En cybersécurité, « la maîtrise totale est sans doute totalement hors de portée »

La cybersécurité est un très vaste domaine. Il englobe notamment le respect de la vie privée, de nouveaux systèmes qu’on « ne maîtrise pas complètement », les détournements d’intelligence artificielle ou la sécurité matérielle. Plusieurs chercheurs spécialisés font le point sur ces différents aspects.

Dans la foulée de l’annonce du plan Cyber, les trois organismes de recherches – CEA, CNRS et INRIA) impliqués dans la gestion du Programmes et équipements prioritaires de recherche (PEPR) ont organisé une conférence commune. Une demi-douzaine de chercheurs y a détaillé les six grands piliers de la recherche en cybersécurité.

Nous sommes déjà revenus en détail sur deux d’entre eux – codage et cryptographie ainsi que les méthodes formelles – nous nous penchons désormais sur la suite avec la protection de la vie privée, la sécurité des systèmes et des logiciels, celle des données multimédia et enfin celle des systèmes matériels.

Un point d’autant plus d’actualité que de nouvelles failles ont été identifiées dans des processeurs Intel… Dernier épisode (pour le moment) d’une longue série.

Notre dossier sur le plan Cyber : 

• Cybersécurité : on peut prouver que « la sécurité parfaite n'existe pas »
• Cybersécurité : le miroir aux alouettes de l’open source, la confiance dans les composants
• « Un jour ou l'autre on sera attaqué » : cryptographie et méthodes formelles au chevet de la cybersécurité
• En cybersécurité, « la maîtrise totale est sans doute totalement hors de portée »

Vie privée et cybersécurité ne font pas toujours bon ménage

Ludovic Mé, adjoint au directeur scientifique d’Inria en charge du domaine de recherche Cybersécurité, commence par donner une définition large de la notion de respect de la vie privée : ce sont les « données personnelles qu'on cherche à protéger, celles qui peuvent avoir un lien avec une personne ».

Une des pistes est « l'unlinkability », c’est-à-dire le fait de ne pas pouvoir lier entre elles des actions qui seraient réalisées par une même personne. Pour le chercheur, ce domaine de la cybersécurité à « des propriétés très, très, très particulières et qui d'ailleurs ont même parfois une certaine tension avec d'autres mécanismes de sécurité ». 

Afin d’assurer leur sécurité, les systèmes vont chercher à détecter et à surveiller la moindre menace. Or, « si on surveille, on voit qu'il peut y avoir une tension avec la protection de la vie ».

L’anonymisation, ce n’est pas seulement enlever un nom

Pour Ludovic Mé, l’anonymisation est « un problème extrêmement difficile » qui va au-delà du simple fait d’enlever un nom. Cette technique basique « ne marche pas » affirme-t-il, et on ne peut qu’être d’accord avec lui.

En effet, on peut le plus souvent retrouver l'identité de quelqu'un à partir de quelques bribes d’informations seulement : « l'exemple que j'entends souvent, c'est celui de trois dates de naissance : une personne et deux de ses enfants ; ça identifie une personne en France ». 

La date de naissance n’est qu’un exemple parmi tant d’autres. Sur Internet, certains se font une spécialité de pister les utilisateurs dans leurs moindres déplacements, puis d’utiliser ses données à des fins publicitaires par exemple. Les techniques sont nombreuses et peuvent passer par une « empreinte digitale » de l’appareil.

Comment éviter le « grand Satan » centralisé 

Il existe actuellement des travaux théoriques sur la protection de la vie privée, avec « des applications pratiques pour faire de l'anonymisation avec une certaine garantie », mais le scientifique n’entre pas trop dans les détails techniques. Il cite le cas des méthodes formelles et de la confidentialité différentielle, « qui consiste en quelque sorte à brouiller les données tout en leur gardant une valeur d'utilité ».

Une autre piste explorée par un certain nombre de chercheurs concerne la distribution des données : « Là, l'idée, c'est bien sûr d'éviter le "grand Satan" centralisé et, pour cela, rendre la souveraineté des données aux utilisateurs et aux propriétaires de ces données ». Le principe est séduisant sur le papier : « Au lieu de mettre nos informations sur je ne sais quel cloud, on va avoir nos informations en local sur nos machines ».

Pour néanmoins pouvoir les exploiter dans leur ensemble, « on va avoir un mécanisme algorithmique distribuée qui va nous permettre » de le faire. On rejoint alors le chiffrement homomorphe – des algorithmes fonctionnant sur des données chiffrées et donnant des résultats utiles – sur lequel la DARPA vient de lancer pas moins de quatre unités de recherche, dont une menée par Intel.

