WannaCry et le chiffrement

On vient de nous proposer d’écrire un court texte pour le Mobile Ecosystem Forum à propos de l’attaque Wannacry, ce virus qui chiffre votre disque dur et demande une rançon en échange. L’article vient d’être publié en anglais, mais nous nous sommes dit qu’une version un peu plus étoffée et en français pourrait intéresser la communauté Cozy Cloud.

La question du MEF était : « Que devrions-nous faire en tant qu’industrie du numérique pour mieux nous préparer face à de telles attaques, et comment protéger les consommateurs ?». Voici notre réponse :

En tant qu’industrie, il nous appartient de nous souvenir de la fameuse citation de la BD (et du film) Spiderman[1] : « avec de grands pouvoirs viennent des grandes responsabilités ». Le pouvoir du numérique, notre pouvoir, augmente au fur et à mesure que le logiciel dévore le monde. Nous devons mieux travailler pour fournir des logiciels plus sécurisés, des produits plus faciles à mettre à jour pour rester en sécurité. Nous devons tout autant fournir une meilleure information et formation à nos utilisateurs.

great_power_great_responsibility.jpg

Mais il y a quelque chose d’aussi important que cela mais de moins évident, qui peut être décrit en deux parties.

Premièrement, souvenons nous que le rançongiciel WannaCry a été rendu possible parce que la NSA américaine a créé un outil d’attaque informatique appelé EternalBlue, qui repose sur un bug dans Windows de Microsoft. La NSA aurait pu choisir de communiquer l’information sur le bug de façon à ce que Microsoft le corrige dans Windows. Ainsi, les utilisateurs auraient été protégés contre une telle attaque. Mais la NSA en a décidé autrement, a gardé l’information pour elle et a mis les utilisateurs en danger.

Le second problème est que la NSA s’est fait voler son arme technologique EternalBlue. Les pirates ont utilisé EternalBlue pour créer le raçongiciel WannaCry. Ceci prouve que même les plus riches agences gouvernementales n’arrivent pas à conserver un secret. Le directeur juridique de Microsoft le dit avec des mots très durs :

Si on transpose ça dans le cadre d’armes conventionnelles, c’est comme si l’armée américaine s’était fait voler plusieurs missiles Tomahawk.

Au même moment, des gouvernements nous expliquent que le chiffrement fort est gênant dans l’exercice de leurs fonctions, et qu’il faudrait passer à un chiffrement à deux vitesses, pour lequel le gouvernement disposerait de clés spéciales. Pour eux, en possession de telles clés, déchiffrer les communications serait facile, mais cela resterait presque impossible pour tout le reste du monde. Mais on l’a vu encore et encore, et WannaCry n’est qu’un exemple supplémentaire, les gouvernements n’arrivent pas à garder de tels secrets. Les clés spéciales finirons par fuiter, ce qui veut dire que le chiffrement fort deviendra d’un coup faible. La sécurité informatique ne sera plus qu’un bon souvenir. On ne pourra plus avoir confiance dans quoi que ce soit qui utilise le numérique. Plus de transactions bancaires sécurisées, par exemple. En d’autres mots, l’économie du monde s’arrêtera dans un grands fracas.

Aussi, l’attaque WannaCry prouve une chose : en tant qu’industrie, nous devons tenir bon et refuser de dégrader la force du chiffrement, nous devons refuser les clés spéciales pour le gouvernement.

En tant qu’industrie, nous devons protéger le chiffrement fort, parce qu’avec de grands pouvoirs viennent de grandes responsabilités.

Note

[1] On notera que la citation vient de l’oncle de Spiderman, Ben, qui contrairement à ce qu’on a pu croire, n’est pas producteur de riz !