QUAND INTERNET S’ÉCROULERA (vous vous retrouverez tout cons) (

Publié le par sceptix

[Bruno Kerouanton - 28/05/2009]

La crise financière à mis en lumière les risques encourus par le non respect de la réglementation existante ou par les effets pervers d’une réglementation inadaptée. Il est aussi un domaine totalement anarchique sur lequel les politiques ne se sont posé que très peu de questions et qui pourrait provoquer un séisme bien plus grand encore s’il venait à s’écrouler : il s’agit de l’informatique en général et d’Internet en particulier.

Qui se préoccupe encore de s’assurer que le réseau Internet, par exemple, restera disponible en toute occasion, que les données transmises resteront fiables et que leur confidentialité sera assurée ? En vérité, peu de choses sont prévues et un sentiment d’impuissance règne au regard de cette nébuleuse.

Face à une informatique mondiale aujourd’hui dépendante de sociétés multinationales privées, dont l’objectif légitime est la rentabilité de leurs propres opérations, il manque les règles issues d’un consensus mondial ayant prééminence sur celles-ci, dont le défaut est d’être souvent à géométrie variable.

Nous faisons désormais aveuglément confiance en la fée informatique, puisque les autres le font également, mais nous ferions bien de nous poser les bonnes questions : le bel édifice est-il si solide qu’on le prétend ? Repose-t-il sur des bases saines ?

Nombreux sont les exemples démontrant que l’on croit maîtriser le tout, alors qu’il n’en est rien.

Réponse aux commentaires postés sur le Blog IE des Echos

Je me permets d’intervenir afin d’apporter quelques approfondissements, suite aux commentaires précédents.

La teneur de mon billet est certes concise, voire frugale, car je ne souhaitais pas rallonger inutilement le texte. Ce qui m’amène à craindre pour le futur d’Internet, sous la forme que l’on connaît actuellement, est lié à différents signaux faibles déjà présents depuis un certain temps. L’analyse de leur conjonction permet d’anticiper sur le devenir de ce beau réseau qu’est Internet.

Je vous propose de vous associer à ma démarche, d’une part en prenant connaissance de quelques éléments factuels qui ont été récemment annoncés (parmi bien d’autres), et d’autre part en ajoutant quelques pistes de réflexion telles que je les ai intégrées. C’est ainsi que j’en suis venu à rédiger ce billet.

La perte de contrôle de nos données.

Les données qui nous appartiennent (tant aux particuliers qu’aux organisations), et qui sont a fortiori non seulement sensibles, mais également critiques en termes de pérennité de notre société telle qu’elle est organisée actuellement sont de plus en plus fréquemment confiées à des entités tierces, privées et mercantiles, souvent transnationales.

Ce sont, me direz-vous, les effets de la mondialisation que l’on observe partout ailleurs et qui somme toute ne posent pas tant de soucis que cela dès lors que l’on parle de produits ou de services « traditionnels ». Que la construction d’une voiture soit réalisée en occident ou dans un pays asiatique ne change a priori rien, sauf en regard des coûts qui y seront bien moindres. Cela étant, il y a un souci récurrent : le risque que l’information importante s’échappe hors du contrôle de son propriétaire. Prenons cet exemple : lors de la manufacture d’un produit confié à un tiers, les plans et procédés de fabrication, contrairement aux biens et objets palpables, sont techniquement duplicables à volonté, instantanément et sans que leur propriétaire n’ait donné son accord. Cela donne d’ailleurs depuis longtemps bien du fil à retordre auxdites sociétés automobiles et de manière générale à toutes les entreprises qui délocalisent leur savoir-faire, au grand bonheur des firmes de conseil en « propriété intellectuelle ». Certes, il y a les lois qui encadrent ces dérives, j’y viens…

