Chers Lectrices et Lecteurs
Voici les dV-News 08-2024 et leur sélection d’articles et liens. Dans cette édition nous voulons sonner une fois encore l’alarme. Deux faits récents motivent notre cri: les statistiques de la cybercriminalité en Suisse et le cas xz Utils. Ces deux sujets structurent ce 99ème billet et illustrent l’urgence pour la Suisse de disposer d’une «vision pour une société sûre, résiliente et souveraine au temps de la mutation numérique». Cette proposition, chaque jour plus impérative, était déjà au cœur de notre commentaire sur le RAPOLSEC 21. Il n’a pas été entendu.
La Suisse doit élever le débat du numérique et se doter d’un solide et durable avantage stratégique. Cessons de n’être que des suiveurs !
Notre travail vous est utile? Il vous inspire? Merci de le soutenir par un DON.
Depuis 2020 seulement, la Suisse dispose d’une statistique policière sur les cyberdélits. Lors de la première publication, l’Office fédéral de la statistique faisait état de 24’400 cas annoncés. En 2023, ce sont désormais 43’839 cas qui ont été rapportés par les forces de l’ordre, soit une augmentation de 80% en 4 ans. Entre 2022 et 2023, la progression a été de 31%. La plupart des délits sont de nature économique, avec 40’496 cas recensés, en hausse de 36,5% pour 2023. En cause, principalement l’escalade du phishing (+70%), l’utilisation frauduleuse de systèmes de paiement ou d’identités pour des escroqueries (+66%) et les arnaques liées aux petites annonces, où les objets payés ne sont pas livrés (+23,1%).
Prenons le risque de projeter une augmentation annuelle des cyberdélits de +5%. En 2030, la progression annuelle sera alors de +65% avec un total de près de 740’000 cyberdélits. Si cette progression se confirme, alors les chiffres qui seront publiés dans un an pour 2024 seront de 59’000 cas et de 83’000 pour 2025.
Exagéré? Alarmiste? Peut-être. En France, la progression depuis 2020 est de 400%. Selon Statista, la facture mondiale de la cybercriminalité atteindra 13’820 milliards $ en 2028, soit plus de 10% du PIB mondial. Et ce sont les pays riches qui seront le plus touchés. Selon le Bitkom, en 2022 ce sont 3.8% du PIB de l’Allemagne qui sont partis en fumée, soit 206 milliards €. Rapporté à la Suisse, c’est comme si nous avions en 2022 jeté par la fenêtre 5 fois le budget de l’armée. Quelle est la part due uniquement à la criminalité et celle due aux frictions géopolitiques et au cyber in war? Difficile à dire, mais les tensions mondiales croissantes ne vont pas réduire les risques.
Que traduisent ces chiffres? Une augmentation du nombre de cyberdélits ou du nombre d’annonces? Le reporting aux autorités pénales s’améliore, mais ces chiffres montrent sans aucun doute une augmentation des cyberdélits. Et ce n’est là que la pointe de l’iceberg, car la zone grise est importante. Il y a les cas non détectés et surtout les cas non annoncés. Selon le Département US de justice, seul un cas sur sept est annoncé aux autorités de poursuite pénale. Au moins 85% de la cybercriminalité reste ainsi cachée.
Ceux que ces chiffres dérangent trouveront toujours des excuses pour les relativiser et repousser les mesures qui s’imposent à plus tard, mais la conclusion qui s’impose est que les cyberdéfenseurs sont en passe de perdre la bataille. Facture salée en vue! Surtout avec l’accélération due à l’IA et à l’informatique quantique.
Depuis la création de digiVolution nous ne cessons d’alerter sur cette réalité, en insistant sur le besoin d’une approche holistique et systémique. En effet, les problèmes de sécurité de la société numérique ne sont pas que d’ordre technologique. Ils sont tout aussi largement provoqués par des problèmes politiques, de ressources humaines, matérielles ou énergétiques notamment.
Qu’est-ce qui est vraiment entrepris pour maîtriser cette situation qui porte tous les symptômes d’une catastrophe annoncée? Que faut-il faire pour que la Suisse se mette enfin à investir massivement dans de véritables solutions pour sa sécurité à l’ère numérique? Nous avons besoin de beaucoup plus de nouvelles idées.
La confiance, la résilience et la souveraineté numériques ne se construiront pas à coup de slogans, mais d’actions concrètes. digiVolution répète depuis sa création que ce sont là des sujets STRATÉGIQUES, VITAUX et URGENTS. Et de nombreuses propositions ont été formulées. L’Occident craint le déferlement de hordes de blindés russes. Dans quelques années peut-être, mais c’est maintenant que notre société est attaquée et de manière croissante là où elle est la plus faible, dans ses dépendances et vulnérabilités informationnelles et numériques. Il serait temps de se réveiller, de regarder les problèmes en face et de mettre de véritables priorités.
