Diverses voix : Allô, allô, vous m’entendez !
Oui. Thibaut, tu es là ?
Oui, je suis désolé, je suis complètement sous l’eau. J’ai un boulot de déglingo, en ce moment !
J’ai un peu l’impression que le son n’est pas comme d’habitude.
C’est un peu dommage, parce que tu ne partages pas le petit verre qu’on en train de se prendre, tranquilles, avant d’aller au studio avec Cyrille.
Nous, on n’est pas que sous l’eau, on n’est pas qu’à l’eau non plus !
Mettez-m’en un de côté.
Je propose qu’on aille sous l’eau.
On plonge.
On plonge dans le Web.
Même dans les sous-couches du Web.
On va aller sous, non pas sous l’eau, mais sous le Web qu’on connaît.
On va explorer toutes les couches du web avec Nicolas Hernandez.
Allez, c’est parti !
Vous êtes bien accrochés, parce que ça secoue !
Diverses voix off extraites du film Les Barbouzes : Enfin Monsieur, qui êtes-vous ?
Boris, voyons, on est presque frères. Ce pauvre cher Constantin a tété le lait de ma mère à Odessa.
Je croyais qu’il était né à Téhéran.
Et alors, on chante aussi bien à Téhéran qu’à Odessa !
Oui, mais le vent du large souffle un peu moins fort, c’est à 200 bornes de la mer !
Voix off : Trench Tech. Esprits Critiques pour Tech Éthique.
Cyrille Chaudoit : Bienvenue à toutes et à tous. Vous êtes bien dans Trench Tech, le podcast qui titille votre esprit critique pour une tech plus éthique. Cyrille Chaudoit au micro avec Thibaut le Masne.
Thibaut le Masne : Hello, hello !
Cyrille Chaudoit : Et MickMick Levy.
Mick Levy : Salut.
Cyrille Chaudoit : Ne vous demandez plus si vous serez un jour cyber-attaqué, mais plutôt quand et comment.
Mick Levy : Tu commences fort !
Cyrille Chaudoit : Mais c’est systémique, Mick. Nous sommes tous menacés, car, jusqu’à preuve du contraire, si vous nous écoutez, c’est que vous êtes connectés et, si vous êtes connectés, vous partagez de la donnée. Et, même si vous ne nous avez pas partagé votre numéro de CB, pas encore, toutes vos activités sur le Web, même les plus simples et, d’apparence, inoffensives, peuvent un jour servir à un cybercriminel.
Thibault le Masne : On me dit souvent de protéger mes données, de toute façon, je n’ai rien à cacher !
Cyrille Chaudoit : Je sais ! Il y a du boulot, Thibaut. C’est pour cela qu’on a voulu cet épisode, pour enfin comprendre pourquoi le risque ne vient pas seulement des fuites de vos données qui circulent sur le dark web, même si on va aussi en parler, parce que, comme nous, avant de préparer cet épisode, vous n’imaginiez peut-être pas comment, en recoupant simplement des infos parfois anodines, on peut en savoir beaucoup plus que vous ne le pensez sur vous-même et ce n’est pas joli joli les gars !
Alors, avec notre invité Nicolas Hernandez, nous allons nous demander comment l’OSINT [1], pour Open Source Intelligence, cette discipline qui consiste justement à enquêter sur ce qui traîne à propos de nous sur le Web, peut aider les particuliers et les entreprises à se protéger.
Nicolas Hernandez n’est pas une barbouze, à la différence du maladroit Francis Blanche dans le film de Georges Lautner que nous avons entendu en prologue, non ! Nicolas est PDG d’Aleph [2], leader européen de l’OSINT et, puisqu’il est capable de scruter toutes les couches du Web, celui que vous utilisez tous les jours, mais aussi les entrailles du dark web et même des sites black hat, vous savez, les hackers, eh bien, je pense qu’on va jouer à se faire peur, mais que nous allons aussi prendre conscience de deux/trois trucs qui vont changer notre vie après l’épisode.