La mondialisation est intéressante si l’on en maîtrise les conséquences de manière positive. Chaque pays possède sa propre vision des choses, mais surtout sa propre législation. La difficulté lorsque l’on délocalise ses données, est que bien souvent le for juridique ainsi que la législation qui s’applique à leur traitement est défavorable au client. Les États-Unis sont le numéro un de l’envoi de pourriels, et les différents organismes chargés de classer les pays en fonction de leur aptitude à protéger les données classent ce même pays parmi les mauvais élèves. Pourtant, ce sont aux entreprises de ce pays à qui l’on confie la grande majorité de nos données professionnelles (cloud computing, SAAS, etc.) et personnelles (réseaux sociaux, moteurs de recherche, courriel, etc.). Certes, pour le moment les différentes législations en vigueur outre-Atlantique, notamment Sarbanes-Oxley et HIPAA, ainsi que l’application de standards tels qu’ITIL ou l’ISO 27001 tendent à renforcer la protection de certaines de ces données (financières pour SOX, de santé pour HIPAA), mais il faut garder à l’esprit que tout est finalement basé sur des clauses contractuelles stipulant que le client accepte sans réserve le traitement de ses données avec un avantage substantiel pour le fournisseur.

La nouvelle économie : le troc de l’information et du service rendu

À titre d’illustration, prenons le numéro un des moteurs de recherche. Bien que ce dernier stipule noir sur blanc dans ses clauses contractuelles à quel sort seront livrées les données de l’utilisateur internaute, qu’il soit un particulier ou une institution, celui-ci n’en prend que rarement connaissance. Tout comme bien d’autres leaders d’Internet, cette entreprise propose, outre un profiling très détaillé de l’utilisateur sur ses habitudes de navigation, différents services de conservation de ses données personnelles sensibles (emails, documents, vidéo…) voire très sensibles (localisation géographique1, données de santé2, numéros de cartes bancaires…). Ce sont des informations que l’on ne souhaiterait certainement pas confier à ses relations voire à ses proches, et pourtant on les remet sans aucune gêne à un prestataire presque inconnu. Ce comportement de l’utilisateur internaute n’est pas irrationnel, mais mû par un facteur opportuniste : on lui propose gratuitement un service très évolué en contrepartie de la collecte de ses données. D’ailleurs, les entreprises adoptent le même comportement : les nouveautés telles que le Software As a Service (SAAS), le Cloud Computing et autres concepts récents ne sont ni plus ni moins que des méthodes permettant les économies d’échelle en délocalisant les centres de calcul, et en mutualisant les ressources tout en décuplant les possibilités. Il serait donc stupide de s’en priver, mais cela se fait en contrepartie de la perte de contrôle d’une partie de ses données.

Le cas du web 2.0 et ses dangers

Un autre point qui devient gênant, et lié à ces interconnexions omniprésentes, est lié au risque posé en cas de cessation d’activité transitoire (suite à un dysfonctionnement) ou permanent d’une société tierce, à laquelle nous sommes liés par le biais de SAAS, « web services », « mashups » ou autres innovations dites « web 2.0 ». Si ces services distants sont interrompus, le processus complet s’interrompt. Compte tenu de la criticité de ces services d’une part, et de la densité de ces interconnexions d’autre part, il convient de s’interroger sur le risque en cas de rupture d’alimentation de données en provenance des partenaires. Dans un tel modèle informatique, les données sont perpétuellement en transit entre différents acteurs, et l’on peut faire un parallèle avec nos fournisseurs de ressources énergétiques ou d’eau potable qui sont considérés comme des ressources critiques indispensables et dont le service ne peut être interrompu. Le souci est que nombre d’entreprises délivrant de tels services web ou hébergeant des données qui leur ont été confiées ne sont pas considérées comme étant critiques stricto sensu.

