Amèle Debey
2 avr. 202214 Min
Mis à jour : 3 avr. 2022
Le docteur Solange Ghernaouti est experte internationale en cybersécurité et professeure en sécurité du numérique à la faculté des HEC de l’Université de Lausanne. Chevalier de la Légion d’honneur, figurant dans la liste des cent femmes les plus puissantes de Suisse, cette chercheuse au CV aussi interminable qu'intimidant a livré à L’Impertinent sa vision des cyberenjeux qui nous attendent, dont ceux de la surveillance de masse et de la dépendance numérique.
© Félix Imhof
Amèle Debey pour L’Impertinent: Experte internationale en cybersécurité, ça consiste en quoi exactement?
Solange Ghernaouti: Bonne question! Pour faire simple: la cybersécurité relève d’un champ disciplinaire relativement récent qui a commencé à être connu avec le Sommet mondial sur la société de l’information, lequel s’est tenu sous l’hospice de l’Union Internationale des Télécommunications en 2003 à Genève.
Être experte signifie être en mesure de comprendre les problématiques et les techniques spécifiques liées à la sécurité des systèmes informatiques et des réseaux, et être aussi capable d’appréhender la technique au regard de la réalité politique, économique, sociale et criminelle dans laquelle elle opère. Dès lors, il est nécessaire de s’intéresser aux niveaux des individus, des organisations et des Etats, aux risques générés par la dépendance à l’informatique et l’hyperconnectivité. Il s’agit d’identifier les risques, de faire de la gestion des risques et de les mettre sous contrôle en réalisant des mesures stratégiques et opérationnelles de sécurité appropriées au contexte et aux besoins spécifiques dans lesquels la démarche de cybersécurité s’inscrit.
Quelle formation est-ce que cela nécessite?
Ça dépend, il n’y a pas de profil type. Cela peut être extrêmement large et c’est d’ailleurs ce qui rend la chose intéressante.
Pour ma part, j’ai un doctorat en informatique et télécom et j’ai commencé par faire de la sécurité informatique par le biais de l’architecture et de la gestion des réseaux de télécommunication, en travaillant en particulier les questions de qualité de service réseau, de gestion des incidents et des performances.
En me rendant compte que la qualité de la sécurité n’avait de sens que par rapport aux usages et aux besoins des organisations, cela m’a permis de sortir de l’ingénierie de la sécurité, de mettre la technique à distance, pour appréhender des problématiques humaines, c’est-à-dire d’ordre politique, économique, juridique et social.
Ce qui m’a intéressée dans la sécurité informatique, au-delà des techniques de sécurité, c’est qu'elle a trait à l’humain et donc à l’universel. Cela m’a passionnée. J’ai compris très tôt que la sécurité ne pouvait s’appréhender que de manière holistique.
«Ainsi, je suis devenue une pionnière de l’approche transdisciplinaire de la cybersécurité.»
Dès que l’on s’intéresse aux questions de sécurité touchant aux États, par la force des choses on aborde des problématiques de souveraineté, de cyberdiplomatie, de sécurité publique, de sûreté, de défense nationale et donc de guerre dans le cyberespace. J’ai également suivi un cursus au sein de l’Institut des Hautes études de défense nationale pour mieux appréhender la complémentarité de la cybersécurité et de la cyberdéfense, dans un esprit de sécurité-défense.
Être un expert international signifie être en mesure de traiter et de dialoguer au niveau international, avec des acteurs internationaux, des sujets et d’agir à l’international soit au travers des agences onusiennes, où il m’arrive de représenter la Suisse et la société civile, soit en intervenant dans diverses instances publiques ou privées de différents pays, dans les domaines de cybersécurité et de la cyberdéfense. Par ailleurs, je participe à des projets de recherche internationaux, j’interviens régulièrement dans des conférences internationales et publie dans des revues internationales. Certains de mes ouvrages sont traduits en plusieurs langues.
N’est-ce pas forcément international dès que cela touche à Internet?
Oui et non, cela dépend du niveau auquel on agit. C’est le cas pour moi car j’interviens sur les cinq continents. Mais si on fait de la cybersécurité pour une PME locale, il n’est pas forcément besoin d’avoir une compétence reconnue mondialement et un champ d’action international, du moment où les risques auxquels Internet expose la PME sont appréhendés et traités.
Vous avez refusé que l’on fasse cette interview par Zoom. Pourquoi?
Effectivement, je privilégie tant que faire se peut, le contact humain direct et je m’emploie à être le plus possible indépendante des plateformes numériques et des services dits gratuits.