Alors, restez avec nous jusqu’à la fin, car voici le programme : d’abord, nous demanderons à Nicolas de nous expliquer l’OSINT, comme il le ferait avec notre grand-mère. Puis, nous aurons en ligne de mire le risque cyber que nos données, disponibles aux quatre vents, nous font courir, avant de parler de nos amies les entreprises, ces passoires stratégiques. Et, pour mettre notre réflexion en ébullition, deux chroniques dont vous êtes fans : un Moment d’égarement de Laurent Guérin qui nous parlera de feu les PDA et la Philo Tech d’Emmanuel Goffi qui nous parlera des intelligences artificielles et des cathos. Et n’oubliez pas, dans moins d’une heure à présent, nous débrieferons, juste entre vous et nous, cher public, des idées clés partagées dans cet épisode. Alors, restez jusqu’au bout. Vous êtes prêts ! Alors accueillons ensemble, sans plus tarder, Nicolas.
Bonjour Nicolas.
Nicolas Hernandez : Bonjour à tous.
Thibaut le Masne : Bonjour.
Mick Levy : Salut Nicolas.
Nicolas Hernandez : Merci pour votre invitation.
Cyrille Chaudoit : Nicolas, on se tutoie ?
Nicolas Hernandez : Oui.
Cyrille Chaudoit : Super ! Le programme, tel que je viens de le poser, te plaît-il ? Est-ce que tu as quelque chose à préciser sur ta bio ou rebondir sur le programme ?
Nicolas Hernandez : Non, il est parfait. Ce qui est important, c’est l’échange qu’on va avoir, ce n’est pas moi.
Cyrille Chaudoit : Alors lançons notre grand entretien, vous êtes bien Trench Tech et ça commence maintenant.
Voix off : Trench Tech. Esprits Critiques pour Tech Éthique.
Comment expliquer l’OSINT à ma grand-mère ?
Mick Levy : Les amis, je vais être honnête avec vous, je dois vous confesser un truc, je ne savais pas du tout, mais alors pas du tout, ce qu’est l’OSINT [1] [courte digression sur la prononciation, NdT] pour Open Source Intelligence, avant de préparer cet épisode. Vous me connaissez pourtant, j’aime bien jouer le monsieur je-sais-tout dans la bande, mais là, je dois avouer, vous confesser, que le sujet m’avait un peu échappé. Du coup, aujourd’hui, je suis avant tout là pour comprendre ce qui se cache derrière cette démarche d’Open Source Intelligence. Nicolas, est-ce que tu peux nous expliquer, avec des mots simples, peut-être pour ma grand-mère, pour ma mère, je ne sais pas, à toi de voir, pour mon père éventuellement aussi, ce qu’est l’OSINT ?
Nicolas Hernandez : Je vais essayer. En fait, ça regroupe plein de méthodologies, d’outils. Pour faire simple, c’est simplement une démarche qui va permettre d’aller rechercher des données pour comprendre des choses. Ça va dépendre de ce que je recherche et de ce sur quoi je tombe. C’est aussi simple que ça.
Une petite précision : quand on parle d’« intelligence », c’est au sens américain du terme, c’est-à-dire l’information, à ne pas confondre avec l’IA.
Cyrille Chaudoit : C’est au sens de renseignement, c’est le renseignement ?
Nicolas Hernandez : C’est plus l’information, je préfère le terme information que renseignement. Renseignement, dans nos cultures, c’est lié au militaire, alors que information fait moins peur.
Cyrille Chaudoit : C’est l’intelligence au sens de la CIA, Central Intelligence Agency, c’est ça ?
Nicolas Hernandez : C’est ça.
Cyrille Chaudoit : D’accord. Si on te suit bien, aller sur Google pour chercher l’information, c’est déjà de l’OSINT [1] ?
Nicolas Hernandez : Oui. C’est le premier outil. En fait, on fait tous de l’OSINT. Moi, je mets un « z » [prononciation « ozint », NdT].
Cyrille Chaudoit : Tu mets un « z ».
Mick Levy : On peut dire « ozint ».
Nicolas Hernandez : On peut. Moi je dis « ozint », certains disent « ossint », certains disent « ROSO ».
Cyrille Chaudoit : Là, ce n’est plus pareil.
Nicolas Hernandez : Renseignement, je ne sais même plus, il y a tellement d’acronymes dans ce milieu-là ! Renseignement de sources ouvertes ou renseignement d’origine sources ouvertes. C’est le terme qu’on trouve dans la réglementation française.
