Ce matin, les Français vont remettre à l’heure leur montre, et – si cela ne se fait pas automatiquement – les horloges de leur four, de leur radio-réveil, de leur cafetière programmable ou de leur voiture pour les caler sur l’heure d’hiver à laquelle nous sommes passés cette nuit. Un rituel bisannuel qui se fait de plus en plus tout seul, de façon transparente, incognito, sur nos smartphones et pour certains nos montres connectées. Pour le monde de l’horlogerie, le passage à l’heure d’hiver est aussi l’occasion de pousser ses pions et proposer de changer de montre en même temps qu’on change d’heure. Montre à quartz, mécanique ou automatique d’un côté ; montre intelligente comme l’Apple Watch de l’autre. Le monde horloger se joue à pile ou face. Ou plutôt se jouait jusqu’à ce qu’un trublion propose une nouvelle façon de « voir » le temps en inventant le Mecascape.
Inventé par la jeune marque suisse Code41, le Mecascape – contraction de Mechanical Landscape, ou paysage mécanique – n’est ni une montre, ni une horloge, ni une montre à gousset, encore moins un bijou mais un superbe objet d’environ 106 par 68 mm qui propose une vraie innovation horlogère. « Entièrement mécanique, le Mecascape propose d’étirer le mouvement et les composants sur un plan horizontal plutôt que d’empiler ces derniers les uns sur les autres, comme c’est traditionnellement le cas dans une montre mécanique. Le Mecascape est donc un paysage horloger qui libère les éléments qui le constituent dans un format inédit permettant de les décomposer, les déployer et ainsi les contempler dans leurs moindres détails », explique la société qui a mis douze ans à concevoir ce projet qui bouscule le monde de l’horlogerie.
Développé en secret
En 2009, Claudio D’Amore, qui n’avait pas encore fondé Code41, et était designer indépendant pour les plus grands groupes horlogers, a eu l’idée de développer « un objet qui s’affranchit des codes et des poignets, mais à l’époque, les moyens de le réaliser (équipe, partenaires, fournisseurs) ne sont pas encore réunis. » Code 41 est créé ensuite en 2016 pour rendre accessible de belles montres de manufacture avec un système original : rassembler des passionnés autour d’un projet horloger qu’ils pré-réservent avant sa fabrication. Le succès est là puisqu’« en presque 6 ans, la marque a déjà convaincu plus de 500 000 membres du monde entier de rejoindre sa communauté et participer au développement de ses produits. »
Grâce à ce succès, Claudio D’Amore peut ressortir le projet du Mecascape et y travaille dans le plus grand secret jusqu’en décembre 2021. Les précommandes vont s’ouvrir le 2 novembre pour cet objet luxueux (9 950 francs suisses) qui ouvre un nouveau chapitre de l’histoire de l’horlogerie mondiale.
Par Alexandre Lazarègue, avocat spécialisé en droit du numérique
Si la liberté d’expression est un pilier de notre démocratie selon les termes du Conseil Constitutionnel, les réseaux sociaux et Twitter en particulier ont révélé, que ce droit fondamental peut aisément dériver en abus portant atteinte à la dignité des individus.
Aussi, lorsque Elon Musk justifie le rachat de Twitter par la volonté de restaurer la liberté d'expression, ces messages ont une résonance particulière. Affirmant vouloir défendre le retour d'une liberté d'expression « absolue », en commençant par celle de l'ancien président américain Donald Trump dont le compte avait été fermé pour atteinte à la sécurité nationale, il est à craindre pour la sérénité du débat public.
Aussi, le législateur français et européen prenant conscience du trouble à l’ordre public que peut générer une agora sans cadre a modifié le régime juridique de plateformes numériques datant initialement des années 2000 pour renforcer leurs responsabilités.
C’est ainsi que la loi sur la liberté de la presse de 1881 s’est adaptée à l’usage actuel des réseaux sociaux en allongeant le délai de prescription pendant lequel il est possible d’agir en justice à un an, plutôt que trois mois, pour les propos discriminatoires.
Aussi, le délit de harcèlement en ligné crée en mars 2021 permet de poursuivre tous les auteurs de messages qui, en meute, s’acharneraient sur un individu jusqu’à dégrader ses conditions de vie personnelle et professionnelle.
Les plateformes doivent également supprimer un message illicite dans les meilleurs délais dès lors qu’il lui a été notifié ; le requérant à une telle action pouvant agir rapidement devant les juridictions pour contraindre la plateforme si elle refuse cette suppression.
Enfin le règlement européen Digital service act applicable à compter de janvier 2023 impose notamment aux réseaux sociaux la désignation d’un responsable légal en Europe et la transparence sur les algorithmes et donc le référencement des messages.
Cependant, force est de constater que la mise en œuvre de ces droits reste incertaine pour les justiciables qui doivent faire face à des entreprises milliardaires qui usent de tous les moyens procéduraux disponibles par décourager les requérants en vue de protéger leurs modèles d’affaires qui repose sur l’expression radicale des opinions.
Plus que jamais l’autorité de l’État et nos institutions judiciaires doivent pouvoir contraindre les intérêts privés aussi puissants soient-ils afin que ceux-ci comprennent que le ticket d’entrée pour accéder à un marché européen de 300 millions de consommateurs passent par le respect strict des règles de communication visant en définitive à faire primer la dignité des individus.
Le Mondial de l’auto, de retour à Paris après deux ans d’absence a fait la part belle aux voitures électriques et notamment aux marques chinoises qui vont prochainement débarquer en Europe. Mais si l’électrique semble définir l’auto de demain, d’autres imaginent déjà de nouveaux modes de déplacement comme la voiture volante.
Le concept fait rêver de longue date et a nourri l’imagination de bien des films comme Fantomas ou James Bond. Et pourtant, l’idée de disposer d’un véhicule qui vole pour ses déplacements quotidiens a fait son chemin au point de se concrétiser avec certains prototypes. A Dubaï s’est tenu au début du mois la 42e édition du Gitex Global, un salon qui invite à imaginer la ville de demain, la smart city, cité intelligente qui se veut plus écologique et durable, mais aussi qui veut faciliter la vie de ses habitants.
Le salon a organisé le premier vol public à basse altitude de la voiture volante eVTOL flying car X2 de la société Xpeng. Si cette société née à Canton en 2014 a déjà développé une gamme de cinq véhicules électriques à grande autonomie, elle a également fait travailler son service de recherche et développement sur les nouvelles formes de mobilité. Résultats : un drôle d’appareil, la X2 qui fait penser à un drone avec ses huit hélices. Biplace d’un poids maximal au décollage de 760 kg avec une vitesse de vol maximale de 130 km par heure, cette eVTOL flying car X2 est fabriquée à partir de matériaux en fibre de carbone et équipé d’un parachute.
Elle offre 35 minutes de vol en mode manuel ou autonome, ce qui peut sembler modeste mais suffisant pour effectuer des transferts entre un aéroport et un centre-ville ou au sein d’une grande manifestation. Véhicule électrique à décollage et atterrissage verticaux (eVTOL) la X2 n’émet aucun dioxyde de carbone.
Des drones taxis aux JO de Paris en 2024 ?
Le premier vol devant quelque 150 invités a été suivi d’une présentation du X2 et de l’avenir de la mobilité par le président de Xpeng, Brian Gu, qui a estimé que « le [premier] vol est une étape majeure dans l’exploration de la mobilité future par Xpeng. » La société réfléchit d’ailleurs à concevoir d’autres modèles de voitures volantes. Un domaine où la concurrence est rude. Airbus par exemple développe un CityAirbus NextGen, appareil plus imposant de 4 places avec 80 km d’autonomie de vol.
Boeing, Toyota et Hyundai travaillent aussi à des appareils de ce type qui pourraient être utilisés lors des JO de Paris en 2024. Aéroports de Paris, la RATP et la Région Île-de-France font, en effet, plancher une trentaine d’entreprises, dont des start-up, mais aussi Airbus, Safran, Boeing et Thalès.