Ces derniers le sont parce que l’on consent implicitement à ce que nos données soient exploitées par le fournisseur de service, celui-ci étant américain, nos données sont de plus régies par les lois américaines. La sécurité des données n’est pas garantie et les données sont également stockées sur d’autres plateformes numériques (cloud) d’autres multinationales américaines.
De plus, rien ne nous permet de penser qu’il n’y a pas d’exploitation de nos données d’ordre biométrique comme la voix ou le visage et d’ordre comportemental (attitudes, …). C’est une sorte de dépossession des contenus que l’on autorise dès lors que l’on recourt à ces services. C’est pour cela que je ne préfère pas alimenter ce système et me passer de Zoom.
Je trouve étonnant qu’il nous ait été imposé de faire des cours sur Zoom (pendant le confinement, ndlr) et qu’il n’a même pas été envisagé d’utiliser, comme alternative possible, les services de nature similaire que propose par exemple la société suisse Infomaniak, dont les données sont stockées en Suisse, manipulées par des logiciels libres (open source) et soumises aux lois suisses.
C’est donc pareil pour Gmail, Facebook et tout le reste?
Et bien oui. C’est pourquoi j’évite aussi d’y recourir.
La fameuse rengaine «Quand c’est gratuit, c’est vous le produit»?
C’est généralement vrai. Vu les infrastructures nécessaires pour offrir ce genre de service à l’échelle mondiale, cela ne peut pas être gratuit! L’utilisateur paie toujours d’une façon ou d’une autre. Non seulement avec ses données, mais aussi avec ses métadonnées (les données sur les données liées à l’usage) et par les données obtenues par traitements des données récoltées.
On entend souvent, lorsque l’on évoque ce sujet, des gens nous répondre «après tout, je n’ai rien à cacher, qu’ils les prennent mes données». Qu’est-ce que cela vous inspire?
Oui, on l’entend souvent, c’est dommage mais révélateur de l’incompréhension de la vie cachées des données qui échappe à leur propriétaire. Ne pas vouloir dévoiler son intimité n’est pas équivalent à avoir quelque chose à cacher. Ce n’est pas parce qu’on n’a rien à cacher qu’on doit tout montrer.
Obtenir la transparence totale des personnes consiste, souvent – sous prétexte de personnalisation des services – à enregistrer toutes leurs actions, cela génère de facto des possibilités et des capacités de surveillance, du profilage et donc de ciblage des personnes.
Laisser en permanence des traces informatiques de ce que l’on fait, regarde, lit, achète, consomme, de l’endroit et de l’heure où on le fait, avec qui on le fait, etc. C’est cela la transparence des êtres, des comportements, des déplacements, des communications, des goûts et des sentiments. Cela induit un état de surveillance généralisé.
Une limite a-t-elle été franchie au niveau de la protection des données avec l’instauration du pass sanitaire pendant la crise Covid?
Certainement. Une espèce d’utilitarisme et d’autoritarisme numériques s’est mise en place qui s’inscrit dans une logique de contrôle, de normalisation des comportements et de la surveillance permanente.
Il existe une grande asymétrie de transparence et une surveillance imposée du fait de l’usage des services numériques qui sont pour moi une forme de violence qui ne dit pas son nom. Qui contrôle, le contrôleur? Qui surveille, le surveillant? Qui est en mesure de poser des limites à l’automatisation de la surveillance, à la surveillance sans limites, y compris celle qui est en train de se développer avec l’intelligence artificielle?
Force est de constater qu’un nombre toujours plus important d’activités se réalisent qu’à condition de disposer d’un sésame: le QR code. Utiliser des QR codes, comme ceux des pass sanitaires, pour démontrer qu’on en conformité avec les règles imposées, permet aussi d’alimenter la machine à exploiter les données et à surveiller (où on est, ce que l’on fait et avec qui on le fait). Rien de plus simple que de stocker, croiser des données, de les interpréter, d’en déduire d’autres...
«Le QR code est un instrument de gestion logistique destiné à des produits»
Au restaurant par exemple, lorsque deux personnes présentent ensemble un QR code, c’est tout un système informatique qui enregistre leur présence simultanée. Le fait qu’elles partagent un moment n’est plus limité à un lieu particulier et à un moment donné. C’est gravé dans le marbre électronique, les données ont alors une vie cachée qui échappe totalement aux individus, qui n’ont pas pu donner un consentement éclairé sur leurs usages, déduits de l’usage du QR code et des éventuelles informations captées en même temps que leur QR code.
Le QR code est un instrument de gestion logistique destiné à des produits, s’impose dans le quotidien des humains et s’applique à des personnes considérées comme des produits.
Cette problématique a été abondamment soulevée lors de l’instauration du pass sanitaire. On nous a assuré que les données étaient sécurisées.