Mick Levy : Du coup, à quoi ça sert de faire de l’OSINT [1], finalement ?
Nicolas Hernandez : Comme tout le monde, comme on le fait tous, ça sert à s’informer, ça sert, tout bêtement, à s’informer.
Mick Levy : Mais là, avec l’OSINT, on n’est pas juste dans la démarche de s’informer pour savoir s’il va faire beau demain, savoir quelle décision doit prendre une entreprise quant au lancement d’un produit ou d’un autre. Je comprends qu’on est dans de l’information et du renseignement un peu profonds, quand même, si ce n’est assez systémiques sur un sujet, sur un thème, sur une personne, c’est ça ?
Nicolas Hernandez : C’est exactement ça. Ça dépend de la question qu’on va poser. C’est-à-dire qu’on peut faire de l’OSINT, dans un cas, pour se protéger. On peut faire de l’OSINT pour attaquer : si on pense à un hacker, la première de ses démarches c’est de trouver des renseignements sur ce qu’il souhaite attaquer.
Selon la question, selon les intentions, l’OSINT va avoir un sens qui est différent. En fait, l’OSINT n’a pas de couleur. Ce sont juste des méthodes et des outils.
Cyrille Chaudoit : D’accord. On comprend qu’il y a moyen de faire de l’OSINT, je dirais, à moindre coût et très facilement, ne serait-ce qu’en utilisant un moteur de recherche. Mais la démarche, disons, des personnes qui sont tentées de faire de l’OSINT, dépasse de très loin l’usage que l’on a, nous, quidam, mortel des mortels, quand on va chercher une information pour tous les jours.
D’où vient finalement l’OSINT ? Est-ce que ça vient du monde précisément de l’intelligence et, à ce moment-là, du monde du renseignement, dont tu nous a déjà dit que ce n’est pas forcément le terme que tu préfères, ou de l’intelligence économique ? Quelle différence avec la veille telle qu’elle peut être pratiquée par les entreprises ou par les institutions, que l’on connaît peut-être davantage dans le monde des entreprises ? Est-ce que tu peux nous éclairer là-dessus ?
Nicolas Hernandez : Effectivement, ça reste de l’OSINT dans tous les cas, c’est que les sources d’information qu’on va utiliser ne sont pas nécessairement les mêmes, c’est la grosse différence.
Si je fais de l’OSINT au sujet d’une société pour savoir si elle est fiable juridiquement et financièrement, je vais aller sur des sites comme pappers.fr [3], societe.com [4], Infogreffe [5], pour avoir de l’information et, là, j’aurai effectivement sa situation financière.
Si je suis un hacker, je vais rechercher des éléments de faiblesse technique, donc je vais aller rechercher des outils open source pour identifier ses sites web, ses noms de domaine, s’il y a des mots de passe qui traînent dans le dark web.
Si je suis un service de renseignement, je vais faire de l’analyse, je vais essayer d’identifier des gens au sein d’une structure et voir, après, si ces gens laissent des traces sur les réseaux sociaux, pour essayer de comprendre comment ils fonctionnent, pour remonter et aller trouver le maximum de traces pour les sortir d’une certaine forme d’anonymat.
Cyrille Chaudoit : Tu nous dis, en creux, que l’intelligence réside dans le fait de croiser un certain nombre de sources, qui sont diverses et variées, pour essayer d’en tirer une forme d’analyse qui va nous apprendre quelque chose, qui n’est pas visible de prime abord si on cherche une information, mais qui se cache derrière ce fameux croisement d’informations, qui nous fait comprendre quelque chose, qui va nous permettre, peut-être, quoi ? De mieux comprendre l’entreprise, de l’attaquer ? Est-ce que tu peux nous donner un cas d’usage pour qu’on se projette peut-être un peu mieux ?