L’application Pl@ntnet permet à partir d’un smartphone de reconnaître une espèce et la recenser pour contribuer à son étude.
Pl@ntnetPierre Bonnet, Cirad et Alexis Joly, Inria
L’amélioration des connaissances sur les pressions qui s’exercent sur le vivant – fragmentation des habitats, urbanisation croissante ou intensification agricole – a permis une large prise de conscience de la société civile, qui se mobilise désormais contre les causes du changement climatique et pour une meilleure conservation des espèces vivantes.
Le manque d’expertise taxonomique – qui désigne notre capacité à identifier les espèces – est reconnu depuis près d’une trentaine d’années comme un frein majeur à l’application de la Convention sur la diversité biologique.
C’est pourquoi de nombreuses initiatives à travers le monde expérimentent de nouvelles formes d’accès à cette connaissance taxonomique.
Certaines d’entre elles visent à répondre à la demande croissante de connaissances, tout en impliquant la société dans la caractérisation et l’étude de son environnement. Elles participent ainsi au développement de plates-formes de sciences participatives pour le suivi des oiseaux, comme eBird, des insectes pollinisateurs, comme Spipoll, ou encore de la biodiversité dans son ensemble, comme iNaturalist.
L’exemple de la plate-forme Pl@ntNet
Les plantes représentant l’une des sources majeures de notre alimentation et de la structuration des écosystèmes, quelques plates-formes se sont spécialisées dans leur identification et leur recensement.
C’est le cas de Pl@ntNet, initiée il y a plus d’une dizaine d’années, par un consortium de recherche français (Cirad, Inrae, Inria, IRD), et qui mobilise des expertises complémentaires, à la frontière entre sciences informatiques et sciences du végétal.
Présentation de l’application Pl@ntNet (Inria, 2014).
Elle expérimente et développe des services d’identification automatisée des plantes par l’image, qui permettent à partir d’un smartphone de rapidement reconnaître une espèce et la recenser pour contribuer à son étude.
Avec plusieurs centaines de milliers d’utilisateurs journaliers, et un nombre croissant de contributeurs depuis sa création (statistiques Pl@ntNet), elle permet aujourd’hui le recensement de plus de 43 000 espèces de plantes à l’échelle mondiale.
[Près de 80 000 lecteurs font confiance à la newsletter de The Conversation pour mieux comprendre les grands enjeux du monde. Abonnez-vous aujourd’hui]
La force de ces nouvelles plates-formes naturalistes repose sur trois aspects principaux :
leur très grande accessibilité (applications web et mobiles gratuites, multilingues, avec authentification facultative) ;
leurs performances liées aux vastes corpus de données sur lesquelles elles s’appuient ainsi qu’à l’usage de l’intelligence artificielle qui contribue à rapidement identifier les espèces par des données multimédias ;
leur visibilité qui résulte de l’intérêt grandissant de la société civile pour ce type de démarche.
Ces plates-formes contribuent ainsi au développement d’une nouvelle approche scientifique en écologie, intitulée l’i-Ecology (i-écologie), qui permet d’apporter un soutien précieux aux approches plus conventionnelles.
Malgré les efforts d’initiatives comme eBird, Pl@ntNet et iNaturalist, ou encore des sites et projets universitaires, pour caractériser les espèces à l’échelle mondiale, reste que près de la moitié des plantes sur Terre n’ont certainement jamais été photographiées à l’état sauvage !
Présentation de l’application eBird. (Cornell Lab of Ornithology, 2018).
Mobiliser toujours plus d’observateurs
Ce constat de notre méconnaissance de la biodiversité engage à poursuivre les efforts initiés pour renforcer notre capacité à recenser toutes ces espèces qui nous entourent, plus facilement et plus rapidement. Dans cet objectif, la mise en commun des expertises et des données est indispensable pour accélérer la caractérisation de la distribution de la biodiversité.
La numérisation des collections d’histoire naturelle, à travers des initiatives telles qu’iDigBio ou e-ReColNat, constitue un pas important en ce sens. Elles doivent être complétées par des observations sur le terrain, produites en plus grand nombre, pour permettre de connaître tout le gradient visuel exprimé par les espèces. Comment sinon protéger les espèces en danger si on ne peut les reconnaître ? !
Le passage à l’échelle de ce type d’approche nécessite toutefois un nombre bien plus important d’observations et d’observateurs de terrain. C’est pourquoi, plus que jamais, les réseaux citoyens de suivi de la biodiversité doivent poursuivre leur développement en favorisant le partage de données libres, tout en répondant aux attentes d’une meilleure connaissance de notre environnement proche.
Ces technologies sont au cœur de plusieurs initiatives européennes d’ampleur en cours et à venir – on peut citer Cos4Cloud, EU-MAMBO et EU-GUARDEN –, ce qui permettra sans nul doute leur plus large exploitation dans le futur.
Plusieurs cyberattaques ont été rapportées dans la presse récemment. La mairie de Caen et le département de la Seine-Maritime ont fait mention d’interruptions de service significatives, mais sans publier de détails. D’autres cyberattaques largement publiées dans la presse ont touché le centre hospitalier sud-francilien (CHSF) et l’Institut National Polytechnique de Toulouse.
Dans ces deux derniers cas, il s’agit d’une attaque par ransomware ou rançongiciel qui consiste en l’envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement.
Dans ces deux cas comme dans d’autres, l’attaque se déroule en plusieurs temps. Tout d’abord, l’attaquant pénètre le système d’information et s’y propage. Il obtient ensuite l’accès à des données sensibles et les exfiltre. Il rend ensuite les données inaccessibles localement, en les chiffrant. L’intérêt du chiffrement plutôt que de l’effacement est qu’il rend la récupération très difficile, voire impossible. Finalement, il dépose une demande de rançon pour d’une part ne pas divulguer des données sensibles, d’autre part donner les outils nécessaires au déchiffrement des données.
Ces attaques sont bien connues et se déroulent depuis plusieurs années. On peut cependant noter plusieurs phénomènes inquiétants qui amènent à un accroissement du nombre d’attaques et donc à un accroissement de l’impact de ces attaques.
Plates-formes : les outils d’attaque se professionnalisent et deviennent disponibles sous forme de service, permettant à de très nombreux groupes ou individus d’acheter des « services » de cybermalveillance.
Multiplicité des canaux d’attaque : les canaux d’attaque se sont multipliés. Initialement par mail, ils se sont également étendus aux SMS et aux grandes plates-formes de réseaux sociaux. Les attaquants envoient également de grands nombres de messages, réalisant ainsi une forme de pilonnage qui accroît la confusion potentielle des utilisateurs. Ils utilisent également des émetteurs de messages bien connus des victimes et qui les touchent de près, par exemple l’assurance maladie ou les banques.
L’émergence des attaques « zéro-click » : nous sommes habitués à des attaques qui pour réussir demandent une action de la part de la victime (cliquer sur un lien, ouvrir un fichier). Les attaques zéro-click permettent d’exploiter une vulnérabilité en déclenchant des mécanismes automatisés sur l’équipement récepteur. Un exemple de ce type d’attaque a visé iMessage, le service de SMS avancé des iPhones. Lorsque l’attaquant émet un message, le téléphone qui le reçoit effectue automatiquement un ensemble de traitements pour afficher les messages, publier une notification, traiter les messages. Une vulnérabilité présente dans cette chaîne de traitement infecte donc le téléphone sans que l’utilisateur ne fasse quoi que ce soit.
Multiplicité des motivations : les motivations des attaquants sont également multiples, allant du vol à la destruction de données, à l’exposition publique de mauvaises pratiques, à la géopolitique.
Notons que toutes les organisations sont potentiellement vulnérables. À ce stade, il est difficile pour de très nombreuses organisations, administrations publiques ou petites entreprises, d’engager des ressources pour renforcer leur niveau de cybersécurité. L’augmentation du nombre d’attaques est donc à même de faire rapidement plus de victimes.
