Jean-Jacques Quisquater : Zero Days

Vous qui êtes expert en cryptographie, quelle impression d’ensemble vous a laissé le documentaire « Zero Days » ?

Dans un premier temps, je vous répondrai de manière globale et ensuite, je serai plus spécifique. La plupart des films sortis récemment sur ces sujets techniques, qui touchent à la cryptographie et à la sécurité des données, « The Imitation Game » et « Snowden » par exemple, correspondent à différents époques mais sont intimement liés sur le fond. Entre Alan Turing et la machine Enigma et l’affaire Snowden, il y a une continuité. En tant qu’expert, la manière dont le cinéma traite ces sujets me pose problème en ce sens que très souvent, ces films se focalisent sur un ou plusieurs aspects, les simplifient, en omettent volontairement ou involontairement d’autres, voire inventent totalement certains évènements. S’agissant du biopic d’Alan Turing, par exemple, même si cinématographiquement, j’admets qu’il était particulièrement captivant, toute la fin est fausse et les faits relatés dans le film concernant les activités de Turing entre 1943 et 1945 ne correspondent en rien à la réalité. La personnalité même d’Alan Turing a été totalement déformée, et je peux en attester, puisque je connais personnellement son neveu. Pour « Snowden » même constat : certains éléments ont été escamotés ou demeurent très peu clairs pour un public non averti. (À titre de comparaison, « Citizenfour », le documentaire réalisé par Laura Poitras sur Snowden et oscarisé en 2015, rend compte des faits avec une bien meilleure acuité et une plus grande justesse.) D’une manière générale, tous ces films donnent l’impression au spectateur que la réalité est unifiée (ce que fait d’ailleurs aussi « Zero Days »), alors que dans les faits, elle ne l’est pas. Elle s’avère même beaucoup plus complexe. Tout ceci me donne donc le sentiment, qu’au final, on est un peu manipulé. Par qui, par quoi, je l’ignore mais c’est en tout cas l’impression générale que me laisse ce type de films. S’agissant de « Zero Days », je l’ai trouvé trop américain eu égard au point de vue qu’il adopte. Les réactions du public du Ramdam ont d’ailleurs été assez révélatrices à cet égard car le documentaire pourrait laisser penser que l’on ne fait rien en Europe. Or, ça, ce n’est pas vrai : la Grande-Bretagne et la France ont fait de très gros effort dans ce domaine. Ce qui est vrai, par contre, et qui est plus inquiétant, c’est que l’on ne fait pas grand-chose en Belgique.

Parlant du public du Ramdam, ses réactions vous ont-elles surpris ?

J’ai été assez étonné de constater que la salle était archicomble à une heure aussi tardive pour un sujet aussi complexe. Le nombre de personnes présentes pour suivre le débat qui s’en est suivi était d’ailleurs aussi impressionnant. Mais, même si j’étais face à un public qui avait fait la démarche volontaire de s’informer, j’ai constaté que les spectateurs prenaient très au sérieux la situation. Il y a quelques années encore, on aurait dit que mon propos était exagéré ou l’on m’aurait qualifié de paranoïaque, cela n’est nullement ressorti des échanges que j’ai pu avoir avec le public du Ramdam, ce qui est un fait relativement neuf pour moi. De manière générale, on ne peut certes pas encore dire que la prise de conscience citoyenne soit totale mais j’ai toutefois remarqué que depuis les révélations faites par Snowden, la perception du grand public quant aux capacités de surveillance d’un État et à ses dangers en termes démocratiques a significativement changé.

Comme vous le soulignez, « Zero Days » est formellement très américain et charge particulièrement les services de renseignements américains. Cependant, la mise au point du malware (logiciel malveillant) Stuxnet », qui s’inscrit dans une opération baptisée « Olympic Games », a été menée conjointement par les États-Unis et Israël.

Ce qu’il faut savoir à l’égard de Stuxnet (qui n’est d’ailleurs peut-être pas le vrai nom de ce malware) et que le documentaire ne révèle pas, c’est qu’Israël tenait absolument à ce que cette attaque demeure totalement secrète. Or, il s’avère que certaines maladresses ont été commises, ce qui a permis de révéler au grand jour les faits relatés dans « Zero Days ». Mais ces maladresses (peut-être volontairement commises) ont permis aux Américains de démontrer à Israël qui étaient vraiment les maîtres de l’opération.

