Dark Web, anonymat et données personnelles, Avec Régis Le Guennec
Télécharger MP3==/ Sous-titres générés avec IA (Whisper), editing et proofing par Guglielmo Fernandez Garcia /==
Dark Web, un terme qui, j'en suis sûr, ne vous est pas inconnu.
Pour autant, que savez-vous vraiment de cet espace numérique si particulier ? Dans l'imaginaire
collectif, ce cyberspace est avant tout l'endroit privilégié pour tout genre d'activités illégales.
Mais, avec Guglielmo, on est à peu près sûr que c'est un peu plus que ça. Alors,
on a essayé d'en savoir plus sur ce cyberspace en invitant Régis Leguennec,
spécialiste de la cybersécurité pour l'agence IPcyb. Dans cet épisode,
on va s'intéresser à l'aspect technique des choses, mais aussi à l'histoire du Dark Web.
Vous le verrez très vite, notre discussion avec Régis a dérivé vers la sécurité de
nos données personnelles. Pour qu'on ait les mêmes bases et bien comprendre ce qu'est le Dark
Web, je vous propose un petit rappel sur ce qu'est l'Internet et ce qu'est le Web,
parce que c'est pas la même chose. Internet, c'est le réseau des réseaux. Régis Leguennec
nous parlera de contenants. En gros, c'est la structure. Le Web, quant à lui, c'est juste un
service parmi tant d'autres. Quand vous vous connectez à Internet, vous pouvez utiliser une
multitude de services, comme l'email ou le téléchargement de fichiers via un service de
torrent par exemple. Mais dès que vous utilisez un navigateur, comme Google Chrome ou Firefox,
vous êtes sur un autre usage de l'Internet. Le Web. Bon, par rapport à tout ça, du coup,
le Dark Web, c'est quoi ? Si on fait le parallèle avec le Dark
Net et le Dark Web, le Dark Net, en gros, c'est l'infrastructure, même si elle utilise la même
infrastructure que l'Internet. Et puis, dans les Dark Nets, puisqu'il y en a plusieurs,
dans les Dark Nets, on va trouver des services, dont le Dark Web. Mais pareil,
dans le Dark Net, il n'y a pas que le Dark Web. Et le Deep Web alors ? J'ai l'impression que
souvent, le Dark Web et le Deep Web sont des termes confondus.
On pourrait parler de trois niveaux dans la partie Web. Il y a le Web surfacique,
le Web de surface. C'est quelques petits pourcents du Web mondial. Donc en gros,
ce sont toutes les pages qui sont indexées et qui sont accessibles facilement, c'est-à-dire,
en gros, sans mot de passe et sans avoir besoin d'avoir un outil autre que les navigateurs
classiques. Ensuite, on va voir juste en dessous ce qu'on appelle le Deep Web. Donc en gros,
la partie un peu sous la surface qui représente énormément de pages Web, puisque là,
ce sont à la fois toutes les pages qui sont protégées par un mot de passe, donc qui sont
plutôt privées. Donc là, on peut imaginer les réseaux sociaux aujourd'hui, mais les encyclopédies,
les services payants avec un compte et puis tout ce qui n'est pas indexé dans les moteurs
de recherche, donc on va dire difficilement accessible. Ça, ça fait partie à peu près
du Deep Web. Et puis, tout en bas, tout en bas, là où on va avoir besoin d'un équipement
particulier, notamment pour aller sur le réseau Tor, l'un des Dark Net, il faut un browser,
un navigateur qui s'appelle Tor Browser, donc un navigateur particulier. Là, on est en gros dans
le Dark Web où là, en gros, les pages ne sont pas indexées dans les moteurs de recherche. L'accès
difficile puisqu'il faut s'équiper avec un browser particulier. Jusqu'au Clear Web, c'est facile. On
ouvre un navigateur, on va à une adresse et on trouve une page. Qu'il y ait des pages protégées
par un mot de passe qu'on Facebook fasse déjà partie du Deep Web, ça, ça ne m'avait jamais
traversé l'esprit. Mais pourtant, c'est assez évident. À revanche, les Dark Web m'intriguent.