Nicolas Hernandez : Dans le cas des grandes entreprises, on a ce qu’on appelle les here why sign, c’est-à-dire que les achats vont valider qu’un fournisseur est solide en termes financiers. Dans cette démarche-là, il va y avoir une démarche de renseignement, ou d’OSINT, pour vérifier les comptes, le passé juridique du dirigeant, tout ce nombre d’éléments qui vont permettre de dire que cette boîte tient la route, elle va tenir dans la durée, et qu’on passe un contrat avec un fournisseur qui va être fiable. Là, on voit bien qu’on est dans un secteur particulier, avec des outils particuliers, et Google ne sera pas le premier outil. On va retomber sur Papper, sur des documents pénaux, juridiques et autres.
Il y a une grosse différence avec ce qui se faisait à l’époque en manuel. C’est-à-dire qu’avant, pour trouver les statuts d’une société, j’étais obligé d’aller à la préfecture, aujourd’hui, j’ai des sites web. Maintenant ça devient beaucoup plus facile et les usages se sont élargis.
Mick Levy : Finalement, on pourrait dire que l’OSINT [1] ce sont un peu toutes les techniques du renseignement, de la CIA, de la DGSE, etc., que chacun peut un petit peu employer, que ce soient des « osinteurs », on pourrait dire, des particuliers, des entreprises ou toute personne qui a besoin d’avoir des renseignements au sens profond, au sens CIA du terme ?
Nicolas Hernandez : Ça va même plus loin. Je pense à nos enfants ou même à nous. Un célibataire qui croise quelqu’un sur Instagram va rechercher des photos, il va rechercher ce qu’il aime faire, il va emmagasiner des informations pour connaître au mieux la personne.
Mick Levy : Pour adapter les techniques de drague !
Cyrille Chaudoit : C’est du stalking !
Nicolas Hernandez : Adapter des techniques de drague ! C’est connaître les personnes. On peut le retourner d’une autre manière : j’ai envie de m’engager avec quelqu’un et j’essaie de le connaître.
Mick Levy : Ne le dites pas à ma femme ! J’ai fait de l’OSINT quand je l’ai rencontrée, mais sans savoir que j’étais un « osinteur » de ouf !
Nicolas Hernandez : On a tous eu un petit fichier Excel !
Mick Levy : Perso, je ne l’ai pas fait sous Excel !
Cyrille Chaudoit : Attention au RGPD [11] après !
Mick Levy : C’est clair ! Thibaut.
Thibaut le Masne : Si c’est anonyme ! Justement comment les « osinteurs » sont-ils organisés ? Il y a des associations, il y a des entreprises ? Ou ce sont uniquement des francs-tireurs qui se mettent à stocker un peu tout le monde pour essayer de sortir avec ?
Nicolas Hernandez : Il y a un peu de tout, c’est pour cela que c’est en train de se structurer. Il y a une association historique qui s’appelle OSINT-FR [6]. Il y en a une plus récente et bien active qui s’appelle ozint [7], avec un « z », qui affirme la liaison, et puis il y a des écoles. Aujourd’hui, il y a l’École de guerre économique [8], il y a l’École militaire, on voit aussi cette notion de guerre qui apparaît dans la partie économique et puis il y a des universités, maintenant, qui ont aussi un rôle d’éducation autour de ces pratiques. C’est donc en train de se structurer. On a mis un nom sur quelque chose qui était assez discret avant, des méthodes, et là, maintenant, ça apparaît au grand jour, mais on se rend compte qu’on fait tous de l’OSINT en fait.
Thibaut le Masne : Ça apparaît depuis combien de temps puisque tu dis que c’est assez récent ? Si Mick n’en a pas entendu parler, c’est que ça doit être tout neuf !
v Levy : En fait, je me rends compte que je connaissais la pratique, mais, personnellement, je n’avais pas du tout le terme. La question reste entière.
Nicolas Hernandez : C’est le terme qui est relativement nouveau. En fait, les pratiques existent depuis la nuit des temps. Quand je cherche à attaquer un ennemi, parce qu’il m’a piqué de la bouffe ou ma femme, je vais me renseigner pour savoir quand il va à la chasse pour récupérer ma femme.
Mick Levy : Du coup, quand ce terme-là a-t-il émergé ? Est-ce qu’il est né avec l’open source et Linux ? Est-ce qu’il y a une sorte d’affiliation idéologique, on pourrait dire ?
Nicolas Hernandez : Non, il est relativement récent. On parlait de veille économique au début des années 90, il y avait déjà ce type de pratique et, à l’époque, on ne parlait pas de ROSO.