Bien sûr, l’autodéclaration n’engage que ceux qui y croient. La sécurité comme la confiance ne se décrètent pas, elles se construisent, se prouvent et se contrôlent. Quelle assurance, quelle preuve formelle du niveau de protection des données avons-nous?
Comme pour l’espionnage, les conséquences des usages abusifs et détournés des données s’observent sur le long terme et ne sont pas immédiatement visibles. Si cela est invisible, comment lutter contre?
Sommes-nous complètement dépassés par la menace?
Certains le sont. Ne pas vouloir apprécier les cybermenaces et les conséquences de leur réalisation à sa juste valeur est un choix. Les cybermenaces existent depuis l’origine d’internet et la criminalité n’est pas un phénomène récent. Pour l’ignorer, il faut le faire exprès. Il faut laisser faire et ne pas agir pour être dépassé.
La cybercriminalité est une activité en pleine expansion depuis plus de vingt ans. La preuve en est, la Convention européenne de lutte contre la cybercriminalité date de 2001. Cela veut dire qu’elle a été préparée au siècle passé et la notion de crime informatique a été définie en 1983. Cela ne date pas d’hier!
Comment se fait-il qu’on ne se prémunisse pas davantage alors?
Parce que personne ne veut payer et porter le coût et la responsabilité de la sécurité.
Pour questionner, entre autres, l’efficacité de la sécurité, il faut questionner le modèle économique sur lequel s’est déployée l’économie numérique, basée sur le fait que les données sont livrées gratuitement par les utilisateurs.
Dans la mesure où ce sont des entités différentes qui supportent le coût du risque de celles qui fournissent des solutions informatiques, celles-là, qui ne sont pas obligées par la loi de s’engager sur un niveau de sécurité, n’investissent pas suffisamment dans la sécurité. La recherche de rentabilité et de performance économiques se traduit souvent par des budgets de sécurité et de maintenance minimalisés.
On a bradé notre sécurité?
En quelque sorte oui. On accepte une illusion de sécurité contre une idée biaisée de l’innovation technologique, pour une transition numérique rapide, pour de potentiels bienfaits de la dématérialisation, de l’instantanéité et pour l’émergence du nouveau.
Il y a une réelle difficulté à comprendre les enjeux de la maîtrise du risque informatique, car il est complexe et est à effet systémique. Il existe de manière transversale dans tous les secteurs d’activités, dans tous les usages privés et professionnels, y compris pour les services vitaux au bon fonctionnement de la société.
Le numérique fragilise la société. Je pense que certains décideurs n’ont pas encore saisi l’ampleur de la signification d’un défaut de cybersécurité ou de celle de la dépendance et de l’inféodalisation à des fournisseurs, ni de l’importance de disposer d’une approche transdisciplinaire et sociétale cohérente.
Nos sociétés occidentales se dirigent-elles vers un système de surveillance de masse à la chinoise?
Certainement. La surveillance de masse est déjà en place et est concomitante à l’usage du numérique. Et je dirais même plus, nous sommes déjà dans une société de l’évaluation permanente, de la notation, de l’attribution de notes, de bons et de mauvais points. Ce système de récompenses/punitions est à la base du système de crédit social chinois. Sous certains aspects, le crédit social à la chinoise s’est concrétisé en Suisse et a été imposé par les autorités lors de la pandémie. L’acceptabilité de ce modèle a été testée et entraîné par les personnes qui l’ont accepté pour obtenir le droit d’aller dans certains lieux (récompense) sinon sans elles ne le pouvaient pas (punition). Cela est basé sur la croyance que ce QR code protège ceux qui les utilisent (et on les récompense pour leur adhésion au système) et que tous les autres sont punis. Est-il possible de penser que l’usage du contrôle des droits d’accès par QR code soit un instrument de coercition pour contraindre à la vaccination?
La crise sanitaire et la peur ont permis de faire accepter un outil numérique de coercition et de surveillance de masse, et de le banaliser. Avec un geste simple, au service de l’économie numérique, présenter un téléphone est devenu indispensable et incontournable pour se déplacer, payer, etc.
La traçabilité et la surveillance numérique ont commencé bien avant la pandémie, sans que l’on s’en rende compte, avec les services, les offres et les publicités personnalisées, ainsi que le géomarketing. Le marketing ciblé, personnalisé et optimisé en fonction de la localisation, l’est aussi par les neurosciences. En fait c’est une opportunité de plus de faire du business en exploitant les données, celles liées à la connaissance du client, à son comportement, à ses goûts et à sa position géographique. En réalité la surveillance numérique a commencé aussi avec les moyens de paiement dématérialisés (en ligne, par carte, …). Ce qui a changé ces dernières années, c’est la convergence de la surveillance possible au travers des outils et usages numériques avec la surveillance qui existe dans le monde physique, via notamment les caméras de vidéosurveillance à reconnaissance faciale.