Si le Clear Web a été créé pour partager des informations avec tout le monde, il est en fait
assez évident que l'on souhaite aussi partager, en toute sécurité, certaines informations avec
seulement certaines personnes. Je me demande donc comment et quand les Dark Web est apparu par
rapport au Clear Web. Le Dark Net, à l'origine, a été inventé plutôt dans les années 70. Le Dark Net,
c'est un peu le début de l'Internet. C'était un peu le début avec l'Arpanet. Et donc, en gros,
l'idée un petit peu de tout ça, c'était de protéger les communications. Dans les années 90,
en gros, l'idée, c'était aussi, en dehors d'avoir de la résilience, comme je l'ai dit,
mais c'était de protéger les espions américains qui avaient besoin d'échanger des messages à
travers le Web. Et donc, en gros, ils utilisaient ce sous-réseau qui permettait d'assurer l'anonymat
et la confidentialité. Et puis après est arrivé Thor. Donc, il est un des Dark Web le plus connu,
le plus médiatisé, notamment après les années 2000. Et bien, moi, en étant un peu moins expert
sur ce sujet-là, il y a une question qui me vient tout de suite. Mais pourquoi tout cela devrait
nous intéresser? Ça veut dire, est-ce que c'est un sujet pour ceux et celles qui travaillent dans
la techno ou ça devrait intéresser moi aussi, que j'ai fait un usage, disons, standard d'Internet?
Déjà, pour répondre rapidement à ta question, j'ai développé un peu, mais en gros,
tout utilisateur de l'Internet, tout utilisateur de numérique, en gros, a besoin de protéger ses
communications, a besoin de protéger sa vie privée. Dans la cybersécurité, on parle de trois piliers
confidentialité, intégrité, disponibilité. Donc là, on est plutôt sur la notion de confidentialité.
On l'a entendu aussi avec les grandes affaires. Le but, c'est aussi d'échapper à certains endroits,
à la fois la censure, mais aussi à la surveillance de masse. Et en gros, c'est un outil un peu au
service de la liberté d'expression et de la lutte contre les abus des puissants.
J'entends cet argument du tout utilisateur du numérique a besoin de protéger ses données.
Mais sur le Web plus classique, je ne suis pas déjà protégé?
Alors, pas vraiment. Je parlais des trois piliers, donc le CID. Donc la confidentialité, c'est le C.
On va s'intéresser à ça uniquement. Quand, en gros, on fait transiter des données dans la
tuyauterie Internet, vu qu'elle est mondiale, elle est utilisée par tous. En gros, il y a ce
qu'on appelle l'homme du milieu, man in the middle. En gros, c'est celui qui se trouve sur
le bord de la route, sur le chemin et qui est capable d'intercepter ce qui transite via la
tuyauterie Internet. Donc, par défaut, les données sont transites en clair. Aujourd'hui,
déjà depuis quelques années, si on parle du service Web avec le protocole HTTPS,
les données transitent de façon sécurisée. Donc, c'est tout ce qui est site classique
qu'on peut consulter. Alors, aujourd'hui, oui, aujourd'hui, la plupart des sites sont HTTPS.
Mais si tu fais du transfert de fichiers, tu n'es pas forcément sécurisé. La messagerie,
elle n'est pas forcément sécurisée. En gros, tous les services n'utilisent pas des protocoles
sécurisés. C'est à dire qu'aujourd'hui, il y a encore beaucoup de choses qui passent dans le
tuyau en clair et qui sont du coup interceptées ou interceptables par l'homme du milieu.
A écouter Régis, les dark Web est quelque chose qui sert avant tout à la sécurité de nos données.
Bon, ça devrait servir, disons, parce que je ne crois pas qu'il y ait tant de gens qui l'utilisent
régulièrement. Mais les dark Web est aussi assez connu de la plupart des gens, comme les
coins d'Internet où il se passe des choses louches. Je ne sais pas si vous vous souvenez,
mais les dark Web est devenu très populaire à l'époque de Silk Road, au début des années 2010.