Y aurait-il donc eu une forme de « concurrence » interne ou de dissension entre les États-Unis et Israël qui se serait développée au cours de l’opération et qui, stratégiquement, aurait permis aux services américains de faire montre d’une certaine souveraineté à l’égard d’Israël ?

C’est vraisemblablement ça même si l’on ne peut être totalement certain que ces manquements relevaient dès le départ d’une stratégie. Cependant, il s’avère que les conséquences de cette fuite ont été mal évaluées et sont très graves. Cette fuite a ouvert la boite de Pandore et désormais, « pratiquement tout le monde » pourrait faire la même chose, voire pire ! Stuxnet n’est que le premier élément de toute une chaîne dont les États-Unis ne sont absolument plus maîtres. Les services américains ont clairement joué aux apprentis sorciers dans toute cette affaire. De plus, l’opération n’a pas atteint son objectif de départ, qui était d’arrêter l’Iran dans sa course au nucléaire : les installations nucléaires visées n’ont pas été totalement endommagées, l’Iran s’est repris et a attaqué les États-Unis. Depuis lors, (ce que ne montre pas non plus « Zero Days »), il y a eu une négociation entre les deux pays, et Israël estime d’ailleurs que cet accord est contre lui (ce qui renforce d’ailleurs la dissension politique que je viens d’évoquer). Mais ce traité, négocié sous le gouvernement d’Obama, ne signifie pas pour autant la fin de tout car il suppose seulement une mise en sourdine de l’armement nucléaire en Iran pour une durée de dix ans. Ce n’était clairement pas l’objectif d’Israël qui visait à arrêter totalement l’Iran dans ce domaine et qui, aujourd’hui, s’estime dupé par le traité signé en les États-Unis et l’Iran. Enfin, dernièrement, Donald Trump a évoqué la possibilité de remettre en cause ce traité mais on ignore à ce jour ce que le Président américain nous réservera vraiment. Vous me direz que tout ceci relève plus de la politique que de la cyberguerre, mais c’est lié ! Et comme le souligne le documentaire à la fin, en la matière, il n’y a aucune règle, aucun traité. D’ailleurs quand bien même existerait-il un traité dans ce domaine, reste à voir qui voudra bien le ratifier, qui en respectera les règles et comment en assurer le contrôle. À titre de comparaison, un traité existe en matière d’utilisation des armes chimiques mais il n’a pas été signé par tous les États et le respect de celui-ci est loin d’être effectif sur le terrain comme on l’a vu récemment en Syrie.

Vous nous confirmez donc la perspective inquiétante que nous laisse entrevoir la fin du documentaire, laquelle envisage une escalade des conflits et une spirale sans fin en matière de guerre informatique ?

Tout à fait ! L’opération « Stuxnet » a coûté très cher : rien que pour les États-Unis, selon les chiffres circulant dans les services, on atteint les 600 millions de dollars, et si l’on évalue l’ensemble de l’opération, on dépasse vraisemblablement les 2 milliards de dollars. Sa mise au jour a provoqué une accélération des conflits potentiels. S’il ne fait nul doute que ce type de logiciel aurait été développé un jour ou l’autre, sa révélation précoce sur le marché a indéniablement accéléré le cours de l’histoire en permettant à n’importe qui de faire la même chose, voire même de faire pire, je le répète ! À titre d’exemple, un malware du nom de Regin, qui relève d’une sophistication encore plus élaborée que celle de Stuxnet, mais probablement mis au point par les mêmes services, a été identifié il y a quelques temps. Les dégâts potentiels que peut faire ce malware sont potentiellement plus grands car, à la différence de Stuxnet, qui avait été développé pour saboter des grandes infrastructures industrielles, Regin est susceptible de s’attaquer à n’importe qui, qu’il s’agisse de personnes, d’installations ou d’États. Par ailleurs, il faut souligner que si une guerre nucléaire ne demeure à la portée que de quelques nations, une cyberguerre peut, quant à elle, être le fait d’un groupe relativement restreint d’individus. Il suffit d’une cinquantaine, voire d’une centaine de personnes assez qualifiées dans le domaine pour mener une guerre informatique susceptible de faire énormément de dégâts. Ce serait potentiellement pire que ce que fait l’État Islamique pour le moment. Imaginez par ailleurs qu’un petit groupe de terroristes suffisamment compétents en la matière se rassemblent et décident de lancer une cyberguerre ; cela pourrait vraiment être très grave.