Je rencontre plus en plus d’institutions et d’entreprises qui en interne font appel à des services délocalisés (Amazon S33, et j’en passe…), hébergés dans différents pays de par le monde, et soumis à des législations différentes. Leurs responsables informatiques sont forcément alléchés par les coûts moindres et les nombreuses possibilités offertes. De plus, implémenter de tels services leur permet d’être « à la pointe », atout non négligeable pour s’assurer une brillante évolution. Le risque réside cependant dans l’hypothèse d’interruption ou de dysfonctionnement de ces services externalisés, qui ne sont finalement jamais sous contrôle effectif : lorsque ces services distants défaillent, tout ou partie de l’application métier qui en dépend devient inutilisable. Ayant discuté de cela avec plusieurs responsables informatiques ayant vécu ce type d’expérience à plusieurs reprises, je confirme que l’expérience est douloureuse.

Le web, un nouveau terrain de non-droit… mondialisé

La violente attaque informatique subie par l’Estonie en 20074 a été le révélateur dans les esprits qu’Internet pouvait devenir un terrain de bataille numérique. Depuis longtemps, les spécialistes savent que différentes possibilités sont offertes aux gouvernements, mais également aux mafias et autres institutions criminelles pour utiliser Internet à des fins malveillantes. Pour l’internaute, les pourriels sont la partie émergée de l’iceberg et le phénomène ne cesse de préoccuper les professionnels chargés de rendre Internet plus fiable et sécurisé. Les ordinateurs se font détourner par dizaines de millions dans le cadre de « botnets » afin d’envoyer des pourriels et de lancer des attaques. Celles-ci deviennent de plus en plus sophistiquées et sont l’œuvre non plus d’individus isolés, mais bien de collectivités criminelles organisées et se répartissant le travail en fonction de leurs compétences, et des législations localement déficientes. En Russie on trouve les concepteurs d’outils d’attaque, virus et vers. En Inde, aux Philippines, Malaisie et à Singapour, des entreprises de plusieurs centaines de personnes se chargent de mettre à mal les « captchas » et autres mécanismes de vérification. Aux États-Unis, on spamme. En Chine, on duplique et on conçoit des outils de collecte d’information. Au Brésil, en Turquie, on trouve les spécialistes de l’intrusion informatique. Et ainsi de suite, tout ce beau monde collaborant de manière fructueuse et professionnelle ; car une réelle économie souterraine a été mise en place par ces derniers. Le cas du Russian Business Network, grande entreprise russe qui avait pour activité de mettre en œuvre l’ensemble de ces services illicites, n’est qu’un exemple parmi bien d’autres.

Et pendant ce temps, les entreprises et les particuliers utilisent Internet sans crainte… mais jusqu’à quand ?

À titre d’exemple, voici enfin quelques actualités récentes pour illustrer le tout :

En décembre dernier, trois câbles sous-marins ont été sectionnés en Méditerranée5, perturbant ainsi le fonctionnement d’Internet pour un certain nombre de pays. Les entreprises impactées qui ont une informatique interne fortement dépendante d’Internet en partie par l’utilisation de technologies SAAS et Cloud Computing, ont fortement souffert de cet incident tandis que celles qui avaient une informatique traditionnelle (serveurs et données hébergées en interne) n’ont pas eu de telles préoccupations.

De plus en plus de fournisseurs d’accès à Internet6 commencent à réfléchir à la possibilité de facturer le trafic Internet non plus au forfait, mais au volume échangé, comme autrefois. Ce concept aurait des chances d’être « accepté » bon gré mal gré par les utilisateurs, qui ne peuvent de toute manière plus se passer d’Internet. Les fournisseurs d’accès comptent ainsi profiter de la manne tout en limitant certains usages d’Internet considérés comme parasites (spams, etc.). Reste à voir comment les entreprises qui font massivement appel aux services externalisés et délocalisations de données réagiront lorsque les factures arriveront.

Google a eu une interruption de service le 14 mai dernier. Interruption qui a fait chuter le trafic Internet de manière impressionnante comme le révèle le graphique7 émis par la société Arbor Networks, spécialisée dans la mesure du trafic Internet. Ce qui est révélateur est que durant cette brève coupure, le trafic Internet mesuré a diminué d’un facteur quinze… Google serait-il devenu le centre d’Internet ? Quoi qu’il en soit, lorsqu’une telle société est « coupée » l’impact sur le reste des entreprises et particuliers est très important, surtout que nombre de petites entreprises ont résolu d’utiliser au maximum les services de messagerie et de documents fournis par Google, ceux-ci étant gracieusement offerts.