Un site où l'on pouvait tout acheter en bitcoin, des stupéfiants, des armes, des cartes de crédit
volées, jusqu'à la paix de pornographie. Or, Silk Road a fermé il y a un petit moment. Mais je me
demande si les Dark Web reste un lieu dominé par ces activités illégales. Il y a beaucoup de mythes
sur, en effet, les contenus qu'on peut trouver sur le Dark Web. En effet, les êtres humains,
les touragages, etc. Bon, en effet, ce qu'il y a de sûr, c'est qu'on peut trouver des armes,
de la drogue, mais on n'a pas besoin d'aller sur le Dark Net pour acheter ça. Parfois,
ça se trouve pratiquement au bout de la rue. Ensuite, pour une bonne partie, les utilisateurs
ne font que traverser le Dark Net. C'est à dire qu'en fait, ils utilisent le tuyau sécurisé du
Dark Net, que ce soit Tor ou un autre, pour aller, en gros, consulter des pages ou des sites
qui ne sont pas à l'intérieur du Dark Net. 90% des connexions ne font que traverser. A nouveau,
l'idée, c'est de faire en sorte qu'on ne sait pas qui parle à qui, ou qui se connecte à quoi,
et on ne sait pas ce qui transite dans le tuyau. Les services qui sont à l'intérieur des dark Web
ou du dark Net s'appellent des services cachés. C'est eux qui ont, si on parle du dark Web,
qui ont des points oignons, et si on parle principalement de Thor, notamment. Donc en
gros, il existe des services qui sont à l'intérieur, qui sont cachés, qui sont donc des
services cachés. Souvent sur le web, c'est des points oignons. Là, clairement, s'ils sont cachés,
s'ils sont là, souvent, il y a une certaine illégalité, bien évidemment, mais à nouveau,
comme dans la vraie vie. Mais pour la plupart, ils ne font que traverser. 45% des contenus illégaux
sont en rapport avec la drogue, notamment, et la drogue ne compte que, entre parenthèses, 15% de
tout ce qu'on peut trouver sur le dark Web. Et puis, bien évidemment, vu qu'on est quand même
dans des tendances un peu où certains états veulent écouter un peu toutes les populations. Du coup,
forcément, il y a de plus en plus de gens qui utilisent ces outils-là, ces moyens-là,
ces canaux-là pour, en gros, protéger leurs échanges, même s'ils n'ont rien à cacher,
puisque l'on peut avoir besoin de protéger ces communications sans forcément être un voyou.
Sans forcément être un voyou. C'est ce qui m'intéresse le plus.
Depuis plusieurs années, on discute de la manière dont nos vies,
de plus en plus imprégnées par le numérique, sont en quelque sorte mises sous écoute,
scrutées en permanence. Or, Régis parle de certains états malveillants, bien évidemment,
mais pour moi, nous parlons de quelque chose qui est aussi plus général. Il suffit de penser
à toutes les données que les gars-femmes, Google, Facebook, Apple et compagnie, accumulent sur nous.
C'est qu'en regardant son Instagram, nos goûts en matière de séries Netflix, etc. Pour moi,
on touche ici à l'un des points fondamentaux de notre société actuelle, la capacité de contrôle
d'internet. Les dark web est donc un espace où on met ses ceintures en sécurité de ce point de vue.
Je suis donc curieux de voir qui l'utilise dans ce sens.
On parlait au tout début de protéger ses communications et sa vie privée,
d'échapper à la censure, etc. Donc ça c'est plutôt un besoin fondamental.
Il faut savoir aussi que le Dark Net a été beaucoup utilisé par des reporters de guerre,
des journalistes d'investigation, des groupes politiques d'opposition, des lanceurs d'alerte,
tu en parlais, et puis aussi certaines communautés. Je pense à la communauté homosexuelle dont le
comportement est jugé déviant dans certains pays. Donc en gros, pour se protéger, certaines
communautés vont avoir besoin, en effet, d'utiliser ce réseau sécurisé pour protéger leur communication.