To prevent global catastrophe, governments must first admit there’s a problem [link]
BOOKS & REPORTS
Voici la liste des livres et publications d’intérêt découverts lors de nos recherches durant les dernières semaines. Vous les retrouverez sur dVPedia à la rubrique dVLibrary.
Open Source – Who is responsible?
Nous avons souvent évoqué le thème de la souveraineté, c’est-à-dire la capacité d’une entité (individu, organisation, entreprise, État) à décider et à agir en toute autonomie, donc aussi à assumer la pleine responsabilité de ses actes. Le quasi-incident récent xz Utils nous a incité à nous intéresser à la question des logiciels open source.
Vous pensiez que derrière chaque ligne de code se trouve une entité juridiquement responsable? Oubliez! Diverses communautés mettent certes du temps et des compétences à disposition pour élaborer du code mis ensuite gracieusement à disposition du public… MAIS!
Lorsque des bénévoles vont nettoyer des ruisseaux envahis de déchets, s’ils oublient quelques emballages ou bouteilles en plastique, ce n’est certes pas propre, mais c’est sans conséquence systémique. Lorsqu’en revanche des bénévoles développent du code que personne ne contrôle vraiment et que ces briques technologiques se retrouvent partout, jusqu’au cœur de notre vie et à notre insu durant des décennies, qui endosse quelle responsabilité en cas de dysfonctionnement?Pourtant les conséquences peuvent être énormes.
Les passionnés de l’open Source argumentent volontiers que la communauté veille au grain et s’autocontrôle. Mais qui se cache derrière ce terme. Un chevalier blanc? Un génie-zéro-défaut? Il peut aussi s’agir de loups déguisés en brebis nourrissant l’ambition de glisser quelques lignes malveillantes dans des briques logicielles essentielles à Internet et que seuls connaissent quelques individus. C’est ce qui est arrivé dans le cas xz Utils.
Les géants de la tech emploient des centaines de milliers de personnes pour développer leurs produits. Ils consacrent des efforts croissants pour produire du code exempt de failles. Malgré cela leurs produits sont perclus de fautes et la situation ne semble pas s’améliorer dès lors que l’IA s’en mêle. Surtout si les géants de la tech eux-mêmes sont négligents en matière de sécurité. Mais au moins sont-ils juridiquement responsables pour leurs produits.
Les vulnérabilités sont (en principe) corrigées par les éditeurs au fur et à mesure des trouvailles. Beaucoup découvertes par nous, les utilisateurs (payants) / bêta-testeurs. Lorsqu’un patch est publié, il est impératif de le déployer au plus vite dans sa propre infrastructure, car les malveillants lisent aussi les publications sur les vulnérabilités et leurs correctifs ; ils savent donc en même temps que nous quand notre sécurité est compromise. Malheureusement il est courant qu’entreprises comme particuliers mettent des jours, des mois, parfois même des années avant de réagir. Et pendant ce temps, les vilains se baladent !
Et dans le monde de l’open source, cela se passe comment? Quels sont les processus? Qui est responsable? Il est fort probable qu’il n’y ait personne au bout du fil. Et est-ce que la communauté produit moins de bugs que l’industrie? Comme le démontre le cas xz Utils, une collection de librairies sous Linux et de nombreux systèmes Unix pour compresser les données, l’open source n’est pas immunisé contre les bugs et ceux-ci peuvent être fortuits, mais aussi intentionnels.
Le hasard a voulu qu’un programmeur découvre une porte dérobée installée par une main probablement étatique dans une de ces briques logicielles ignorées du grand public, mais déployées à l’échelle mondiale pour la maintenance des serveurs. Ce logiciel produit par quelques bénévoles a été manipulé et s’est trouvé à un cheveu d’être distribué avec des fonctions malveillantes. Les concepteurs de cette faille auraient pu ensuite, sans opposition, accéder à un nombre incalculable de systèmes, dans le monde entier.
Qui est responsable de la qualité de ces logiciels libres? Savez-vous qu’en surfant sur le net avec vos processus les plus vitaux, ceux-ci dépendent d’un socle dont vous ne savez rien, pour lequel personne n’est officiellement en charge, contrôlé et comptable en cas d’incident ?
S’exprimant sur ce cas xz Utils le «pape» de la cybersécurité, Bruce Schneier, parle de chance que cette porte dérobée ait pu être découverte à temps. Mais il écrit également qu’il ne s’agit certainement pas d’un cas isolé. Mais peut-on subordonner la sécurité de nos processus vitaux à des amateurs, à la chance ou à la roulette?
Finissons sur un peu d’humour: en informatique on connaissait les Easter eggs. Maintenant il y a les cyberpoissons d’avril.
C’est tout pour cette édition. Nous espérons qu’elle vous a plu. Nous vous souhaitons une enrichissante découverte des articles et liens sélectionnés et vous retrouverons dans 15 jours.
Merci de souscrire à dVPedia et ainsi de soutenir son développement au profit de tous.