Cas pratiques : IoT trop bavard, droit à l’oubli très compliqué 

Le respect de la vie privée passe aussi par une analyse plus fine de certains modes de fonctionnement, notamment dans le cadre de l'Internet des objets. Le scientifique prend en exemple une simple ampoule connectée :

« On sait que ça envoie plein plein d'informations sur un serveur américain. La plupart du temps, il n'a peut-être pas forcément besoin d'envoyer toutes ces informations. Donc, le principe de minimisation de l'information pour l'envoi n’est certainement pas respecté. »

Un problème que nous avons déjà évoqué dans nos tests et notre second magazine, plus large que la notion de vie privée puisqu’il oblige parfois à passer par un serveur tiers sur Internet pour allumer/éteindre une ampoule sur le même réseau local… et peut donc ne pas fonctionner en cas de coupure.

Enfin, Ludovic Mé revient sur « l'importance de la réglementation et la question de la conformité de ce qu'on propose vis-à-vis de cette réglementation ». Le chercheur explique qu’on se retrouve en effet parfois dans « l'impossibilité d'implémenter quelque chose qui est recommandé, on pense par exemple au droit à l'oubli : c'est facile à dire, mais c'est extrêmement compliqué à réaliser d'un point de vue technique ».

La sécurité des systèmes qu’on « ne maîtrise pas complètement »

Le chercheur de l’Inria enchaine avec le quatrième pilier du plan PEPR : le très vaste domaine de la sécurité des systèmes, des logiciels et des réseaux. Il couvre à la fois des aspects fondamentaux et algorithmiques, comme les protocoles informatiques et cryptographiques. Il entre en piste quand de nouveaux paradigmes arrivent, « tels que les registres distribués de confiance […] à l'exemple de la blockchain ».

Ludovic Mé s’explique : « On a vu apparaître de nouveaux objets qu'on ne maîtrise pas complètement, qu'on ne comprend pas complètement et sur lesquels il faut raisonner pour être capable d'apporter des preuves de propriété. C'est un travail qu'il faut conduire dans ce domaine de la sécurité, des systèmes, des logiciels et des réseaux [...] c'est en fait très, très, très compliqué, la maîtrise totale est sans doute totalement hors de portée ».

Un autre exemple de ce domaine concerne l'identification des utilisateurs sur les machines, que ce soit en local ou à distance. Cette procédure est importante, car elle est « souvent la base du contrôle de l'accès aux informations ». Sans surprise, il rappelle que, de manière générale, on a toujours besoin d'améliorer la sécurité des machines.

C’est vrai à tous les échelons : « Ça démarre au niveau du hardware, ça passe par le système d’exploitation et souvent on a besoin d'ajouter sur nos systèmes un petit dispositif hardware qui va être une racine de confiance et permettre de démarrer dans un mode intégré le système d’exploitation ». Cette pièce supplémentaire « sera vraiment la source de toute la confiance »… il faut donc qu’elle soit à l’épreuve des attaques. 

La sécurité des systèmes, des logiciels et des réseaux passe aussi par de la prévention. De manière générale, le triptyque « surveillance, détection et réaction à chaud sont extrêmement importantes ». Plus un problème est détecté rapidement, plus les conséquences peuvent être limitées et le retour à la normale rapide.

Multimédia : des fake news aux véhicules autonomes 

Gildas Avoine, professeur à l'INSA Rennes, prend la relève pour la cinquième partie : les données multimédia (vidéo, photos, bande audio). Un domaine qui prend de l’importance depuis des années dans notre « société de l'image », et qui est amplifié par le télétravail sur fond de crise sanitaire mondiale.

Il commence par revenir sur la protection de la propriété intellectuelle. Cela peut prendre plusieurs formes, notamment « faire en sorte que dans un cinéma quelqu'un ne puisse pas prendre la vidéo d'un film et ensuite la diffuser sur Internet », du moins sans que l’on puisse remonter sa trace. Une des pistes est ce qu’on appelle le traçage de traîtres : « Est-ce que je suis capable de retrouver au moins dans quelle salle de cinéma elle a été prise ».

L’enjeu était de « protéger » le contenu sans en dégrader la qualité. Pour cela, on peut appliquer un « tatouage » sur les images. Cette technique peut également être utile pour des visioconférences ou des conférences audio confidentielles. En cas de fuite, le tatouage peut permettre de remonter au « traitre » supposé, tout au moins d’identifier le flux fautif pour continuer les investigations.