Donc ça, en effet, c'est plutôt pas mal. Sur les contenus légaux qu'on peut trouver sur le
dark web, on va retrouver des contenus avec des tutos, des outils pour les geeks. On peut
retrouver aussi des contenus orientés politiques dans des blogs et des forums. Tout ce qui va
concerner aussi l'anonymat et la vie privée avec des kits de survie. Electronic Frontier Foundation
permet aussi d'avoir à disposition pour certaines personnes sensibles, je pense notamment au
printemps arabe et aux révolutions qu'il y a eu à une époque dans certains pays, d'avoir des kits
de cyberprotection, donc pour certaines ONG. Des médias, il y a des journaux qui ont une version,
notamment le New York Times, qui en gros ont des versions dans le dark web. Je pense aussi à des
artistes qui vont utiliser aussi le dark web pour mettre à disposition leur musique, faire des
événements en live et puis des entreprises également qui peuvent aussi avoir besoin de
passer par ce genre de réseaux, d'outils, de canals pour pouvoir assurer aussi une certaine
protection. Notamment, je pense à la confidentialité sur des brevets, sur de la recherche et
développement, sur des choses où, en effet, il faut assurer la souveraineté. Il ne faut pas
qu'un état voisin puisse intercepter une communication liée en effet plutôt à des données
économiques. Il faut le dire, Régis Leguennec apporte beaucoup de nuances au discours qu'on a
l'habitude d'entendre sur le dark web. Ce cyberspace ne serait donc pas que ce lieu d'internet un peu
bizarre dans lequel il se passe des trucs plutôt louches. Après avoir compris qu'il y avait un
véritable intérêt au dark web, notamment pour la sécurité de nos communications, on a souhaité
interroger notre invité sur des services un peu plus grand public. Alors naïvement, je lui ai
demandé si nos conversations sur WhatsApp, Messenger ou Instagram n'étaient pas tout aussi
sécurisés qu'un chat du dark web. Alors normalement, sur le papier, ça devrait être le cas. Après,
on n'est jamais à l'abri. Alors déjà, il n'y a pas de sécurité à 100%, ça n'existe pas. Que
ça soit Meta ou plutôt des acteurs malveillants, ils peuvent toujours essayer de déchiffrer ou de
décrypter le message. Puisque décrypter, c'est plutôt quand je n'ai pas la clé. Il faut aussi
attaquer les algorithmes de chiffrement. Je pense là à des services de renseignement comme la NSA,
qui ont la force de calcul, les compétences et les moyens pour attaquer les algorithmes et
donc intercepter les messages. Mais au fait, ça veut dire quoi chiffrement ? En fait, en gros,
dans la cryptologie, donc la science du secret, il y a deux métiers. Il y a la cryptographie qui
est plutôt dans la défense et puis il y a la cryptanalyse qui est plutôt dans l'attaque.
En gros, dans la cryptographie, on chiffre et on déchiffre avec, pour faire simple,
une clé. C'est la clé qui chiffre et c'est la même clé qui déchiffre, même si c'est un peu
plus compliqué que ça dans certains cas. Quand je n'ai pas la clé, je dois retrouver le message
en clair comme une brute, comme un bourrin, et donc j'y vais avec un marteau. Donc en gros,
décrypter, c'est j'ai pas la clé et j'y vais comme un bourrin avec un marteau. C'est d'ailleurs
pour ça qu'on ne dit pas crypter, ça ne se dit pas dans la langue française, parce que crypter,
ça voudrait dire fermer le coffre avec un marteau. Non, on ne ferme pas le coffre avec un marteau,
on chiffre avec une clé, on déchiffre avec une clé et on décrypte comme un bourrin. Et à nouveau,
c'est pour ça qu'on ne dit pas crypter, parce que ça n'a pas de sens.
Du coup, on entend beaucoup parler de ce moment. On a vu sur tous les chats qui passaient avec,
par exemple WhatsApp aussi, sur un chiffrement de bout à bout au end-to-end. Et du coup,
je me demandais par rapport à tous ces besoins de sécurité, qu'est-ce que c'est au final ce
chiffrement et pourquoi c'est utile ? Et si tu avais un commentaire sur ça.
Alors le chiffrement, c'est très utile. Ça fait partie des mesures de sécurité élémentaires pour
justement se protéger sur le pilier de la confidentialité. On n'a pas la culture du
chiffrement en France parce qu'il y en a encore beaucoup qui pensent que c'est illégal, alors que
ce n'est pas du tout illégal. Ce qui est illégal, c'est de ne pas fournir la clé de chiffrement si
la police ou la justice te la demande. Donc ça, c'est un premier point. Ensuite, pour ce qui est
du chiffrement de bout en bout, en gros, il faut idéalement aller le plus près possible de
l'utilisateur en appliquant des principes de chiffrement. Parce qu'en effet, si c'est un
de tes fournisseurs de services, on va penser à Facebook, qui déchiffre au moment où tu arrives
sur les serveurs de Facebook et toi tu connectes sur le serveur de Facebook, et bien en sortie du
serveur de Facebook jusqu'à chez toi, la communication n'est plus confidentielle, n'est
