Entre ampoules et Candy Crush

« En général, les gens qui ont Candy Crush sur leur portable peuvent être suivis par GPS et on peut avoir facilement accès à leur liste de contacts », expliquait M. McGregor à la mi-février, lors de deux colloques sur la cybersécurité et l’internet des objets, à la réunion annuelle de l’Association américaine pour l’avancement des sciences, à Boston.

« On n’a pas besoin d’agents pour installer un émetteur GPS sur leur voiture et on peut les suivre partout, même quand ils sont à pied, dans un autobus ou la voiture d’une autre personne. »

— Andre McGregor, ancien agent du FBI, au sujet des utilisateurs de Candy Crush

Les « métadonnées », ces informations permettant de savoir quels téléphones sont en contact et quand  – sans avoir accès aux enregistrements des conversations –, ont fait scandale parce qu’elles étaient colligées dans de gigantesques banques de données des espions américains, mais elles ne sont pas les seules assises des enquêtes du FBI. L’omniprésence d’internet a radicalement changé le travail des agents comme M. McGregor.

« Grâce aux téléphones intelligents et aux réseaux sociaux, je peux probablement faire rapidement un profil sociologique de presque tout le monde dans cette salle, expliquait M. McGregor lors d’une conférence de presse. Votre nom, votre adresse, vos comptes bancaires, votre adresse de courriel, votre fournisseur de service internet [ISP], vos numéros de téléphone. Je ne peux pas vous surveiller en continu, mais j’en ai assez pour connaître votre profil de risque du point de vue du FBI. Paradoxalement, internet nous a libérés de la confiance aveugle en la puissance des données [sigint, pour “signal intelligence”] et de revenir aux analyses des individus. »

Au cours de sa carrière d’une quinzaine d’années, le grand gaillard afro-américain a débusqué de nombreuses cyberattaques de simples pirates, et certaines de l’Iran, « la principale menace de 2010 à 2015 ». « J’ai prévenu des vols de banque, la manipulation de centrales électriques, de réseaux de gaz naturel et d’aqueduc. J’ai créé le programme de protection informatique des infrastructures critiques du FBI. J’ai aussi été impliqué dans l’enquête sur la bombe dans une voiture à Times Square en 2010. Si nous n’avions pas eu les moyens technologiques de surveiller le suspect grâce à son téléphone portable et à son utilisation de l’internet, nous n’aurions pas pu le pincer alors qu’il tentait de s’enfuir par l’aéroport JFK. Peut-être même que l’attentat aurait réussi. »

Le problème ne réside pas dans les systèmes d’exploitation d’Apple ou Android de Google, mais plutôt dans les applications et les systèmes parallèles. « Les géants américains comme Facebook ou Amazon ont un niveau de surveillance de leur sécurité et de mises à jour comparable aux systèmes d’exploitation », estimait Nick DePetrillo, un analyste de la firme de cybersécurité new-yorkaise Trail of Bits, durant la conférence de presse. « Mais on ne peut pas en dire autant des plateformes qui émergent plus rapidement, ou des jeux comme Candy Crush. Pour ce qui est de l’internet des objets, parfois ces firmes disparaissent et on se retrouve avec des caméras ou des thermostats connectés à l’internet dont la sécurité n’est plus mise à jour. »

Un gouffre s’est ouvert entre les attentes des consommateurs pour ce qui est de leur vie privée et les ententes commerciales qu’ils acceptent sur l’internet, selon Elisabeth Mynatt, sociologue de l’Université Georgia Tech qui étudie les attitudes face à la vie privée depuis une vingtaine d’années.

« La plupart des gens ne réalisent pas à quel point ils acceptent de rendre publiques leurs habitudes de vie, de communications et de consommation. Ou, à tout le moins, accessibles à des firmes choisies par les logiciels qu’ils acceptent d’installer sur leurs appareils électroniques. Avec l’internet des objets, ce fossé entre les attentes et le comportement de la population va encore se creuser. »

— Elisabeth Mynatt, sociologue à l’Université Georgia Tech

Pour éviter que des personnes mal intentionnées profitent de cette mauvaise compréhension de la cybersécurité, Microsoft est en train de développer un nouveau langage de programmation internet qui facilitera les tests et la mise à jour des rustines de sécurité. La durée de ces tests a permis l’attaque informatique de la mi-mai, qui a paralysé le système de santé britannique. « Nous mettons en place le langage qui permettra d’assurer la sécurité de la prochaine génération de l’internet des objets, celle qui va réellement envahir les maisons et la vie de tous les jours », explique Ben Zorn, un acteur important de Microsoft que La Presse a rencontré en marge du colloque sur la cybersécurité. « Il n’y aura plus par exemple de problème avec les mots de passe qui ne sont pas changés par l’utilisateur. »

Faut-il s’inquiéter ? « Sur le plan informatique, bancaire, certainement, dit Andre McGregor, l’ancien agent du FBI. Mais fort heureusement, plusieurs des infrastructures les plus dangereuses, le métro ou les conduites de gaz naturel, par exemple, sont encore contrôlées manuellement à de nombreux points critiques. »

Donald Trump devrait-il laisser tomber Twitter ? « Aucun politicien de haut niveau ne devrait avoir de téléphone intelligent », ont tranché, après s’être regardés avec amusement, Andre McGregor et Nick DePetrillo.