Mais le pass sanitaire est levé désormais…
Effectivement mais nous ne sommes pas à l’abri qu’il soit imposé à nouveau justement pour des raisons sanitaires (les virus biologiques existent toujours), de sécurité ou de lutte contre le terrorisme par exemple. En France, il est uniquement suspendu. L’instrument existe, les infrastructures sont déployées, les rentabiliser en banalisant son usage n’est pas exclu. Tout dépend du niveau de peur, de résistance et d’acceptation de la population pour l’adoption de nouvelles pratiques et contraintes qui induisent des renoncements de ce qui il y encore quelques années auraient été inimaginables ou inacceptables.
Dans le cas de la géolocalisation, qui exploite nos données? Est-ce que c’est Apple ou Samsung, par exemple, ou Swisscom ou Salt?
Cela dépend des applications et systèmes utilisés, mais les fournisseurs de téléphones vous demandent d’accepter tout un tas de choses dans leurs conditions d’utilisation, y compris sur l’usage de vos données. Leur modèle d’affaires est basé sur la maîtrise de l’information captée, transmise et traitée. Ainsi tout dépend des relations contractuelles entre l’ensemble des acteurs que sont les usagers, les opérateurs de télécommunications, les fournisseurs de services et les divers intermédiaires techniques.
La Suisse est-elle à la traîne sur le plan de la cybersécurité?
La réponse est dans le nombre de sites, d’institutions privées et publiques, de personnes victimes de cybermalveillance, qui se sont fait pirater, dans le nombre de cas annoncés et connus, sans oublier tous les autres, tous les incidents de sécurité qui ne sont pas rapportés ou médiatisés.
Être à la traîne ou pas ne veut pas dire grand-chose, en revanche ce qui est significatif est de savoir si les institutions, le pays sont en mesure de supporter le coût de l’insécurité numérique et les nuisances associées, y compris sur le long terme.
On brade donc notre sécurité contre une forme de confort?
Il s’agit d’une illusion de confort et de facilité. Les «marchands du numérique» vont mettre en avant les avantages de solutions numériques mais pas les inconvénients ni les risques. La balance des intérêts entre le positif et les risques de sécurité à mettre sous contrôle pour bénéficier des avantages est rarement faite et ce n’est pas l’utilisateur final qui a les moyens de le faire ou de réellement choisir.
Le marketing du numérique n’est pas basé sur les risques et les vulnérabilités, c’est un peu comme pour les médicaments dont la liste des effets secondaires indésirables est rarement vantée lors de la promotion de produits pharmaceutiques.
Depuis quelques années, il existe des centres de lutte contre l’addiction aux écrans et des cures de désintoxication numérique, ce qui est également un révélateur du côté négatif dont sont porteuses les solutions numériques. La dépendance numérique est, pour un pays un problème de souveraineté et d’autosuffisance numérique.
Comment voyez-vous les choses évoluer? D’ici dix, vingt ans, où en serons-nous?
Bonne question. Cela dépend à quel plan on s’y intéresse, celui des usages, de la sécurité ? Par rapport aux usages, il me semble que certaines personnes prennent conscience des risques et perçoivent les nuisances de l’hyperconnectivité comme on commence à prendre conscience des impacts négatifs de la mondialisation, des interdépendances stratégiques et des problèmes climatique et environnementaux.
Je pense qu’il y a un début de prise de conscience des limites, un début de maturité dans la compréhension des risques mais aussi une acceptation passive de l’insécurité et de la réalité des cyberattaques et de l’invisibilité immédiate des conséquences du manque de cybersécurité.
Les dirigeants politiques commencent aussi à s’approprier ces questions-là, puisqu’il existe des initiatives parlementaires sur la cybersécurité et sur la souveraineté numérique par exemple.
Il me semble tout de même que, d’un autre côté, on va toujours plus loin. Comme Facebook avec son Metaverse.
Tout à fait.
Ce Meta-univers, comme tous les univers virtuels ne sont pas anodins. Le sujet devient à la mode et une source de revenus pour ceux qui les commercialisent.