plus chiffrée. Donc de bout en bout, ça veut dire qu'en fait ça va jusque dans ton téléphone,
dans ton application et même les intermédiaires, les fournisseurs de services comme par exemple
Facebook et autres, ne peuvent pas voir ta communication, ne peuvent pas consulter les
messages qui transitent par eux dans le tuyau. Donc en gros, plus tu vas proche de l'utilisateur,
mieux c'est, en sachant que du coup là, c'est chiffré jusque dans ton téléphone, jusque dans
l'application, ce qui n'empêche pas d'avoir un spyware, donc en gros un logiciel malveillant sur
ton téléphone qui, une fois déchiffré, une fois que la communication est en clair au bout,
donc sur ton téléphone, d'être intercepté, en fait il y a toujours moyen, il suffit même de
récupérer la main sur le téléphone. On a pu voir ces dernières années par exemple beaucoup
d'influenceurs faire la promotion de VPN et aujourd'hui c'est quelque chose qui commence
à toucher le grand public. D'après vous, dans les usages, il y a quelque chose qui a changé,
est-ce qu'aujourd'hui les gens sont plus sensibles à leur donnée, à leur sécurité en ligne en tout
cas ? Oui, je pense qu'avec toutes les affaires dans la presse, que ce soit la surveillance,
les fuites de données, les cyberattaques, etc., je pense que de toute manière, globalement,
on entend de plus en plus parler de cybersécurité, donc en gros l'utilisateur lambda est de plus en
plus attentif. Moi je le vois notamment sur la robustesse des mots de passe auprès des
étudiants d'année en année, on voit bien que cette hygiène numérique, cette façon de se protéger,
elle s'améliore quand même tous les jours. Après c'est vrai qu'avec des outils dont on
entend parler pas mal avec les influenceurs comme les VPN, Virtual Private Network, en gros ça
permet à nouveau de chiffrer sa communication. Ce qui est assez drôle dans le VPN, c'est que
souvent quand on entend parler du VPN, les gens pensent plutôt changer d'adresse IP,
regarder des films sur un autre continent, donc là on est plutôt sur du hacking d'usage puisque
le VPN, normalement, il est plutôt là pour se connecter sur un réseau interne, donc on est à
l'extérieur, donc plutôt un VPN est quand même plutôt utile dans un cadre d'entreprise pour
pouvoir se connecter au réseau et profiter des services du réseau local de l'entreprise comme
l'intranet, la messagerie interne, etc., les serveurs de fichiers quand je suis en déplacement.
Donc il est primordial de se connecter de façon sécurisée quand j'utilise la tuyauterie qui
est partagée par le grand public et par les crapules de tout genre au niveau mondial. Donc
oui, dans un cadre professionnel, le VPN est plus qu'utile. Dans un cadre, on va dire, du particulier
lambda, déjà il y a le HTTPS pour ce qui est du service web qui est vital à partir du moment où je
vais saisir des données sensibles, comme mon mot de passe, mon numéro de carte bleue ou des données
personnelles. Par contre, si je suis sur le site de Marmiton, que l'homme du milieu il sache que
je suis sur le site de Marmiton et sur la page des flancs bruneaux ou du quinamane plutôt, je
m'en fiche. En fait, tout dépend de si j'ai quelque chose de sensible à faire transiter par le tuyau.
Si c'est le cas, il faut absolument que je m'assure que ce transport se fasse de façon sécurisée.
Je fais souvent le parallèle avec l'idée de confier ça à un fourgon blindé pour qu'il aille
transporter son information sensible à l'autre bout du tuyau, sur la route, à destination,
quand il y a quelque chose d'important à faire transiter. J'ai l'impression qu'il y a cette idée
que nous il faut protéger nos données et de l'autre côté il y a des attaquants,
l'état ou des gens malveillants. Prenons l'NSA, National Security Agency aux Etats-Unis,
l'agence de sécurité qui espionnait tout le monde grâce au programme comme par exemple Prism. Si
vous vous souvenez, il s'agit du programme révélé par le lanceur d'alerte Edward Snowden en 2013.
Est-ce que l'NSA devient de plus en plus bonne ? Est-ce que nos attaquants développent des outils
aussi toujours plus performants ? C'est le fer et la souris à nouveau, ça s'arrêtera jamais. C'est
un long voyage, ça va toujours d'un côté s'améliorer et de l'autre également. Il y en aura
toujours un qui aura plus de longueur d'avance. Les algorithmes de chiffrement sont de plus en plus
robustes, bien faits, ont parfois assez peu de vulnérabilité mais souvent pour casser un
algorithme, pour casser une clé, il faut une force de calcul. Et ça, les forces de calcul de
l'informatique évoluent assez vite et donc en gros c'est un peu sans fin. Donc on n'est pas prêt
d'avoir encore des soucis sur nos échanges et nos communications puisque avec l'informatique
quantique par exemple qui risque d'arriver dans les prochaines années, on est mal barré là-dessus.