Thibaut le Masne : Oui, c’est ça. Tout à l’heure, j’évoquais le domaine de la veille pour de l’intelligence économique. Tu viens de rappeler les notions de guerre économique, les circuits aussi et les filières d’enseignement, on peut penser à l’École de guerre économique, etc.
Je sens, quand même, que tu ne nous dis pas tout, Nicolas, parce que, depuis tout à l’heure, on a un peu l’impression que, finalement, c’est un truc de gentils, on est tous le monsieur Jourdain de l’OSINT [1] parce qu’on en fait tous, sauf que moi, quand je vais sur ton site web, tu parles clairement d’une technologie militaire. Tu dis « la puissance d’une technologie militaire au service des entreprises » – parce que tu mets l’OSINT au service des entreprises et on en parlera tout à l’heure, dans la troisième séquence, avec Thibaut –, mais vous parlez aussi de votre capacité à aller sur toutes les couches du Web. Est-ce que tu peux nous aider, en deux mots, à nous représenter ces différentes couches, cet écosystème du Web, parce qu’il n’y a pas que le Web qu’on l’utilise tous, comme de bons monsieur et madame Jourdain en allant sur Google, il y a aussi ce qu’on appelle le dark web [9], de deep web [10]. Vous parlez même de EASM, un acronyme qui veut dire External Attack Surface Management. Est-ce que tu peux nous aider à y voir un peu plus clair parce que là ça semble être un mille-feuille de couches dans lesquelles il y a des informations qui circulent, celles que l’on met plus ou moins volontairement à disposition sur le client web et puis toutes celles qui leakent à droite à gauche sur le dark web ? Dis-nous la vérité Nicolas ! L’OSINT, ce n’est pas que d’aller sur Google, sur Wikipédia ou sur Insta.
Nicolas Hernandez : La grosse différence, une différence fondamentale, c’est que le taux de pénétration du numérique est beaucoup plus fort qu’il y a 10/20 ans, donc, ça change complètement la donne. On a à peu près les mêmes outils, par contre on a beaucoup plus de données, beaucoup plus de sources. Il y avait déjà une numérisation en marche, le Covid a remis un coup d’accélérateur, tout le monde s’est remis à échanger, à mettre des VPN [Réseau privé virtuel], tout le monde travaillait de chez soi et le monde professionnel et le monde personnel ne sont plus imperméables. Donc, ces données se croisent naturellement, ce qui crée des enjeux en termes informationnels qui sont monstres et ces différentes données, tu l’as bien dit, se retrouvent effectivement essaimées sur les différentes couches en fonction de ce qu’on a souhaité laisser comme informations. C’est-à-dire qu’on va retrouver sur les couches hautes du Web, le deep web, ce que j’ai souhaité, on va prendre des réseaux sociaux comme standard.
Cyrille Chaudoit : Ça, c’est en connaissance de cause et plus ou moins avec notre consentement, on est d’accord.
Nicolas Hernandez : Exactement, avec un consentement non éclairé, on pourrait le dire de cette manière.
On va retrouver des données qui sont légales. Typiquement, l’adresse personnelle de quelqu’un qui dépose un brevet va se retrouver sur la base européenne des brevets. On pourrait dire que ce n’est pas conforme avec le RGPD [11], ce sont des données. Oui, c’est compliqué, c’est loin d’être simple.
Et plus on va s’enfoncer dans les couches du Web, plus on va retrouver des données qu’on ne souhaite pas voir. En fait les couches basses du web, ce qu’on appelle le dark web, ça a une particularité : c’est une zone où on va pouvoir déposer et consulter des informations de manière anonyme, sans contrôle et ça change complètement les pratiques. Sociologiquement, on ne fait pas les mêmes choses quand on n’a pas le regard du gendarme qui menace, ça change complètement la nature humaine et on la voit différemment. Donc, on retrouve des horreurs, mais on retrouve effectivement des données volées qui nous concernent personnellement, qu’on n’a pas souhaitées être disponibles de manière ouverte.