Comment se prémunir face à ces attaques
La première manière de se prémunir d’une attaque est de prendre conscience du risque et des conséquences qu’il peut avoir. D’après mon expérience, cette prise de conscience est d’autant plus difficile que l’utilisateur est habitué à un fonctionnement normal des outils numériques et qu’il ne le voit pas comme un vecteur de menace, mais comme un outil facilitateur.
Il est également plus difficile de se méfier d’institutions de confiance, comme les impôts, l’assurance maladie ou les banques. Ces organisations peuvent légitimement vous envoyer des messages, et la consultation des informations ainsi transmises peut se révéler importante. L’utilisateur a donc naturellement tendance à agir sur réception d’un tel message, en le lisant, puis en ouvrant les pièces jointes ou en cliquant sur les liens pour aller visiter le site correspondant.
Les attaquants sont également capables soit d’usurper une adresse de messagerie, soit de voler l’accès à un compte légitime. Il peut ensuite vous envoyer un message en se faisant passer pour une personne de confiance. Il convient donc de regarder attentivement ce qui est envoyé, de considérer que tout message est potentiellement malveillant, et de bien regarder les liens envoyés avant de les utiliser.
Encore mieux, si possible, il est souhaitable de saisir directement dans la barre de navigation du navigateur le site vers lequel on souhaite naviguer. « impots.gouv.fr » ou « ameli.fr » font suffisamment peu de caractères pour être saisis directement.
La deuxième manière de se prémunir est de limiter les vulnérabilités présentes sur un poste de travail ou un téléphone. Cela veut dire qu’il faut installer régulièrement les mises à jour disponibles, tant des systèmes d’exploitation que des applications. Ces mises à jour peuvent être installées automatiquement, ce qui facilite leur prise en compte. Cependant, plusieurs obstacles pratiques peuvent limiter l’efficacité du processus de mise à jour, notamment le fait qu’elles demandent en général une bonne connectivité réseau, un accès à une source d’énergie, et une relance de l’appareil mis à jour pour être complètement opérationnelles.
Plus gênant, les magasins d’application mélangent mises à jour de sécurité et altération des fonctionnalités, et peuvent inclure des codes malveillants. Un exemple de mise à jour altérant les fonctionnalités est la suppression du composant flash par Adobe en décembre 2020. Ce composant était utilisé pour la gestion du trafic dans une station de train chinoise. La suppression du composant a été déclenchée par l’installation d’ordinateurs plus récents, ce qui a rendu impossible la circulation des trains.
Ces modifications « cachées » devraient pouvoir être refusées par les utilisateurs, ce qui n’est pas toujours possible. A cet égard, la responsabilité des développeurs est engagée, car ils mixent de manière invisible mises à jour de sécurité, mises à jour de fonctionnalités, et effets de bords non désirés. Par ailleurs, il peut être difficile de faire fonctionner des applications récentes sur des plates-formes matérielles anciennes, laissant ainsi la place à des vulnérabilités.
Il convient par ailleurs de maîtriser la source des logiciels utilisés, en se limitant aux magasins d’applications officiels. Ceux-ci peuvent effectuer des traitements sur les applications pour vérifier leur innocuité et peuvent rapidement retirer des applications compromises.
Encore mieux, faire passer les logiciels et documents téléchargés dans une sonde de décontamination permet de limiter le risque d’infection. L’ANSSI décrit la spécification d’un tel équipement, et une implémentation à base de logiciels libres est disponible. Cette pratique n’est malheureusement pas accessible sauf à des utilisateurs avertis, et se limite aux plates-formes informatiques. Tester les mises à jour d’applications sur smartphone me semble actuellement hors de portée d’un utilisateur même averti.
La troisième manière de se prémunir est d’être capable de reprendre ses activités rapidement en cas de compromission.Cela veut bien entendu dire faire des sauvegardes, et s’assurer que ces sauvegardes sont effectives, c’est-à-dire que l’on sait restaurer ou récupérer les données. Si l’on utilise des disques durs externes, il est nécessaire de vérifier que ces disques ne sont connectés que pendant le temps de la sauvegarde, pour éviter que ceux-ci soient impactés par une attaque. Si l’on utilise une sauvegarde en nuage, il est également nécessaire de limiter la connexion à ce service, et également de sauvegarder séparément les identifiants de connexion à l’extérieur de sa machine, par exemple en les imprimant.
Pour restaurer intégralement un ordinateur, il est souvent nécessaire de faire une sauvegarde intégrale du disque dur. Il est donc également nécessaire lors de la restauration de vérifier que les codes malveillants ayant permis l’attaque ne sont pas présents dans la sauvegarde. Il est souvent préférable de réinstaller complètement le système d’exploitation, puis de réintroduire les données. Dans ce cas, il est possible de ne sauvegarder que des données essentielles.
Une autre problématique est l’authentification à double facteur (2FA). Dans de nombreux cas, cela repose sur l’usage d’un téléphone mobile et la possibilité de recevoir des SMS. Il faut donc apporter un soin particulier à la récupération rapide d’un téléphone, en faisant des sauvegardes régulières de celui-ci et en s’assurant de pouvoir obtenir rapidement une nouvelle carte SIM en cas de besoin, auprès de son opérateur.
Comment réagir si l’on est une victime ?
Pour bien réagir, il est nécessaire de rester en alerte vis-à-vis de phénomènes imprévus se produisant lors de l’usage des systèmes numériques. Ces phénomènes peuvent indiquer une compromission. L’ordinateur ou le smartphone peut par exemple fonctionner plus lentement que d’habitude, voir se bloquer quelques secondes. On peut également voir des applications démarrer sans action de l’utilisateur, ou des fenêtres qui passent de manière fugitive à l’écran.
Plus celle-ci est détectée tôt, plus il est possible de limiter la contagion et d’éviter une compromission globale de tout le système d’information. Cela peut impliquer un changement de culture, notamment de reconnaître que l’on a commis une erreur. Alerter peut permettre de réagir efficacement, car la propagation peut être une question de minutes.
Si une machine est compromise, il faut l’isoler le plus rapidement possible, si possible physiquement. Cela implique de bloquer les connectivités, physiques et radio (WIFI, 4G…). Une connexion Internet est nécessaire pour diagnostiquer le problème, identifier le programme malveillant en cause, et rechercher des outils de remédiation, mais ces connexions et recherches doivent être menées depuis un poste indépendant et sain. Les outils doivent être chargés sur des supports neutres et sains (DVD-RO/RW dans le meilleur des cas, clé USB sinon) et ne jamais être remis sur cette machine saine. Le DVD notamment RO (Read Only) ne peut s’écrire qu’une seule fois et il sera donc particulièrement résistant à une tentative d’altération.
Une autre possibilité, plus technique, est d’extraire le disque dur de la machine victime et d’y accéder en lecture seule, et surtout en empêchant l’exécution de tout programme depuis ce support compromis.
Une sauvegarde sur des supports de type DVD, malheureusement de moins en moins courant, permet d’éviter toute altération des données.
Si l’on est face à une machine compromise, il va être nécessaire de la réinstaller complètement. Une restauration partielle ne permet que rarement d’obtenir une machine utilisable. Il faut donc garder les supports de réinstallation nécessaires. Dans la plupart des cas, ces supports sont dématérialisés, contenus dans une partition spécifique du disque dur, et ils s’activent en modifiant la séquence de démarrage du système. La réinstallation nécessite également d’avoir sauvegardé un certain nombre de données très importantes, comme les clés de licence, ou les identifiants utilisés pour se connecter à différents services en ligne. La manière la plus simple de restaurer ces identifiants est soit d’utiliser un coffre-fort de mots de passe en ligne, soit de les imprimer régulièrement.
Un point important est le paiement de la rançon demandée par l’attaquant. Outre que cela est probablement illégal et constitue un encouragement à continuer à attaquer, payer ne permet souvent pas de récupérer ses données. Et rien n’empêche l’attaquant de laisser un cheval de Troie dans votre système pour recommencer quelques semaines plus tard, ou d’espionner toutes vos communications.
Et dans le monde professionnel ?
Le monde professionnel peut faciliter tout cela, tant en termes de protection que de détection et de reprise d’activité.