Méthode d'attaque et de défense évoluent donc tout le temps dans le cyberespace. En
sachant cela, on a voulu savoir comment les grandes plateformes numériques faisaient pour
se protéger. D'ailleurs, sont-elles si bien protégées ? Ces dernières années, on a pu
entendre parler de fuites de données de la part de Facebook, de Google, etc. Est-ce qu'on pourrait
pas attendre de tels géants une sécurité en béton armé ? Alors en effet, ça c'est une bonne question
puisque il y a des fuites partout, de plus en plus, parce qu'on a de plus en plus de services,
on a de plus en plus de données et puis toutes ces données-là, elles ont de la valeur tout
simplement. Donc en gros elles se font attaquer, des fois c'est même un acte maladroit ou même
de l'inattention lors d'une mise à jour, puisque la difficulté c'est de ne pas intégrer de nouvelles
vulnérabilités dans le temps. Et comme les systèmes doivent être mis à jour, comme on demande en tant
qu'utilisateur toujours de nouvelles fonctionnalités, du coup il y a toujours des nouveaux développements.
Si on s'était arrêté à Windows 3.1 ou Windows 95, on n'aurait plus trop de problèmes, mais on
comprend bien que non, que c'est mieux quand même d'avoir de nouveaux services, de nouvelles
fonctionnalités. Donc là c'est pareil, c'est sans fin, il y aura toujours des vulnérabilités,
puisqu'on fait évoluer le système, et donc il y aura toujours des gens pour s'infiltrer dans ces
failles et faire en sorte de pirater les données, puisque c'est un peu l'or du 21e siècle. La data
c'est quand même quelque chose d'important, et donc entre des mauvaises configurations,
des erreurs, un petit côté maladroit et puis des crapules qui veulent s'emparer du trésor,
des fuites, c'est pas fini quoi. Même sur des géants comme ça ? Même sur des géants,
parce qu'à nouveau ils ont aussi des fois des mises à jour, des évolutions qui font
que l'erreur est humaine. Et puis des fois ils utilisent aussi, et ça c'est un problème qu'on
rencontre partout, notamment dans les développements, c'est qu'ils utilisent un certain nombre de
composants et de dépendances, c'est un peu le château de cartes. Ils ne réinventent pas la
roue à chaque fois, ils s'appuient sur des logiciels open source ou autre, et ce qui fait
que le moindre maillon de la chaîne qui est faillible, c'est tout qui s'écroule, et la
créativité et l'ingéniosité de certains cybercriminels, dont c'est le métier, ils font
ça tous les jours, ils ont fait des études, va profiter d'un instant d'inattention ou d'une
vulnérabilité à un moment pour tout simplement s'infiltrer, puisque eux c'est eux qui décident
du moment des armes et de l'endroit. Ils sont presque des fois un peu en attente d'une faiblesse,
d'une erreur. Moi en écoutant tout ça j'ai un petit problème. J'ai l'impression que 1,
ces géants sont très fragiles, au final, et 2, j'ai l'impression que quand on parle des
cybersécurités, on nous demande à nous les usagers de, par exemple, changer des applications,
de, je ne sais pas, comme on a dit tout à l'heure, si on veut être sûr que les infos soient bien
sécurisées, il faut s'équiper, on l'a dit. Mais du coup, je me demande que c'est très étrange
pour moi que nous on a décidé collectivement, quelque part, que la protection de nos données
était gérée par Facebook, par les gars-femmes, etc. Eh bien ça ne serait pas plus à l'état de,
par exemple, organiser, pas gérer complètement, mais d'organiser quelque sorte la protection de
nos données à la place de la remettre complètement à des gens qui ne sont pas forcément experts et
qui peut-être n'ont pas les temps, l'envie aussi de se plancher sur la question. Je pense que les
gens ils n'ont pas forcément envie de confier certaines de leurs données ou toutes leurs
données aux États, aux gouvernements. Je pense que les gouvernements en ont déjà pas mal des données.