Mick Levy : Justement, pour permettre d’exploiter aussi ces données cachées, en quelque sorte, dans le dark web, est-ce que l’OSINT [1] peut être une manière de lutter contre certains fléaux ? J’en cite un parmi d’autres : en France on recense 750 000 pédocriminels actifs sur Internet, la France serait le quatrième hébergeur de contenus pédocriminels. Est-ce que l’OSINT pourrait être aussi mis à la disposition de la lutte contre ce fléau qu’est la pédocriminalité en l’occurrence ?
Nicolas Hernandez : Oui, et c’est bien pour cela qu’on a créé cette structure, qu’Aleph-networks [2] existe, c’est-à-dire qu’on allait à la main, en mode garage, dans le dark web et quand on a découvert tout ça, on s’est dit « il faut un outil pour que l’État voit ce qui se passe », parce qu’il y a un phénomène qui est bête et méchant : tant qu’on ne voit pas, on ne peut pas agir.
Mick Levy : Donc, révéler les problèmes qui sont dans ces couches basses du dark web, les comprendre, parce que tu as une vision globale de toutes ces données, c’est ça ?, et ensuite on en fait quoi ?
Nicolas Hernandez : Ensuite, on appelle l’État et on lui dit : « Regardez, maintenant vous ne pouvez plus dire qu’il ne se passe rien ».
Mick Levy : Parce qu’à la DGSI, ils n’ont pas de moyens comme ceux-là ? Ils ne luttent pas, à la DGSI [Direction générale de la Sécurité intérieure], contre ce sujet de la pédocriminalité avec le même type de moyens ?
Nicolas Hernandez : Si. Chacun lutte avec le regard que le politique lui apporte, c’est-à-dire qu’il y a des stratégies, il y a des moyens, il y a des directives. Si les politiques ne donnent pas les moyens, à la DGSI, d’avoir des outils et des ressources, si ce n’est pas une priorité, on va travailler sur d’autres sujets. On ne voit bien avec ce qui s’est passé suite aux événements de Charlie Hebdo : le lendemain des attentats, nous avons été appelés par les services de renseignement, le lendemain !, pas la veille, après le fait. Il y a, en fait, un phénomène politique qui va diriger les efforts de la DGSI, de la DGSE [Direction générale de la Sécurité extérieure], des services de renseignement.
Mick Levy : Pour bien comprendre, ils vous appellent parce qu’ils ont besoin de monde en plus, un peu comme on ferait appel à une réserve civile, parce qu’il faut plus de personnes pour aller à la guerre ? Ou est-ce qu’ils vous appellent parce que vous avez une techno qu’ils n’ont pas, donc ils se disent « on est passés à côté d’un sujet » ?, sans nous révéler de grands secrets d’État.
Nicolas Hernandez : Nous avons été appelés parce qu’ils n’avaient pas de techno. En fait, il y a une espèce de mythe : quand on ne voit pas un truc on a des mythes. On nous a toujours dit « oui, mais ils le font, oui, mais ils ont les outils, oui mais » ! En fait, on ne sait pas. En fait, on présume qu’ils l’ont. Preuve en est : on est venu chercher notre techno, c’est bien qu’ils ne l’avaient pas avant et c’est bien un événement qui a fait qu’ils prennent le sujet en main. C’est toujours pareil : je ne peux lutter que contre ce que je vois, donc, comme je n’ai pas de moteurs de recherche dans le dark web, je ne peux pas faire de recherches donc je ne vois rien. Et il y a un truc tout bête : imaginez le Web sans Google !
Mick Levy : Oh non ! Ne remets pas Yahoo, s’il te plaît !
Thibaut le Masne : Il y a Lycos !
Nicolas Hernandez : Ça change complètement notre regard sur le Web, ça le structure même.
Mick Levy : Bien sûr et on voit que la structuration du Web est encore en train d’évoluer avec ChatGPT qui va nous amener une autre manière d’accéder à l’information, d’ailleurs avec d’autres risques.
Nicolas Hernandez : Une autre manière, d’autres moyens, d’autres biais, et l’outil formate complètement notre regard et l’usage qu’on va en avoir. Je ne creuse pas de la même manière avec une pelle ou avec une petite cuillère. L’outil va façonner ma manière de travailler et ma représentation du monde. Si je creuse une piscine avec une cuillère !