Tout d’abord, des actions de formation à la sécurité de l’information et aux risques sont menés dans les entreprises, de la même manière que l’on forme aux procédures d’évacuation en cas d’incendie. Ces actions de formation peuvent inclure les bonnes pratiques de l’hygiène informatique, et des recommandations particulières liées aux métiers exercés, ou au domaine d’exercice de l’entreprise.
Une organisation dispose également d’outils de sécurité et de gestion de parc plus sophistiqués, qui permettent de filtrer les échanges, de déployer des mécanismes de protection, et de gérer les mises à jour en bloc. Assurer une gestion au quotidien de son parc informatique augmente naturellement la robustesse et la qualité de service du système d’information.
Un autre sujet est le niveau de confiance que l’on peut avoir dans un système qui a été compromis. Il peut toujours rester des résidus d’attaque permettant à l’attaquant de reprendre pied dans le système information. La récupération sur incident peut donc se révéler particulièrement coûteuse, puisque reconstruire une machine individuellement est faisable, mais appliquer cela à l’ensemble d’un parc informatique est extrêmement complexe.
Il ne s’agit plus de savoir si nous serons attaqués, mais quand. Il est donc indispensable d’être prêt à subir une compromission, et à s’en remettre lorsque cela arrive. Il faut mettre en place des mécanismes de sauvegarde robustes pour les données qui le nécessitent (pas question de sauvegarder les vidéos de chaton sur YouTube avec nos relevés bancaires…) et être capable de reconstruire sa machine le cas échéant (ordinateur, mais aussi téléphone portable, tablette, voire enceinte ou frigo connecté). Il faut finalement être conscient des risques possibles et utiliser avec raison et bon sens tous les outils numériques, pour en tirer le meilleur.
Par Thomas Manierre, Directeur EMEA Sud de BeyondTrust
Une identité numérique fait le lien entre une personne physique et son alter ego numérique, elle peut couvrir à la fois plusieurs comptes, identifiants, et un nombre infini de droits au sein du système IT de l'entreprise. La gestion des identités est donc essentielle pour la sécurité des données de cette dernière. Au cours des années, j'ai pu relever 6 problèmes principaux relatifs à la gestion des identités trop souvent négligés par les CISO. Les voici.
1. Les employés portant le même nom ou des noms similaires
La plupart des adresses e-mails d'entreprise sont formées à partir du prénom et du nom de famille, dans un sens ou dans l'autre. Au gré du développement de l'entreprise, il est probable que l'on aboutisse à plusieurs comptes portant le même nom. Généralement, on opte pour l'ajout d'une initiale intermédiaire ou d'un chiffre en suffixe. Cependant, la coexistence de plusieurs entrées comparables dans la liste des adresses peut compliquer l'identification d'une personne. L'expéditeur devra vérifier la fonction et la position géographique d'un utilisateur pour s'assurer que c'est bien la bonne personne.
Tronquer le nom d'une personne pour l'attribution d'un compte ou d'une adresse e-mail peut donc poser problème. Et plus on abrège, plus cela devient problématique. Il est recommandé d'adopter une nomenclature de création de compte fondée sur les noms complets, avec initiale du second prénom au besoin ou une série de lettres et de chiffres pour éviter les conflits. Ainsi, on évitera d'envoyer des e-mails à la mauvaise personne avec le risque de divulguer des informations sensibles et de s'exposer à des problèmes de respect de la confidentialité.
Cette pratique permet aussi d'éviter toute confusion au moment d'effectuer une attestation d'identité par identité.
2. Les employés mouvants
Si dans l'organisation, certains employés changent de service fréquemment, comme des infirmières ou des consultants, il y aura probablement des problèmes de classification d'identité. Comment les enregistrer dans la solution de gouvernance des identités et dans les annuaires ? Les permissions, les privilèges et le rôle sont-ils changés à chaque nouvelle affectation ? Il faudrait adapter les droits d'accès accordés à chaque changement de rôle.
Cependant, les employés mouvants ont souvent des droits assez larges et il est difficile à un moment donné de décréter quels devraient être les droits d'accès appropriés à la situation. Souvent, ils bénéficient de droits excessifs pour leur permettre d'assumer leurs différents rôles, ce qui nous amène au problème n°3.
3. Les privilèges excessifs
Un compte administrateur/superuser dispose souvent de droits excessifs et ne respecte pas toujours les meilleures pratiques. Associé à une identité, un compte admin peut conférer un contrôle total sur un environnement. Un admin devrait systématiquement être membre de groupes admin pour permettre le reporting de qui a accès à quoi.
Il suffit qu'un utilisateur connaisse les identifiants admin sans être référencé dans un groupe admin pour créer un sérieux problème. Les accès privilégiés avec des droits excessifs constituent un problème courant. Cela arrive fréquemment parce que l'on se partage des comptes sans les associer aux identités.
4. Fusions et acquisitions
Même les professionnels les plus expérimentés craignent les fusions et acquisitions. Au moment de consolider l'IT, comme les domaines, les identités, les applications et les règles, il peut être tentant de négliger les meilleures pratiques pour atteindre plus rapidement les objectifs fixés. Des problèmes d'identité peuvent en découler : droits excessifs, coexistence de plusieurs comptes et noms de domaine non conformes.
Ceci peut engendrer une cascade d'autres problèmes liés à l'identité : applications qui ne fonctionnent que dans certains domaines, incohérences entre les déploiements préexistants et nouveaux. Si les entreprises ne fusionnent pas leurs procédures standard de fonctionnement et n'établissent pas un état des lieux de référence de l'IT, toutes les initiatives ultérieures de gestion des projets et des identités risquent d'en pâtir.
5. Identités non humaines
Avec les environnements informatiques modernes, de nombreux types d'identités non humaines (que l'on appelle aussi identités machine) se sont multipliés. D'après Forrester Research, « les identités machines se multiplient deux fois plus que les identités humaines ». Leur gestion devient donc une problématique sérieuse. Il convient de les traiter selon les fonctions qu'elles exécutent et leurs interactions avec des êtres humains.
Cependant, les entreprises ne savent pas toujours classer correctement les identités réservées à la robotique, à l'automatisation, aux systèmes de contrôles industriels, etc. au point d'exposer ces identités machine aux velléités de cybercriminels. Le reporting d'attestation des identités machine est souvent imprécis car leurs droits de propriété et d'accès sont mal documentés. Pour y remédier, toutes les identités machine devraient avoir une attribution de propriété, comme pour les relations entre compte et identité.
6. Identités de tiers/fournisseurs
Quasiment toutes les entreprises font appel à des prestataires, auditeurs, sous-traitants et intérimaires pour assumer différentes fonctions. Chaque fois que des tiers doivent obtenir l'accès à l'environnement d'une entreprise, des contrôles spécifiques doivent être appliqués pour gérer les identités de ces prestataires et valider la légitimité de leur activité. Or si ces prestataires changent souvent, la charge de gestion de leurs identités risque de peser lourd sur l'entreprise. En ce qui concerne la gestion des identités des tiers / fournisseurs, les entreprises devraient envisager de créer des contrôles en dehors des services d'annuaire habituels et d'éviter les comptes génériques de type « Sous-traitant1 » ou « Prestataire_XYZ ».
L'idéal est d'attribuer à ces utilisateurs des noms de comptes valides pour la durée de leur mission et de privilégier un paradigme de gestion reflétant la simplicité et la nature temporaire des accès autorisés. Autrement dit, le choix de consigner les identités de tiers dans un service d'annuaire ou dans une solution dédiée aux accès à distance de prestataires dépend du niveau de droits qu'il leur faut pour accomplir leur mission. Le groupe ou la solution devrait suivre le modèle du moindre privilège, avec des outils de surveillance robustes et être bien plus simple à administrer que ne le sont les employés. Cela suppose de gérer tout le cycle de vie, de l'accueil au départ, en passant par les mutations internes et d'assurer qu'aucun compte orphelin ne perdure une fois que l'identité a expiré.