Il y a une petite histoire qui est intéressante, qui justement s'appuie un petit peu sur cette
notion un peu de centralisation des données des Français. C'est en 1974, en gros, le gouvernement
voulait en gros ficher, centraliser plus de 50 millions de Français dans le projet qui s'appelle
Safari. Et l'idée, en gros, c'était de rassembler et d'avoir une petite fiche d'identité numérique
informatique. Et tout ça, il devait être rassemblé dans un ordinateur au sein des locaux du ministère
de l'Intérieur. Donc on peut imaginer qu'à ce moment-là, l'opinion publique s'est mobilisée. En plus,
dans les années 70, ça a réveillé de douloureux souvenirs, notamment liés à l'occupation. Et le
Premier ministre de l'époque a été contraint de faire machine arrière et a créé un comité qui
était en charge de mener des consultations. Et en gros, tout ça a débouché sur la création de
la CNIL donc la Commission Nationale Informatique et Liberté. Un organisme qui, justement, est
normalement à peu près indépendant et qui assure justement la protection des données avec le
règlement européen maintenant, le fameux RGPD, qui justement met un code de la route. En fait,
je pense que l'État est plutôt là pour mettre en place des règles. On le voit aussi avec l'ANSI,
l'Agence Nationale de la Sécurité des Systèmes d'Information, qui est plus là pour mettre des
règles en place, porter des exigences à certaines entreprises essentielles pour qu'elles se protègent
bien et que leurs services continuent, coûte que coûte, d'être apportés aux populations. Et puis,
il y a l'aspect économique avec les grosses entreprises qui font leur business et qui,
il faut le dire quand même, nous apportent des services qui sont plutôt quand même de qualité,
en tout cas pour la plupart et pour certains. Après, la CNIL, si je ne m'abuse, elle est
souvent décriée pour, justement, des fois, son manque de pouvoir, non ? Alors, avec le RGPD au
niveau européen, la CNIL a eu un peu plus de pouvoir de sanction. C'est un petit peu évolué là-dessus.
Mais oui, à son début, en tout cas, elle n'avait pas un énorme pouvoir de sanction. Donc, en gros,
à partir du moment où le gendarme ne peut pas verbaliser, en gros, forcément, il y a des abus.
En fait, il ne s'agit pas de donner mes données à l'État, mais que l'État fournisse les outils
pour sécuriser mes données. Par exemple, Aral Balkan, de la Fondation Small Technology et
militant des droits de l'homme, propose des données à chaque citoyen et citoyenne européen,
un espace numérique sur des serveurs publics gérés par des administrations locales comme,
par exemple, les municipalités sur lesquelles les citoyens et les citoyennes peuvent conserver
leurs données sans les donner aux GAFAM. Honnêtement, si la municipalité met en place
l'infrastructure, je suis tout à fait pour donner un coup de main à mes amis pour mettre en place
des services comme, par exemple, Nextcloud, l'équivalent open source de Google Drive. Et
je pense que ça serait aussi plus facile pour faire de la sensibilisation. Mais moi, je ne sais
pas, ça me semble une idée intéressante, mais ce n'est pas moi l'expert de cyber sécurité dans
les studios. C'est un vrai dilemme, c'est un vrai problème. En fait, en gros, il faut trouver
l'équilibre. La difficulté, elle est là. C'est qu'en fait, oui, dans le meilleur des mondes, en effet,
avoir un espace partagé où on vient déposer ses fichiers sur un espace local comme tu viens
de l'évoquer avec une mairie, pourquoi pas, se pose le problème de la sécurité. Est-ce qu'une
mairie, elle a les capacités, les moyens, les compétences de sécuriser un serveur au sein de
ses locaux ? Moi, je pense que la réponse, c'est non, pour avoir travaillé avec des collectivités.
Donc en fait, il faut confier ses données à des gens compétents et c'est là que le business nous
rattrape, l'économie nous rattrape. Et là, c'est le dilemme qu'on pourrait avoir avec le cloud.
Est-ce qu'il faut confier nos données dans un cloud en Californie ou est-ce qu'il faut faire
avec une petite association du coin, déposer nos données en sachant qu'il y a quand même de
grandes chances que des grandes entreprises comme les GAFAM et autres aient plus de moyens, plus de
compétences, plus de temps pour faire ça à peu près bien pour ce qui est de la sécurité des données.