Dans cette perspective, on ne peut s’empêcher, en tant que citoyen lambda, de s’étonner de la contradiction présente entre d’une part, les moyens colossaux dévolus à un malware comme Stuxnet ainsi qu’aux dégâts qu’il a été capable de faire, et d’autre part, l’incapacité des États à endiguer efficacement le terrorisme.

Je vous répondrais que le problème que vous évoquez est similaire à la guerre qui a opposé les États-Unis au Viêt-Nam du Nord. À savoir que les Américains étaient confrontés à des guérilleros qui ont mené leur combat avec des moyens que l’on pourrait erronément considérer comme primitifs mais qui, au fond, ne l’étaient pas car ils étaient parfaitement adaptés à la réalité du terrain. C’est un peu ce qu’il se passe maintenant en matière de terrorisme. Non seulement, en matière de télécommunications, ces groupuscules prennent toutes les mesures pour ne pas se faire intercepter (et je ne suis pas certain que la nouvelle loi belge sur les cartes SIM va effectivement faire changer les choses) mais aussi, en termes logistiques, ils se sont adaptés, tels des caméléons, à la réalité du terrain en ayant recours à des « vieilles » méthodes, qui les rendent difficilement repérables. La seule lutte efficace en la matière demeure l’infiltration, ce qui est extrêmement difficile à mettre en place, et il est donc plus facile de dire que l’on fait de la surveillance.

Si l’on prend en compte ce que vous nous dites là cumulé au fait que selon votre expertise, la Belgique est totalement « en retard d’une guerre » dans le domaine, tout ceci semble aussi inquiétant qu’effarant compte tenu de la position stratégique de Bruxelles, qui accueille non seulement la majorité des institutions européennes mais aussi le siège de l’OTAN.

C’est vrai, je le répète, et en effet, c’est très inquiétant car notre pays n’est nulle part dans ce domaine que cela soit sur le plan défensif ou au niveau des attaques susceptibles de devoir être menées. À titre d’exemple, je citerai l’attaque dont Proximus (qui s’appelait encore à l’époque Belgacom) a été victime en juin 2011 mais dont les faits n’ont été reconnus en interne que deux ans plus tard et rendus publics en septembre 2013 suite à une fuite dans le journal De Morgen. Pour rappel, des membres du middle-management informatique de Belgacom avaient été invités par e-mail à se connecter à un lien LinkedIn, lequel renvoyait effectivement à une page LinkedIn, mais, qui, entretemps, transitait par un serveur espion qui interceptait la communication et renvoyait l’utilisateur vers une vraie page LinkedIn mais légèrement modifiée et contenant un paquet permettant l’installation du malware. Les personnes visées téléchargeaient donc totalement à leur insu le programme activant l’attaque. À titre personnel, j’ai été également victime d’une attaque de ce type l’après-midi même où les faits ont été révélés par le journal De Morgen. Le message était donc clair : « On sait que vous nous avez identifiés mais on continue. »

À ce propos, est-ce que vous nous confirmez qu’il s’agit bien de « Quantum Insert », lequel a été révélé par Edward Snowden ?

C’est exact. L’attaque dont Belgacom a été victime est clairement reprise noir sur blanc dans les documents communiqués et authentifiés par Snowden, et il est un fait certain que cette attaque hautement sophistiquée, a été menée, pour des raisons pratiques, par les britanniques (le GCHQ) mais sous la houlette de la NSA. Pour être précis, « Quantum » est un réseau secret américain (dont on ignorait l’existence jusqu’alors) présent partout dans le monde via Internet, notamment dans toutes les ambassades américaines, et dont l’utilité est d’intercepter les communications ; c’est via le serveur de ce réseau que la page LinkedIn transitait. « Insert » est quant à lui la commande qui a permis l’envoi de ce que l’on appelle le paquet.

Pourquoi Belgacom constituait-elle une cible aussi intéressante pour la NSA ?