Autre sujet : la manipulation d'images ou de son, des techniques popularisées par les Deep Fake. Les chercheurs travaillent depuis longtemps sur des systèmes permettant de « détecter qu'une image a été manipulée » pour lutter contre la désinformation, un jeu du chat et de la souris quasi permanent.

Dans les laboratoires de recherche, on travaille aussi sur les techniques de classification d'images par des algorithmes. Un exemple parlant concerne les véhicules autonomes où un capteur récupère une image de son environnement. La question est de savoir si un « attaquant est capable d'envoyer une fausse information pour faire en sorte que cet algorithme d'intelligence artificielle fasse une mauvaise classification de l'image et va reconnaitre un objet plutôt qu’un autre ». Les conséquences peuvent être terribles en cas de mauvaise détection.

On peut citer l’accident mortel avec une Tesla qui n’avait pas correctement identifié un camion perpendiculaire à la route et n’avait donc pas freiné (le conducteur non plus d’ailleurs). Outre-Atlantique, deux enquêtes ont été ouvertes par le National Highway Traffic Safety Administration (NHTSA) et le National Transportation Safety Board (NTSB)… avec des conclusions différentes.

• Accident mortel : le NTSB pointe du doigt le pilote automatique de Tesla
• Accident mortel : Tesla hors de cause selon la NHTSA, qui vante le pilote automatique

Le dernier point concerne la biométrie à des fins d'authentification : « On a encore beaucoup de chemin à faire […] avec en particulier un champ qui s'ouvre aujourd’hui, la biométrie comportementale », c’est-à-dire qu’elle est dynamique, contrairement à une empreinte de doigt, un iris, etc. Gildas Avoine rappelle que la biométrie se retrouve souvent dans des systèmes embarqués, nécessitant donc une sécurité renforcée du matériel.

La sécurité matérielle à ne SURTOUT pas négliger

Et c’est justement l’objet du sixième et dernier pilier du PEPR. Jacques Fournier, chef du laboratoire de sécurisation des objets et systèmes physiques du CEA Leti, explique que la partie matérielle est la pierre angulaire de la cybersécurité. En effet, toutes les problématiques que nous venons d’évoquer « passent sur du matériel », il faut donc mesurer le risque qu’il représente et ne pas le prendre à la légère :

« Des algorithmes cryptographiques sûrs vont tourner sur des processeurs, sur du matériel. Ce qu'on voit en pratique, c'est que lorsque les clés cryptographiques associées à ses algorithmes sont manipulées par le matériel, le matériel laisse fuir des informations sur ces clés cryptographiques ».

Même avec un algorithme parfait et inviolable, si on récupère les clés, les protections s’effondrent. Les failles dans les processeurs en sont un parfait exemple avec Spectre-Meltdown et les multiples variantes découvertes depuis.

Historiquement la recherche sur la sécurité matérielle vient du monde de la carte à puce, mais « cette problématique est amplifiée avec le fait qu'on rend tout et n'importe quoi connectables », explique Jacques Fournier. Il reconnait qu’il y a de nouveaux objets connectés qui apportent des services – notamment dans le milieu médical – mais ajoute qu’il « faut regarder les enjeux liés à ces objets et au fait de les rajouter sur nos réseaux ».

Là aussi les exemples de failles conduisant à de terribles conséquences ne manquent pas : Mirai, piratage de lampes connectées, etc. les exemples ne manquent pas. Dans le monde de la recherche, trois grands axes sont étudiés pour renforcer la sécurité de la partie matérielle : 

• Comment sécuriser les systèmes existants
• Protéger les objets de demain
• Développer des technologies et des outils pour donner confiance aux utilisateurs

Quid de la cyber-riposte ? 

La question d’une cyber-riposte est venue sur le tapis durant la session de questions-réponses avec les chercheurs. Gildas Avoine rappelle que cette « arme » est la « prérogative du ministère des armées, ce n’est pas du domaine du civil » et cela ne concerne donc pas les équipes de recherche dont il est actuellement question. 

« Ça ne veut pas dire qu'on ne s'intéresse pas aux attaques. Quand on construit des systèmes, on doit essayer de les attaquer pour s'assurer de leur résistance », ajoute-t-il. Il y a donc bien des tentatives de cyberattaques menées, mais pas dans le cas « d'une riposte », uniquement pour tester ses propres défenses.