Mick Levy : C’est une idée qui revient de plein de manières différentes, mais assez régulièrement dans Trench Tech : les outils technologiques ne sont pas neutres. L’outil est lui-même porteur d’une manière, d’une forme d’usage, donc amène aussi des problèmes parfois éthiques qui vont avec.
Pour l’heure, c’est le moment d’égarement de Laurent Guérin.
Un moment d’égarement - Laurent Guérin - Les PDA
Voix off : On n’est pas bien, paisibles, à la fraîche !
Voix off : Un moment d’égarement.
Mick Levy : Je les avais quasiment oubliés et pourtant j’avais moi-même failli y succomber à l’époque. Laurent, aujourd’hui, tu nous parles des PDA.
Laurent Guérin : Eh oui ! Lorsque j’étais adolescent, un de mes grands kifs au collège était l’achat, à chaque rentrée, de mon nouvel agenda. Méticuleusement, la première chose que j’y consignais, c’était les dates des anniversaires de mes camarades de classe.
Les agendas fantaisie firent progressivement place à des Quo Vadis, qui signifie « où vas-tu » en latin, un chouette nom, donc, pour un agenda. Puis vinrent les Exacompta et leur couverture molletonnée qui signifie « soit exact dans ta compta », même si tu t’endors au bureau. Eh oui, j’étais devenu jeune cadre, avec un salaire, ce qui me permit de faire une upgrade dans le choix annuel de mon agenda. Je fis alors l’acquisition de mon PDA, pour Patrick Poivre d’Arvor.
Mick Levy : Non, pas PPDA, seulement PDA. Tu t’égares encore, là, Laurent. Alors, c’était quoi ?
Laurent Guérin : Deux PDA. Deux modèles dominaient le marché français des PDA, pas de PPDA : le PalmPilot, sans aucun rapport avec la plongée sous-marine ou les compagnies aériennes, et l’iPAQ de Compaq, je te jure ! À une lettre près, Compaq inventait l’iPad, se contentant néanmoins, donc, de l’iPAQ, qui, s’il proposait déjà un écran presque tactile, n’en restait pas moins inutile. Car, force est de constater que d’avoir inventé la presque tablette avant la tablette fut un échec, un peu comme ce bon vieux Franz Reichelt qui inventa le presque parachute en 1912, mais fut interrompu dans ses recherches pour cause de décès. Il s’était, en effet, jeté de la tour Eiffel, appareillé de son innovation défectueuse et fatale.
Psion, sans « f », mais avec un « p » et un « s », fabricant du premier PDA sans PPDA, puis Apple avec Newton et sa pomme, Palme sans palmes avec son PalmPilot et Compaq sans son iPad venait d’inventer l’agenda très cher, également appelé le PDA pour personal digital assistant, traduit en français par « assistant personnel » ou PalmPilot.
Mick Levy : Ah ! Ça se précise. Mais alors, qu’est devenue cette grande innovation ?
Laurent Guérin : Toujours rien à voir avec la plongée. Et pourtant, la blague dure une quinzaine d’années, de 1992 à 2007. Il faut dire que la route est semée d’embûches. À la base, l’idée de l’objet, c’est une espèce de calculatrice évoluée capable de gérer un agenda, un carnet d’adresses et un bloc-note. Les PDA sont dotés d’un stylet, car l’écran monochrome n’est pas tactile, le stylet te permet d’écrire selon un nouvel alphabet qu’il te faut apprendre si tu veux que ton Palm reconnaisse tes lettres : par exemple, pour faire un « a », tu dois tracer un « v » à l’envers, pour le « e », une potence de pendu, pour le « t », une potence dans l’autre sens, pour le « 0 » un cercle, pour le « o » un cercle, pour le « q » un « o », donc un cercle, mais avec une barre horizontale au bout, mais en haut, pas en bas et, pour le « ä », une espèce de serpentin avec deux boucles dignes de Gribouille et pour faire un tiret, eh bien, on fait un tiret.
Tiré une balle dans le pied, c’est ce qui s’est passé, car plus les années passent, plus se développe l’angoisse. Les PDA valent une petite fortune, les usages sont très limités, la synchronisation avec un PC est cauchemardesque, mais, le pire, c’est que les PDA ne permettent pas de téléphoner ! Lol ! Ah bon ? Non.