Il n'est pas toujours simple de régler les problèmes de sécurité des identités si bien que les entreprises vont parfois devoir continuer de fonctionner malgré les exceptions et les incohérences. Plus une entreprise fera l'effort de régler ces problématiques, meilleure sera la posture de sécurité des identités et sa résistance aux cybermenaces. Une chose est sûre, si vous vous apprêtez à créer un tout nouvel environnement, tenez compte de ces problématiques en amont pour limiter leur escalade au gré du développement de votre entreprise.
Les explosions qui ont endommagé les gazoducs Nord Stream 1 et 2 les 26 et 27 septembre 2022 en mer Baltique sans que pour l’heure on ne connaisse l’identité des saboteurs ont jeté un froid dans les pays occidentaux, inquiets qu’un tel scénario ne se reproduise sur des câbles sous-marins de télécommunications. 450 câbles parcourent les mers pour un total de 1,3 million de kilomètres et font transiter 97 à 99 du trafic internet… Aux cyberattaques nombreuses essuyées depuis l’invasion de l’Ukraine par la Russie le 24 février s’ajouteraient ainsi la coupure pure et simple du réseau.
Paralysie du pays
Ce risque d’attaques physiques est particulièrement pris au sérieux en France, notre pays étant la tête de pont de l’Europe où arrivent les câbles transatlantiques. Selon Europe1, Emmanuel Macron a demandé début octobre le renforcement de la sécurité des câbles sous-marins. Le chef de l’État a demandé aux responsables militaires, principalement de la Marine nationale, et aux chefs des services de renseignements une inspection de toutes les infrastructures françaises, soit une trentaine de mégacâbles. Le président a également demandé une surveillance renforcée de ces câbles qui mesurent des dizaines de milliers de kilomètres.
Une attaque simultanée sur 4 ou 5 d’entre eux pourrait paralyser la France. D’ores et déjà, les spécialistes ont recommandé plusieurs mesures pour que les données essentielles (celles des hôpitaux, des aéroports, des banques, des systèmes de gestion de l’eau) puissent continuer à circuler sur un réseau dégradé, où des services gourmands en bande passante mais non essentiels comme les plateformes de vidéo à la demande type Netflix seraient coupés.
Espionnage et sabotage
La sécurité des câbles sous-marins ne date toutefois pas des explosions de septembre dernier. Les câbles subissent des dégradations accidentelles mais peuvent aussi être l’objet d’espionnage ou de sabotage. Certains pays, dont la Russie et les États-Unis, entraînent, en effet leurs sous-mariniers à poser des mouchards ou à détruire discrètement les câbles depuis des sous-marins de poche embarqués dans des sous-marins nucléaires d’attaque ou lanceurs d’engins.
Carte des câbles sous-marinsCarte des câbles sous-marins
Les entreprises privées qui gèrent les câbles (Orange Marine, Alcatel Submarine Network), effectuent des contrôles réguliers pour déceler et localiser les anomalies grâce à des « capteurs de sécurité ». La Marine nationale assure de son côté une « surveillance renforcée » : prises de vues aériennes de navires câbliers ou suspects, écoutes sous-marines, images satellites voire intervention humaine avec le concours de l’Ifremer.
Drones sous-marins
La sécurisation des câbles est devenue un enjeu de Défense nationale pour la France, 2e puissance maritime mondiale. « Nous devons être en mesure de renforcer la protection et la sécurité des câbles de communication qui alimentent la métropole et l’outre-mer, mais aussi les infrastructures de transport d’énergie ou encore des ressources potentielles qui sont situées dans les fonds de notre zone économique exclusive », avait déclaré Florence Parly, ministre des Armées, en février dernier.
Si dans le Budget 2023 actuellement examiné à l’Assemblée nationale, seulement 3,1 millions d’euros sont affectés à la défense des fonds marins, la France devrait se doter de nouveaux matériels, notamment des drones et des robots sous-marins. Objectif : être capable de descendre à environ 6 000 mètres de profondeur d’ici à 2025, comme le font actuellement les Russes et les Chinois, car 80 % des câbles reposent entre 3 000 et 6 000 mètres de profondeur. Selon Europe 1, le budget alloué à ce développement tournerait autour de 300 millions d’euros
Avis d’expert de Caroline Borriello, Chief Operating Officer de Pradeo
Même si rien ne vaut l'utilisation d'une application de sécurité directement installée sur son smartphone ou sa tablette, il y a tout de même certaines mesures de sécurité à connaître pour protéger ses données mobiles. En voici six livrées par Caroline Borriello, Chief Operating Officer de Pradeo, leader de la sécurité mobile.
1. Maintenir le système à jour
Une des fonctions principales des mises-à-jour est de corriger les vulnérabilités du système. Les hackers se tiennent informés des failles des anciennes versions d'OS quand les mises-à-jour sont publiées. Ensuite, ils attaquent les terminaux n’ayant pas été mis-à-jour pour en extraire des données personnelles et d’entreprise. Lorsqu’une mise-à-jour du système est disponible, il faut l’installer immédiatement.
2. Ne pas télécharger d’applications hors stores officiels
L’App Store et Google Play effectuent un premier niveau de vérification des applications qu’ils mettent à disposition de leurs utilisateurs, ce qui n’est pas le cas des stores tiers. Une grande partie des applications disponibles sur ces derniers sont des malwares ou des clones d’applications payantes qui sous couvert d’offrir un service gratuit (freemium) siphonnent les données de leurs utilisateurs
3. Vérifier les permissions des applications
Lors du lancement et au cours de l’utilisation d’une application, des permissions sont demandées à l’utilisateur. Il est essentiel de s’assurer que les permissions demandées par une application soient légitimes, et de refuser celles qui semblent inutiles ou suspectes. Aujourd’hui, certains appareils proposent de supprimer les autorisations données aux applications, quand elles ne sont pas utilisées depuis longtemps. L’objectif étant, à la fois, de limiter l’envoi des données et d’assurer la sécurité de celles-ci dans le temps. Cette fonctionnalité permet dans une certaine mesure de minimiser l’exfiltration des données personnelles, cependant elle n’assure pas de protection face aux malwares qui performent ces vols de données en outrepassant les demandes de permission.
4. Ne pas se connecter à des réseaux non sécurisés
Certains appareils mobiles sont paramétrés pour identifier les réseaux publics et s’y connecter automatiquement. Une fois connectés au WiFi de l’hôtel ou du restaurant par exemple, les pirates peuvent intercepter les données qui transitent de l’appareil (ex : attaque du type "man-in-the-middle"). Il est conseillé de ne pas se connecter aux réseaux publics et surtout, de ne pas manipuler de données sensibles ou réaliser de transaction si vous vous y connectez.
5. Ne pas rooter / jailbreaker son terminal
Un appareil « cracké » donne plus facilement accès aux informations qu’il contient et augmente sa vulnérabilité. À éviter ! Bien que cela procure une plus grande liberté à l’utilisateur (du choix des applications installables ou supprimables, à la personnalisation de l’interface, en passant par des ROMs custom…), autoriser le droit administrateur revient également à ouvrir des brèches de sécurité majeures. Outre le fait que certaines manipulations peuvent endommager l’appareil et que les mises à jour ne seront plus proposées automatiquement, en cas d’infection par un malware par exemple, le cybercriminel aura accès à l’ensemble des droits et du système de l’appareil.
6. S’équiper de solutions de sécurité
Pour une protection complète, il est recommandé d'utiliser une solution de sécurité mobile qui assure la légitimité des applications et contrôle l’intégrité des connexions et du système. Avoir une solution de nettoyage de l’appareil ou s’appuyer uniquement sur la sécurité constructeur n’est pas suffisant, surtout lorsque l’on travaille avec des données sensibles. Bien que la sécurité embarquée (security by design) des appareils couvrent certains aspects de la cybersécurité, il est important de compléter sa protection mobile avec une solution spécialisée, qui garantit aux entreprises et aux utilisateurs des appareils complétement sécurisés.