Je ne parle pas forcément d'aller fouiller dans nos affaires puisque ça c'est aussi, il ne faut pas rêver,
leur modèle économique. Mais pour ça aussi, on peut leur confier nos données et les chiffrer pour faire
en sorte qu'ils n'aillent pas fouiller dans nos affaires. Comme ça, on peut profiter de leur
espace qui est proposé à bas coût avec la sécurité derrière. Et puis comme eux, ce qui les intéresse,
puisque quand c'est gratuit, c'est souvent nous le produit, c'est qu'en gros ils aillent fouiller
dans nos affaires pour nous profiler. Le but, c'est de leur mettre un petit bâton dans les
roues en tout simplement en chiffrant les données qu'on met dans le cloud. Et comme ça, les plateformes
ne peuvent pas aller fouiller dans nos affaires. Pour finir, on a posé une question à Régis
Leguennec qui semble bête, mais pourtant c'est essentiel de le savoir. Quelle est la valeur de nos données ?
Souvent les gens dans la cybersécurité, ils pensent que c'est que leurs données qui a de la valeur.
Alors qu'en fait, la valeur, elle n'est pas que dans la data. Puisqu'en fait, en gros c'est soit
t'es attaqué parce que c'est toi le trésor, soit t'es attaqué parce qu'en gros ton équipement ou
toi-même peut servir pour attaquer quelqu'un d'autre. Et ça, dans énormément de cas, il y a
cette notion qu'on se sert de toi qui justement pensait ne pas avoir de valeur pour en gros
attaquer ton voisin. L'usurpation d'un compte Facebook parfois, c'est tout simplement pour
arnaquer tonton et tata au nom de la personne qui pensait qu'elle avait rien à voler ou à se
faire voler sur son compte Facebook. Mais l'attaquant, il s'en fiche du compte Facebook. Lui, ce qu'il veut,
c'est se servir de la confiance qu'on peut avoir dans cette personne auprès de ses proches et de
sa famille pour en gros crier à l'aide. Et on est pratiquement assuré qu'il y a bien quelqu'un qui,
par réflexe, et c'est plutôt sain, va essayer de prendre la posture du sauveur pour venir le sauver.
Pirater un site vitrine où il n'y a pas d'intérêt, ça peut servir à cacher un code pour par exemple
pointer sur un site malveillant et augmenter son référencement à travers les techniques un peu de
référencement naturel. Pirater un site tout pourri, ça peut être aussi un site vitrine sans intérêt,
ça peut être pour y cacher un exploit, donc en gros un petit script, un petit logiciel qui
va permettre d'infecter tout simplement tous ses visiteurs. Voilà, donc en gros il y a
plein plein plein d'attaques qui s'appuient non pas sur la valeur de la personne ou du site mais
plutôt s'en servir comme un moyen d'attaque. Donc ça c'est un premier point. Le deuxième en effet
c'est la valeur de la donnée. Donc la valeur de la donnée, ça clairement aujourd'hui, la donnée ça
vaut de l'argent, il y a des entreprises qui gagnent plutôt assez bien leur vie avec la revente de nos
données personnelles, donc ça c'est pas un scoop. Pour ce qui est des tarifs, ça va dépendre un
petit peu de quoi on parle, ça va dépendre un peu de la fraîcheur de la data, je pense à des comptes
des comptes Facebook, Spotify, Uber, AirBnB, etc. Tous ces comptes-là ont de la valeur, en gros tous
les profils ont de la valeur, tous les profils se revendent sur le darknet. Ça peut aller de quelques
euros à un peu plus pour certains comptes, ça dépend à nouveau si c'est un compte récent,
parce qu'on peut imaginer que les anciens comptes, les mois de passe ont été changés, donc du coup
ils n'ont plus de valeur. Ça s'achète par paquet de 10, 200, 2000 et puis on va trouver aussi tout
ce qui est papiers d'identité qui permettent souvent, et ça va là aussi avec des comptes,
d'usurper l'identité de quelqu'un, donc en gros de pouvoir mener des actions au nom de quelqu'un.
Et l'usurpation d'identité c'est un véritable problème, un véritable fléau.
Merci à Régis Leguennec d'IPcyb pour avoir répondu à nos questions sur le dark web et la
cybersécurité. Si cet épisode vous a plu, on vous invite à nous le signaler sur vos applications de
podcast. On rappelle également que nos autres émissions sur le Fab Lab et la conception
d'interface sont disponibles en podcast en tapant AZERTY sur vos applis préférées.
Bref, sur ce, on vous dit à bientôt pour de nouvelles aventures numériques.
==/ Sous-titres générés avec IA (Whisper), editing et proofing par Guglielmo Fernandez Garcia /==
Créateurs et invités