Le scénario qui pourrait se produire est le suivant : on empêche de plus en plus la réalisation d’activité dans la « vraie vie », mais on permet de faire oublier les limites imposées à l’aide de mondes virtuels dans lesquels il est permis de « vivre », de se divertir, de sortir... Il y a peut-être un lien à faire entre cette façon de vouloir contrôler les déplacements et la localisation des personnes et la volonté de pouvoir leur faire consommer encore plus de numérique via des environnements immersifs. Nous ne sommes pas obligés de trouver cela formidable. Ce sont de vraies questions de société que soulèvent le numérique, de débats à avoir et de choix civilisationnels à faire.
Pour revenir à l’actualité, quelle cybermenace pose la Russie en ce moment? Si tant est qu’il y en ait une?
On ne peut pas parler de cyberguerre, pour l’instant il n’y a pas eu de cyberguerre. On peut parler de cyberattaques qui entrent dans des logiques guerrières, de guérilla, de projection de puissance, de destruction et de nuisance, pour dominer, affaiblir ou soumettre des adversaires.
Ce qu’on a du mal à imaginer comme faisant partie des stratégies de guerre, c’est toute la manipulation de l’information. Manipuler l’opinion publique avec des processus de désinformation, de censure et de construction de vraies-fausses informations, de vidéos et de contenus truqués de toutes sortes, est une réalité. Mais qu’est-ce que la publicité, sinon une pratique licite de la manipulation d’opinion à des fins commerciales?
En fait la guerre informationnelle dépend des intérêts défendus et de qui détient le pouvoir d’énoncer la vérité. Le problème, à l’heure actuelle, c’est que ce pouvoir est dans les mains de certains acteurs qui détiennent toute la chaine de production, de diffusion des contenus, de traitement de l’information, y compris par des techniques d’intelligence artificielle et de mise en relation des consommateurs.
Lorsque des journalistes ne peuvent plus pratiquer leur métier sur le terrain et informer, lorsque seuls des acteurs habilités par les autorités ou des fournisseurs de services sont habilités à produire des contenus et des informations, alors la guerre de l’information est à l’œuvre.
«Il faut savoir interpréter les cyberattaque au regard de la réalité»
Dans le cadre du conflit actuel entre la Russie et l’Ukraine, qui pourrait porter atteinte aux intérêts de la Suisse, via le cyberespace? Ceux qui considèrent que la Suisse est hostile à leur cause? Cela peut se matérialiser par des cyberattaques contre des cibles suisses en guise de rétorsion, d’intimidation, de démonstration de force.
Hier, comme aujourd’hui, les criminels savent exploiter à leur avantage les situations chaotiques, nous l’avons vu avec le télétravail pendant la pandémie, c’était une opportunité supplémentaire et sans précédent pour que les cybercriminels soient très actifs. Après, pour qui travaillent-ils? Cela dépend des cas, on ne peut pas généraliser, ni forcément attribuer formellement l’origine des cyberattaques. Il faut savoir les interpréter au regard de la réalité.
Quels sont, selon vous, les principaux défis à relever en termes de cybersécurité désormais?
Le premier, me semble-t-il, est de fournir des solutions informatiques moins vulnérables, qui ne soient pas des passoires sur le plan de la sécurité. Les logiciels malveillants fonctionnent parce qu’il y a des failles de sécurité qui sont exploitées tant au niveau matériel que logiciel. Se réapproprier la façon de développer les infrastructures numériques qui tient compte des exigences de sécurité, arrêter les logiques d’obsolescence programmée et celle de maintenir captifs des clients est important.
Mais tout cela se fait au niveau du concepteur. Qu’est-ce que le quidam peut faire concrètement?
Etre exigeant. Par exemple, l’utilisateur devrait pouvoir refuser des services qui sont mal sécurisés, demander des dommages et intérêts aux fournisseurs de prestations chez qui ses données ont été piratées.
C’est un budget aussi. Tout le monde n’a pas les moyens d’acheter ce qu’il y a de plus sûr.
Oui et non, dans la mesure où le plus sûr n’est pas commercialisé!
Ajouter de la sécurité en bout de chaîne, dont le coût est porté par l’utilisateur même riche, ne fonctionne pas ! Il faut construire le numérique sur d’autres bases, penser la sécurité autrement, sinon nous allons continuer à faire ce que nous faisons déjà pour des résultats peu satisfaisants, pour quelle efficience? Il faut faire évoluer les pratiques et l’économie du numérique. Les consommateurs peuvent y contribuer en refusant certains services et usages, mais faut-il encore qu’il en ait les moyens.
C’est également la responsabilité du politique de définir les règles du solutionnisme technologique et de ne pas imposer des usages et pratiques numériques qui ne sont ni sécurisées, ni sécurisables.
Il y a encore du boulot quoi…
Oui, c’est un travail à long terme et de longue haleine qui passe par une prise de conscience et un éveil à ces problématiques par le plus grand nombre.