L’Agence de la transition écologique (Ademe) a mené une étude publiée en mars 2021 pour dresser un état des lieux des démarches low-tech et des perspectives associées. Car si le concept prend racine dans les années 1970 avec des auteurs comme Ivan Illich, Lewis Mumford, Ernst F. Schumacher, Jacques Ellul ou Cornélius Castoriadis, il n’existe pas de définition commune et partagée relative à ce terme. L’objectif était donc d’en proposer une autre, complémentaire.
En bref, alors que la masse de la « techno-sphère » (objets, machines, équipements, infrastructures, etc.) fabriquée par l’humain (évaluée à 1100 milliards de tonnes) aurait dépassé celle de la biomasse terrestre (évaluée à 1000 milliards de tonnes) selon une étude parue dans Nature en décembre 2020, la démarche low-tech vise à réduire la taille, l’intensité et la complexité du système technique de l’économie pour que celle-ci se « ré-encastre », comme dirait l’économiste hongrois Karl Polanyi, dans les limites planétaires.
Tentons d’en dresser les contours.
Le triptyque « utilité, durabilité, accessibilité »
Et concrètement ? Le terme low-tech est associé dans les esprits à la diminution de l’empreinte environnementale d’un objet en particulier – par exemple, un cuiseur solaire ou des toilettes sèches. Le Low Tech Lab, laboratoire d’exploration, de documentation et de démonstration low-tech, dresse une liste de trois critères caractérisant les produits low-tech : l’accessibilité, la durabilité et l’utilité.
L’accessibilité renvoie à la démocratisation de l’accès aux savoirs, savoir-faire (et même savoir-être) techniques, dans une perspective de circulation ouverte (open source) par la transmission et des parcours de formation adaptés.
La low-tech est durable en ce qu’elle s’inscrit dans des logiques d’économie circulaire, de réemploi, de réutilisation, de recyclage. Elle encourage par conséquent la réflexion sur la sobriété mais aussi sur l’écoconception et la simplicité de l’outil technique, en évitant par exemple les alliages de matériaux, qui rendent le recyclage beaucoup plus difficile.
Enfin, l’objet low-tech doit être utile : baisser l’empreinte écologique d’un objet qui répond à un besoin relevant d’une consommation ostentatoire et superfétatoire n’aurait pas de sens.
Quelques critères de démarches low-tech complémentaires à ceux de l’étude de l’Ademe.Arthur Keller et Émilien Bournigal/Wikimedia, CC BY-NC-SA
Discernement, remède à l’ambivalence technique
Tous ces critères sont bien sûr au cœur de la définition qu’a tenté de construire l’Ademe, et celui de l’utilité en tête : elle renvoie aux notions de sobriété et de discernement, comme remède à l’ambivalence de la technique mise en avant par l’historien et sociologue Jacques Ellul, et la nécessité d’en déterminer collectivement la finalité avant de la développer.
[Plus de 80 000 lecteurs font confiance à la newsletter de The Conversation pour mieux comprendre les grands enjeux du monde. Abonnez-vous aujourd’hui]
Un chauffe-eau solaire a beau être low-tech dans sa conception, il n’a pas de sens s’il est utilisé pour chauffer une piscine privée. De même que des outils agricoles low-tech ne sont pas pertinents s’ils sont au service d’organisations et pratiques agricoles économiquement inefficaces, insoutenables énergétiquement et destructrices des sols et du vivant. À l’inverse, certains secteurs stratégiques, comme le domaine militaire ou la santé, pourront difficilement se passer de certaines technologies de pointe.
Derrière, c’est tout un système de pensée et de valeurs que doit aider à transformer la démarche low-tech, avant même la dimension purement technologique.
Parce qu’elle interroge notre rapport anthropologique à la technique, à l’aune notamment de certains renoncements de consommation, la démarche low-tech dépasse donc la simple échelle de l’objet ou du service rendu par la technologie, et c’est ce qu’a voulu montrer l’Ademe : il s’agit non seulement de concevoir des systèmes techniques durables, d’entretenir l’existant plutôt que de le remplacer, d’en démocratiser l’accès et également d’en maîtriser les usages, mais aussi et surtout de questionner nos besoins sous différents angles combinés (psychologique, sociologique, sanitaire, économique, culturel, historique, géographique, etc.).
Pour tenter de l’objectiver, une telle approche pourra conduire à passer du modèle de la totémisation du PIB, du réductionnisme à l’invididu-consommateur et du solutionnisme technologique à celui d’un « pouvoir de bien vivre et de faire-ensemble » caractérisé par des indicateurs quantitatifs et qualitatifs au regard des insécurités climatique, énergétique, alimentaire, écologique, sanitaire, technologique, économique, sociale, identitaire, culturelle et physique subies sous les effets conjugués de la globalisation et du dépassement des limites.
Niveau d’inégalités sociales, accès à l’emploi, espérance de vie en bonne santé, qualité de l’énergie, de l’alimentation, de l’eau, de l’air, des sols, de l’instruction, des soins, de l’information, accès à la mobilité, à la culture et à la nature, capacités de résilience aux chocs, indicateurs de santé (obésité, alcoolisme, tabagisme, etc.), niveaux de violence, progression des séparatismes et obscurantismes, etc : autant de variables à analyser dans leurs interactions pour créer les conditions d’une cohésion sociale solide indispensable à une nation plus sobre et résiliente et donc plus low-tech.
Comme toute démarche de sobriété, elle doit s’inscrire dans une gestion planifiée et équitable des limites planétaires par l’État, en privilégiant par exemple les outils de régulation structurelle par les quantités (réglementations, quotas démocratiquement définis) en parallèle d’investissements dans les alternatives. Car la régulation conjoncturelle par les prix (aides, fiscalités), en plus de creuser la dette publique, pénalise surtout les plus modestes d’entre nous ou ne les libère pas de leurs dépendances aux ressources finies, quand les plus aisés ont des marges de réduction de consommation importantes et les moyens de contourner ou de supporter la fiscalité.
Prenons l’exemple du système de mobilité. La démarche low-tech embarque alors une analyse globale en amont qui permet de déboucher sur un projet de transformation du système diminuant son intensité et sa complexité technologique, anticipant les effets rebonds et désaliénant l’humain.
On constate en effet aujourd’hui que les consommations d’énergie et émissions des voitures ne baissent pas malgré des moteurs plus efficaces et moins polluants. Et ce du fait non seulement de l’augmentation de la taille du parc mondial de véhicules mais aussi du poids unitaire croissant des véhicules, lié à l’ajout d’équipements de confort et de sécurité, eux-mêmes induits par une demande sociale façonnée par le marketing et le mimétisme social (publicités, influenceurs, etc.), et permise par les vitesses élevées de circulation du code de la route.
Ainsi, dans un système de mobilité dominé, dans ses multiples variables (équipements, véhicules, infrastructures, règles de circulation, services, aménagements, imaginaire collectif…), par la voiture individuelle, l’usage de véhicules considérés plus low-tech, comme le vélo et ses déclinaisons, ne pourra pas se déployer rapidement.
Colloque ADEME mobilité low-tech du 29 septembre 2020 (France Innovation, 29 septembre 2020).
Un passage à l’échelle à enclencher
Par ailleurs, la question du déploiement à plus grande échelle de systèmes low-tech implique de penser des modèles socio-économiques et organisationnels qui faciliteront le passage à l’échelle, en particulier par le levier des communs, c’est-à-dire de ressources naturelles, techniques mais aussi socioculturelles et politiques définies et gérées par une assemblée de citoyens ou de leurs représentants selon des règles démocratiquement établies.
L’Ademe a par exemple lancé une initiative nationale baptisée l’eXtrême Défi, qui vise à faire émerger des écosystèmes de conception et de production de véhicules low-tech, intermédiaires entre le vélo et la voiture. Une gamme de véhicules standardisés, très légers, peu consommateurs, facilement réparables et dotés de moins de pièces détachées, qui entend devenir une alternative crédible à la voiture, notamment dans les territoires peu denses.