Chaque semaine, un site clamant pourtant mettre tout en oeuvre pour que les données de ses clients soient en lieu sûr rencontre des soucis. Aujourd’hui même, le site Facebook a été piraté8, puisqu’un internaute a réussi à s’y introduire pour y collecter les identifiants et informations de connexion de l’ensemble des utilisateurs français. La sécurité totale n’existe pas, mais la concentration de grandes quantités de données personnelles ou sensibles vers un nombre d’entreprises réduit suscite les convoitises des attaquants, qui n’hésitent pas à utiliser tous les moyens possibles pour y dérober de l’information.

Conclusion

Internet a été conçu il y a plusieurs décennies, et la sécurité n’était pas la préoccupation des concepteurs. De nos jours, la manière d’utiliser Internet, notamment par les entreprises et institutions, semble révéler cette même insouciance, chacun étant persuadé qu’il n’y aura pas de souci, car les « spécialistes sont là » pour veiller. Ces mêmes spécialistes ont depuis quelques années commencé à s’inquiéter, mais leurs échos se sont révélés bien faibles. Interrogez les fondateurs d’Internet, ils vous apporteront des réponses peu réjouissantes. Pour Vincent Cerf9, la perte de contrôle non seulement de nos données, mais également de nos vies privées est inéluctable. Richard Stallman10 fustige les utilisateurs du Cloud Computing et craint un effet néfaste pour l’ensemble de l’économie. L’analyste Gartner11 confirme d’ailleurs cette hypothèse en estimant que l’offre ne serait pas fiable sur le plan de la sécurité avant au moins 2015.

Recoupant les propos du vice-président d’AT&T qui estime que le réseau Internet ne pourra pas tenir la charge face aux nouvelles applications web dès 201012, le groupe de recherches Nemertes13 quant à lui estime que ces nouveaux services externalisés mettront Internet en péril sur le plan des capacités techniques aux alentours des mêmes dates…

Comme vous le constaterez, je l’espère, l’article que j’avais posté n’est pas pure spéculation, mais bel et bien un avertissement qu’il ne faut pas mettre tous ses œufs dans le même panier, et que si la fée Internet nous fait rêver, il faut être circonspect et prévoir l’avenir avec raison.

1Le service Google Latitude permet d’utiliser votre téléphone portable afin de vous localiser en temps réel, permettant ainsi « de retrouver ses amis ».

2Comme annoncé sur le site, le service Google Health permet « D’organiser ses informations de santé en un seul endroit, de rassembler ses documents médicaux de médecins, hôpitaux et pharmacies, et de partager ces informations avec un membre de la famille, des médecins et personnels de santé ».

3http://aws.amazon.com/

4http://technaute.cyberpresse.ca/nouvelles/internet/200705/31/01-10992-acte-de-guerre-cybernetique-contre-lestonie.php

5http://pro.01net.com/editorial/399648/trois-cables-haut-debit-sous-marins-rompus-en-mediterranee/

6Parmi ceux-ci, AT&T en expérimente le principe : http://www.wired.com/epicenter/2008/11/att-tries-usage.

9http://www.7sur7.be/7s7/fr/4134/Internet/article/detail/828491/2009/04/22/Le-fondateur-d-internet-craint-l-effet-big-brother.dhtml

10http://www.linuxinsider.com/story/Cloud-Computing-Perilous-Pitfall-or-Panacea-64716.html

11http://www.cio.com/article/426214/The_Dangers_of_Cloud_Computing

12AT&T: Internet to hit full capacity by 2010 – http://news.cnet.com/2100-1034_3-6237715.html

13http://www.romow.com/tech-blog/could-the-internet-crash/

 
Pour être informé des derniers articles, inscrivez vous :
Commenter cet article