Parce que Proximus est le 5ème réseau mondial de télécommunications, ce que tout le monde ignorait jusqu’alors, même en interne. La position stratégique de Proximus est liée au fait qu’elle dispose d’une véritable mine d’or dans l’océan, à savoir : une fibre optique qui fait intégralement le tour de l’Afrique rejoint une partie du Moyen-Orient, et est connecté à toutes les villes se situant le long de l’Afrique. Pour faire simple, cela signifie que si vous êtes à Kinshasa et si vous voulez appeler Beyrouth, vous passez par Bruxelles. Or, si on attaque Bruxelles, on a les moyens d’espionner les communications de toute l’Afrique et du Moyen-Orient. Rendez-vous compte ! De plus, comme vous l’avez souligné, ce réseau est également connecté à l’OTAN et aux institutions européennes. Belgacom constituait donc une cible inouïe, et aujourd’hui encore, je ne comprends toujours pas comment ses dirigeants ne se sont pas rendu compte de la cible énorme que l’entreprise représentait.

Et maintenant ?

Cela a coûté très très cher à Belgacom, et le gouvernement belge est d’ailleurs intervenu auprès du management pour « remettre les pendules à l’heure ». Depuis lors, les mesures de protection nécessaires ont été prises. Néanmoins, il demeure impératif pour tout le monde de tirer les leçons de cette attaque en évaluant au plus juste (ce qui est loin d’être facile) la menace potentielle d’une attaque, et en prenant les mesures les plus adéquates possibles sur le plan défensif (i.e.la protection des données). Il s’agit donc, avant toute chose, de se poser deux questions essentielles : suis-je une cible ? Pour qui suis-je une cible ? C’est d’ailleurs ce qu’a fait le gouvernement français suite à l’attaque de Belgacom en engageant une profonde réflexion dans ce domaine.

« Zero Days » démontre que notre hyper-dépendance technologique nous fragilise à bien des égards. Quels sont, selon vous, les domaines dans lesquels nous sommes actuellement les plus vulnérables ?

Le scénario catastrophe envisagé dans « Zero Days » quant à une coupure totale d’Internet n’est en tout cas pas, à ce jour, véritablement possible compte tenu de la structure décentralisée du réseau. En matière de télécom, le fait que la technologie soit de plus en plus intégrée nous rend de jour en jour plus vulnérables mais certaines positions de repli sont encore possibles. Par contre, les réseaux électriques constituent, quant à eux, des cibles potentielles beaucoup plus aisées compte tenu du fait que les États ne disposent généralement que d’un seul réseau de distribution. Et pour mener ces assauts, il n’est pas nécessaire de s’attaquer à une centrale nucléaire. À titre purement exemplatif, imaginez la pagaille que pourrait mettre dans une ville un groupe de hackers décidant de s’attaquer au réseau électrique de tous les feux de signalisation.

Parlant de ces groupes de hackers, « Zero Days » fait la distinction entre trois catégories : ceux qui mènent des attaques visant à leur enrichissement personnel, ceux qui estiment jouer les redresseurs de tort, et enfin les services œuvrant pour des États. À terme, n’y a-t-il pas une possible évolution dans les relations qu’entretiennent ces trois groupes ?

Oui, et cela s’est déjà vu. Il est donc parfaitement envisageable qu’un État utilise les deux autres catégories pour aboutir aux objectifs qu’il s’est fixé.

Si l’on revient sur le plan géopolitique, l’actualité récente fait état de soupçons quant à une éventuelle ingérence du Président Poutine dans les résultats des élections américaines. Quel est votre avis sur le sujet ?

Si l’on analyse les choses sur le plan purement politique, il est clair que Poutine avait bien plus intérêt à ce que Donald Trump plutôt qu’Hilary Clinton accède à la présidence américaine. Les résultats montrent aussi qu’un déplacement de quelques voix dans seulement trois États aurait changé la donne. Une enquête est en cours et elle révèlera si effectivement, il y a eu manipulation ou pas. Par contre, il est important de souligner que les règles du jeu ont effectivement changé dans l’utilisation des moyens de communication en période électorale, ce qui ne date pas d’aujourd’hui. Lors des élections américaines précédentes, le groupe d’Obama avait établi un screening de tous les profils Facebook et avait rassemblé un maximum d’informations sur chaque utilisateur visant à déterminer à quelle catégorie d’électeurs chaque profil appartenait. Or, il se fait que, le jour des élections, les profils Facebook identifiés comme démocrates suite à ce screening, ont tous reçu un sms les invitant à aller voter.