Ce défi a vocation à créer des écosystèmes territoriaux, avec des acteurs locaux et des processus de fabrication standardisés et ouverts, selon la logique de commun évoquée plus haut, afin de lever le frein de la propriété intellectuelle et d’accélérer le déploiement des savoirs et savoir-faire, dans une perspective collaborative. L’ambition de l’eXtrême Défi étant que ces écosystèmes soient opérationnels d’ici trois ans, avec une production de 30 à 40 véhicules par an, selon une cadence d’« artisanat de série ».
Stratégie de relocalisation en Europe
Enfin, cette dimension territoriale de la démarche low-tech a aussi l’ambition de réorganiser les flux physiques (biens et personnes) dans le temps et dans l’espace. Elle s’inscrit donc dans les stratégies nationales de relocalisation des activités productives et d’aménagement du territoire, avec la volonté de rééquilibrer les dynamiques entre les métropoles, très peu soutenables et résilientes aux chocs à venir par leurs tailles et leurs densités d’activités, et la ruralité, en déprise démographique, souvent sinistrée socioéconomiquement.
Elle peut apporter une puissante contribution dans cette stratégie de rééquilibrage territorial, en privilégiant notamment les villes petites et moyennes et les villages reliés par un maillage fin de systèmes de mobilités des personnes et des biens (vélo, véhicule intermédiaire, bus, car, covoiturage, train, bateau), et en développant des économies prospères, plus intensives en emplois manuels, serviciels et intellectuels hautement qualifiés et dignement valorisés (et parfois combinés en plusieurs métiers) qu’en technologies et machines, largement fondées sur une agriculture écologique et paysanne, et plus généralement sur la préservation des écosystèmes et le soin du vivant.
De fait, elle a vocation à être créatrice de sens, afin de réenchanter la valeur du travail comme voie d’émancipation et d’autonomie tant individuelles que collectives, à l’instar des combats des mouvements ouvriers européens concomitants aux révolutions industrielles des XIXe et XXe siècles.
Les ransomwares ont pris une telle place dans le paysage cyber que les équipes de sécurité du monde entier doivent constamment redoubler d’effort afin d’adapter leurs pratiques et leurs processus face à cet environnement cyber en constante évolution. Pour comprendre l’ampleur de ce phénomène, Gigamon, l’expert de l'observabilité avancée, a mené une étude mondiale sur l’état et la progression des ransomwares et du paysage des menaces.
Il en ressort notamment que 95% des DSSI/RSSI déclarent avoir subi des attaques par ransomware au cours de l’année écoulée.
Un paysage hostile
La pandémie mondiale a bouleversé les entreprises du secteur de l’IT qui ont dû opérer une véritable métamorphose dans un laps de temps très court pour s’adapter au nouveau contexte et rester résilientes. Cela a ainsi donné naissance à de nombreux projets de transformation numérique accélérés pour accompagner le passage au cloud. Une situation dont les cybercriminels ont su tirer profit pour multiplier leurs attaques par ransomwares et dérober des données clés aux entreprises. Aujourd’hui, à mesure que nous entrons dans une ère post-pandémie, la situation ne semble guère s’améliorer pour autant. En effet, 56% des DSI/RSSI français reconnaissent que la crise des ransomwares s’est aggravée au cours des trois derniers mois. Fort heureusement, les conseils d’administrations des entreprises françaises sont conscients de l’ampleur du risque ransomware et considèrent cette menace comme une préoccupation prioritaire (86%).
Sur la question des méthodes d’attaque par ransomware observées en France au cours de l’année écoulée, les personnes interrogées citent en premier lieu le phishing (56%) et les virus informatiques comme les logiciels malveillants (56%). Dans un second temps viennent, le smishing (phishing par SMS) (31%), les menaces internes accidentelles (30%) et les applications cloud (28%).
Une recrudescence d’attaques ransomwares aux causes multiples
L’enquête a également interrogé les professionnels de la sécurité français sur ce qu’ils considèrent être comme les principaux facteurs et causes de l’augmentation de la fréquence des attaques par ransomware. Pour 63% d’entre eux, l’aggravation de la crise est principalement due à la sophistication croissante des cybercriminels. Parmi les autres causes, les professionnels citent :
La complexité croissante des environnements hybrides et multicloud qui crée de nouvelles vulnérabilités que les solutions traditionnelles ne peuvent pas détecter (40 %)
La pénurie de compétences IT (40 %)
La menace interne (29%)
Pour lutter contre cette menace qui ne laisse aucun répit aux équipes de sécurité, le besoin d’une plus grande visibilité pour identifier les endroits où les ransomwares peuvent se cacher est désormais indispensable.
L’observabilité comme moyen de défense
Dans un contexte de ressources moindres, de plus grande complexité liée aux environnements hybrides et d’une mauvaise configuration du cloud, la visibilité est un des leviers principaux de l’atténuation du risque de ransomware. En effet, sans une vision plus globale et précise, il devient compliqué pour les entreprises d’anticiper et gérer les attaques les plus sophistiquées.
Pour les prochains mois, les entreprises françaises envisagent de concentrer leurs efforts sur :
La sensibilisation et formation à la sécurité pour tous les collaborateurs compte tenu du nouveau modèle de travail hybride : 89%
L’adoption d'une architecture de Zero Trust pour encourager une culture de la sécurité axée sur la vérification et la confiance implicite : 57%
Permettre l’observabilité avancée, une visibilité holistique, sur l’ensemble de l’infrastructure IT 50%
Si l’investissement dans un plus grand nombre d’outils est en général une des premières solutions identifiées, les entreprises ont pris conscience qu’elles ne peuvent plus continuer à les empiler pour résoudre leurs problèmes de sécurité. D’après l’étude Gigamon, 57 % des professionnels interrogés reconnaissent que les outils de sécurité qu’ils utilisent actuellement ne sont pas si efficaces sans une visibilité complète. Raison pour laquelle, il est indispensable d’opter pour une optimisation de la visibilité.
L’observabilité avancée est de plus en plus synonyme de protection contre les ransomwares, en particulier dans le cloud. L’enquête révèle notamment que 85% des responsables français de la sécurité interrogés affirment que l’observabilité avancée est un élément important de la sécurité du cloud.
Pour mieux comprendre l’ordinateur quantique et la course technologique qu’il génère, nous vous proposons ici le second opus de notre série. Après un premier article sur la naissance du concept d’ordinateur quantique, nous explorons ici comment il pourrait être réalisé en pratique et les défis scientifiques et technologiques à relever.
Le prix Nobel de physique 2022 vient d’être décerné à trois pionniers de l’information quantique, dont un Français, Alain Aspect. Leurs travaux ont posé les bases de la « seconde révolution quantique », qui permet de rêver à la réalisation d’un ordinateur quantique.
De fait, l’ordinateur quantique fait des apparitions de plus en plus remarquées dans la presse généraliste, et nombreux sont les lecteurs qui pourraient en déduire que l’humanité dispose déjà d’instruments surpuissants capables de battre à plate couture nos bons vieux ordinateurs.
Ainsi, à l’heure actuelle, un ordinateur quantique universel opérationnel reste un Graal inaccessible, dont personne ne peut encore prédire la réussite avec certitude.
En revanche, nous sommes déjà sur le point de disposer de machines quantiques plus petites, appelées « simulateurs quantiques », qui seront utiles pour résoudre des problèmes spécifiques en physique, en ingénierie, en chimie ou encore en pharmaceutique.
La promesse quantique
Un cryostat d’IBM, utilisé pour conserver l’ordinateur quantique de 50 qubits – des circuits supraconducteurs – à des températures compatibles avec son fonctionnement.IBM/Flickr, CC BY-ND
Un ordinateur quantique « universel » pourrait en théorie effectuer tous les calculs que peut faire un ordinateur classique, mais plus efficacement. En réalité, ceci ne sera possible que pour certains calculs, qui mettront en œuvre des algorithmes spécifiquement conçus pour l’informatique quantique. L’ordinateur quantique rendrait alors possibles des calculs aujourd’hui infaisables parce qu’ils prendraient trop de temps.
