. Pour illustration, si le besoin est d’empêcher un cambrioleur de partir avec le disque dur et les données en clair sous le bras, le chiffrement bas niveau (firmware, disque ou OS) suffit, mais s’il s’agit d’empêcher les informaticiens de voir les données, c’est une autre paire de manches. Le RGPD précise bien qu’il faut partir des risques, en promouvant le chiffrement, hors de toute analyse de risque, on assiste à une inversion de la preuve.

On continue avec Trump, et là faut ralentir parce que j’ai du mal à suivre.

Bon, qui n’a pas glissé par erreur le mauvais contact dans une liste de diffusion WhatsApp ou Facebook, hein ? Là, c’est Signal, c’est le top management US qui discute des bombardements en cours et critique ces couillons d’Européens. C’est ballot quand même, j’vous raconte pas la tête des ambassadeurs US à l’étranger quand ils vont se retrouver en réunion devant leurs homologues français, allemands, etc.

Mais si ça s’arrêtait là… Ben non, justement. Le magazine Der Spiegel a découvert qu’avec un minimum de recherche on pouvait assez facilement tomber sur les mots de passe de ces personnes sur les réseaux sociaux et les messageries Gmail, et que le pire est l’absence totale de réaction des intéressés. Je me demande d’ailleurs si le principal problème, en l’espèce, c’est la faille ou bien la communication désastreuse de Trump et son équipe (mettre en cause le chiffrement Signal et les bugs – ben alors pourquoi vous l’utilisez bande de truffes ?).

On l’a plus ou moins oublié, mais en 2016 Hillary Clinton, en pleine campagne présidentielle, s’est fait embarquer dans un scandale sur l’utilisation de sa messagerie privée pour communiquer sur des sujets sensibles, et son compétiteur de l’époque n’avait pas manqué de lui enfoncer la tête sous l’eau à ce propos : le même renard à franges d’aujourd’hui. C’est ça, la paille et la poutre en cyber.

Manquerait plus que les Doge Boys, qui sont en train d’agréger une des plus grosses masses de données sur les citoyens US pour « faire des économies » (je sais c’est idiot), aient été légers dans la protection de ces données. Quand on voit les têtes d’ados boutonneux à la manœuvre, pas sûr que la sécurité des données soit leur principale motivation. D’ici à ce que des lutins malicieux lisant la Pravda tentent d’accéder à ladite base… j’dis ça, j’dis rien.

Au milieu de tout cela, les news concernant la fin de 23andMe (votre ADN a été perdu à jamais) et une nouvelle tendance qui consiste à mettre un traceur sous la voiture d’un gugusse au hasard dans la rue pour savoir où il habite (si vous avez une voiture à 100 kiloeuros, possible qu’on veuille vous piquer vos clés en mode home jacking et plus si affinités) passeraient presque inaperçues.

Souriez, vous êtes en 2025.