Toujours sur le plan géopolitique et la guerre informatique, lesquels sont intimement liés, il semblerait que la Chine (qui a d’ailleurs investi massivement dans des secteurs stratégiques en Afrique) soit un acteur à ne pas négliger pour l’avenir. C’est notamment ce que fait dire Oliver Stone à Snowden dans son film en défendant l’idée que « le chaos actuel au Moyen-Orient ne serait qu’un écran de fumée visant à distraire les médias et à endormir l’opinion publique ». Fiction ou réalité ?

Quelle est la véritable ambition de la Chine ? Projette-t-elle d’imposer sa suprématie au monde ? Les questions restent en suspens mais se posent avec suffisamment d’acuité quand on y a joute d’autres faits particulièrement inquiétants. Le premier constat, qui n’est pas des moindres, est, qu’à la seule exception de Samsung, qui demeure entièrement coréen, toutes les marques d’ordinateurs, tablettes, portables… font tous fabriquer leurs produits en Chine ou à Taiwan. Toute notre technologie en est donc tributaire, et il faut souligner qu’inclure un programme espion dans la fabrication d’un ordinateur n’est ni difficile ni impossible. Cela a déjà eu lieu. Sommes-nous tous infectés sans le savoir ? Ajoutons à cela un autre élément assez significatif : il y a quelques années, la Chine a organisé une immense campagne visant à rapatrier à prix d’or tous ses chercheurs en informatique de haut vol, dont beaucoup résidaient aux États-Unis. Cette campagne, très coûteuse, a été particulièrement fructueuse et a notamment permis à la Chine de rapatrier l’un de ses grands génies informatiques, Andrew Yao, qui a d’ailleurs obtenu le Prix Turing en 2000. Celui dispose aujourd’hui d’un Institut au sein de l’université de Tsinghua, qui est le plus grand au monde et accueille 800 chercheurs. Et fait marquant pour souligner l’importance que le gouvernement accorde à cet institut : chaque année, c’est le Président de la République populaire de Chine qui se déplace en personne jusqu’à l’Institut pour y délivrer le chèque couvrant le budget annuel du centre de recherche. Autre élément : fin 2016, le Conseil du parti communiste chinois a décidé de délivrer un permis de vie à points pour les Chinois dans le but de tendre vers une société « harmonieuse ». En clair, cela signifie que par tous les moyens technologiques dont l’administration dispose, celle-ci collectera toutes les informations concernant les citoyens chinois, en fera l’analyse, et s’il s’avère que ceux-ci tiennent des propos ou adoptent des agissements jugés contraires à une société « harmonieuse », ils seront sanctionnés. En Chine, la technologie moderne sert donc d’outil de surveillance de sa population, et il est heureux que la complexité hors du commun de son organisation administrative constitue encore un frein dans ses ambitions de contrôle. Enfin, vous parliez de la présence massive de la Chine en Afrique mais ce n’est pas le seul continent concerné. Depuis 20 ans déjà, la Chine est extrêmement présente en Australie. Je pourrais même d’ailleurs parier que si, demain, tous les travailleurs chinois présents en Australie se mettaient en grève, le pays ne fonctionnerait plus du tout.

Compte tenu de tous les faits qui sont désormais attestés et de ce qui pourrait se profiler à l’avenir, devons-nous avoir peur ? Et quelles parades mettre en place pour Monsieur et Madame tout le monde afin de minimiser les risques d’être victime d’une quelconque attaque informatique ?

Je ne suis pas sûr qu’il faille avoir peur mais il faut être bien conscient que nous vivons dangereusement et que la possibilité d’être attaqué à petite ou grande échelle est bien là. Le meilleur moyen d’éviter d’être vulnérable est de ne pas se rendre totalement dépendant de la technologie, de ne pas se précipiter tête baissée sur les dernières nouveautés qui sortent sur Internet et de toujours conserver à portée de main des moyens simples. Pour en revenir au cinéma, je vous citerai l’exemple de Sony Hollywood qui, pour son film « The interview », a été victime d’un piratage de ses données par un groupe de hackers de Corée du Nord, lequel a diffusé un nombre considérable d’informations confidentielles. D’un point de vue psychologique, l’attaque était particulièrement bien pensée et a suscité un sacré séisme au sein de l’entreprise. Pour m’être rendu sur place suite à cette attaque, je peux vous confirmer que la première chose que Sony a faite, est d’en revenir au papier et au crayon et de se précipiter sur les machines à écrire qui étaient toujours stockées dans les caves !