Par exemple, des milliers de milliards d’années seraient nécessaires sur un supercalculateur dernier cri pour factoriser des nombres à quelques centaines de chiffres, comme ceux utilisés pour sécuriser nos communications, mais il faudrait seulement quelques heures à un ordinateur quantique de taille modeste pour résoudre ce problème.
Comment construit-on un ordinateur quantique ?
Encore faut-il construire un ordinateur quantique qui fonctionne avec les algorithmes quantiques conçus exprès pour lui.
Un ordinateur quantique est une machine qui incorpore des « qubits » – l’équivalent quantique des « bits », unités de calcul classique – et qui permette de les manipuler afin de réaliser les opérations requises par l’algorithme. Ainsi, les qubits doivent suivre les lois de la physique quantique.
Les premiers candidats au rôle de qubit sont donc des particules quantiques individuelles. En effet, on sait aujourd’hui contrôler des atomes individuels avec des lasers, des ions avec des champs électromagnétiques, et des électrons avec des circuits électriques nanométriques.
Boîte quantique dans un « circuit optique » permettant de diriger les photons émis par la boîte quantique. La boîte quantique, invisible à cette échelle, est indiquée par le cercle rouge.Javadi et coll, CC BY
Une dernière option est d’utiliser comme qubits des circuits supraconducteurs : ce sont des circuits électroniques de taille millimétrique, bien plus grande que les réalisations basées sur les particules quantiques discutées ci-dessus. Elles offrent ainsi l’avantage de pouvoir être intégrés sur une puce au moyen des techniques similaires à la fabrication des ordinateurs classiques. C’est la voie retenue par les géants de l’informatique Google et IBM.
Contrôler les qubits individuellement, la « seconde révolution quantique »
La multitude de systèmes physiques pouvant matérialiser l’ordinateur quantique résulte en une recherche foisonnante dans tous ces domaines, qui progressent en parallèle. Ce contrôle des particules individuelles constitue ce qu’on nomme désormais la « seconde révolution quantique » – la première étant celle des technologies basées sur des ensembles de particules quantiques : lasers, transistors, supraconducteurs, qui ont transformé durablement notre monde durant la deuxième moitié du XXe siècle.
Circuit supraconducteur qui réalise un processeur à trois qubits (barre d’échelle 1 millimètre).D. Ristè et coll, CC BY
Malgré tous ces progrès, le contrôle de ces qubits reste beaucoup plus difficile que les bits classiques, à cause de la très grande fragilité des effets quantiques. En effet, l’environnement des constituants (c’est-à-dire la chaleur, la lumière, les champs électrique et magnétique par exemple) finit toujours par perturber les états de superposition et d’intrication. Ce phénomène, appelé « décohérence », limite en pratique la manipulation et le stockage de l’information contenue dans les qubits.
Microscopie d’un composant en diamant qui contient un défaut atomique. Il fait l’interface entre des photons et trois qubits magnétiques portés par des noyaux d’atomes.Cramer et coll, CC BY
Pire… plus l’ordinateur comporte de qubits, plus cette perturbation est rapide. Pour ces raisons, les prototypes actuels sont réalisés dans des environnements extrêmes : très basse température (à quelques fractions de degrés du zéro absolu), ultravide, obscurité totale. Ces conditions très contraignantes, seulement réalisables en laboratoire, permettent de conserver les effets quantiques un certain temps, mais pas suffisamment pour être réellement opérationnels.
[Plus de 80 000 lecteurs font confiance à la newsletter de The Conversation pour mieux comprendre les grands enjeux du monde. Abonnez-vous aujourd’hui]
Une solution théorique existe : pour protéger l’information quantique, il faut répartir chaque qubit « logique » sur un très grand nombre de qubits « physiques » afin de pouvoir effectuer des corrections d’erreur. Dans cette approche, des millions de qubits seraient ainsi nécessaires pour un ordinateur quantique universel fiable et il faudrait fabriquer des ordinateurs quantiques démesurés pour compenser leurs imperfections.
Or, à l’heure actuelle, personne n’est capable de réaliser un tel ordinateur, et il est impossible de prédire s’il existera un jour.
Vers des ordinateurs quantiques spécialisés, ou « simulateurs quantiques »
Pourtant, au cours de la quête de l’ordinateur quantique universel, de nouvelles idées ont émergé.
Il paraît fort probable que les premiers ordinateurs quantiques seront bien différents des ordinateurs omnipotents imaginés au départ et seront plutôt pensés pour effectuer une tâche bien précise, constituant sans doute le moyen le plus efficace de la réaliser – voire le seul.
Simulateur quantique d’une molécule de polyacétylène, basé sur des électrons dans le silicium.Kiczynski et coll, CC BY
Pour illustrer ce principe par un exemple concret, une équipe australienne a réalisé cette année un petit processeur basé sur une dizaine de qubits en silicium, en piégeant des électrons entre des électrodes nanométriques. Ce circuit quantique a été conçu pour simuler des molécules de polyacétylène, une molécule qui présente un grand intérêt pour la physique fondamentale car elle matérialise un problème de physique théorique complexe, et qui a fait l’objet du prix Nobel de chimie en 2000.
Dans cette réalisation virtuose, la taille de la molécule simulée (10 atomes) est à la limite de ce qui est raisonnablement calculable avec un ordinateur classique. Cela a permis de vérifier les prédictions du processeur quantique.
Un processeur quantique deux fois plus grand, c’est-à-dire avec 20 qubits, surpasserait déjà de loin ce que nos capacités de calcul classiques pourraient simuler concernant ce type de molécules remarquables.
L’enjeu du passage à l’échelle
Pour atteindre un tel « avantage quantique », il faut augmenter le nombre de qubits dans les calculateurs.
Les dix à vingt dernières années ont vu la réalisation de nombreux prototypes de protocoles quantiques à deux ou quelques qubits – souvent spectaculaires. Les systèmes les plus avancés peuvent actuellement traiter quelques dizaines de qubits.
Outre les problèmes de « cohérence » déjà évoqués, la difficulté réside aussi dans la reproductibilité des systèmes physiques.
Prenons cette fois-ci l’exemple des photons. Les algorithmes quantiques nécessitent que ces particules de lumière soient toutes « indiscernables », c’est-à-dire qu’elles ont les mêmes caractéristiques, et notamment exactement la même longueur d’onde (la même couleur). Les meilleures sources pour cela sont les « boîtes quantiques », car les photons émis consécutivement par les meilleures boîtes quantiques sont tous identiques. Mais comme les photons émis par des boîtes quantiques distinctes sont généralement très différents. Pour réaliser un calcul quantique, on est donc contraint d’utiliser une seule et même boîte quantique, et d’utiliser les photons qu’elle a émis consécutivement. Cette contrainte complique l’architecture d’un futur ordinateur et limite le nombre total de qubits que l’on peut utiliser simultanément.
Des recherches sont actuellement menées par de nombreux laboratoires pour obtenir des sources contrôlées qui ont toutes la même longueur d’onde, ce qui permettra d’obtenir de grands nombres de photons identiques émis simultanément et de conserver une fréquence d’horloge élevée.
[Comment ça marche ?] Un ordinateur quantique. Source : CEA Recherche.
Quelle que soit la plate-forme physique choisie pour créer des qubits, il faudra pouvoir les manipuler et les mesurer en grand nombre, mais indépendamment les uns des autres. Et pour interfacer ces systèmes quantiques avec des contrôleurs classiques, il faut des systèmes miniaturisés, souvent nanométriques.
Ainsi, le passage à l’échelle de l’informatique quantique promet de donner du fil à retordre aux ingénieurs en électronique, en optique, ou encore en informatique… Même s’il est impossible de prédire si nous aurons un véritable ordinateur quantique « universel », l’informatique quantique fera sans aucun doute partie de notre futur et structurera durablement les sciences.
.jpg "mecascape")
.jpg "mecascape")
.jpg "mecascape")
.jpg "xpengX2")
.png "xpengX2")
.jpg "xpengX2")