Dans un dernier baroud d’honneur, certains acteurs de l’industrie essayent de nous faire croire que les PDA sont des PC miniatures, sauf qu’on n’a pas des yeux miniatures ni des doigts miniatures !
D’autres essaient de concurrencer Nokia et Blackberry en nous proposant des smartphones qui téléphonent en plus de faire agenda, sauf que c’est trop tard, nouvel échec ! Car voici 2007 et le premier iPhone. En quelques mois, Apple en écoule un million et demi, puis dix millions l’année suivante, puis 200 millions par an. Alea jacta est, c’est du latin.
Voix off : Trench Tech. Esprits Critiques pour Tech Éthique.
En ligne de mire : le risque cyber ?
Cyrille Chaudoit : Chers amis qui nous écoutez, tout ce que vous direz pourra être retenu contre vous.
Mick Levy : Oh no !
Cyrille Chaudoit : Nous sommes ravis d’avoir une entreprise française qui rayonne en Europe sur un tel sujet de pointe, cocorico !, mais pour que chacun comprenne bien la portée de ces risques et des mécaniques qui sont à l’œuvre, il me semble important de se projeter soi-même. Commençons par nous intéresser à la sphère personnelle avant d’aborder les enjeux pour les entreprises dans la prochaine séquence. Spoiler alert, accrochez vos ceintures, ça remue méchamment.
Nicolas, peux-tu nous décrire, dans le détail, un cas d’usage précis de quelqu’un qui nous écoute peut-être en ce moment et qui, sans le savoir, est une cible potentielle à cause des données qui circulent sur son compte ?
Nicolas Hernandez : Aie ! Il y a tellement de cas, je vais en prendre un.
Mick Levy : Je sens qu’il a fait des recherches sur Thibaut avant de venir !
Nicolas Hernandez : Je n’ai pas le droit. On respecte la réglementation et on va en parler. On ne peut pas faire n’importe quoi. Justement, je ne peux prendre comme cas que moi-même, ou des cas qu’on a croisés pour certains de nos clients, que je vais anonymiser, bien sûr. Les faits sont très simples, je vais prendre un cas qui est public, le cas de Voyageurs du Monde.
Cyrille Chaudoit : Voyageurs du Monde était une agence de voyages, qui l’est toujours ? Comme tout le monde ferme en ce moment !
Mick Levy : Eux sont encore là.
Nicolas Hernandez : Qui, q l’est toujours. Ils sont encore là.
Une agence de voyages plutôt luxueuse et il se trouve que cette société s’est pris un ransomware russophone, pour ne pas dire russe, je suis très précis. Et, entre autres, l’ensemble des cartes d’identité scannées de ses clients est parti.
Cyrille Chaudoit : Les cartes d’identité récentes ou même anciennes, parce que je suis déjà passé par eux il y a quelques années ?
Nicolas Hernandez : Les deux, ce qui fait un double problème.
Mick Levy : Ce qui veut dire qu’ils ont pas respecté le RGPD [11], par ailleurs, et les délais de conservation des documents personnels, mais c’est une autre histoire ! Donc, plein de cartes d’identité qui fuitent à cause de ce ransomware.
Nicolas Hernandez : Exactement. Tu fais bien de rappeler le RGPD, là, dans ce cas d’usage, il commence à prendre du sens. C’est un excellent cas d’usage.
Cyrille Chaudoit : Où sont-elles parties, du coup, concrètement, ces cartes d’identité ?
Nicolas Hernandez : Elles sont sur le dark web, en téléchargement libre, il y en a dix mille.
Cyrille Chaudoit : Dark web. Est-ce qu’on peut revenir deux secondes sur le dark web ? Est-ce que n’importe qui peut aller sur le dark web ? Est-ce que je peux y aller ? Est-ce que ma grand-mère peut y aller ? Est-ce que c’est très simple ? Est-ce qu’il faut passer par des outils de malade ?, parce qu’on a l’impression que le dark web c’est le repaire des pirates, des méchants, qu’on n’y a pas tous accès, qu’il faut montrer patte blanche à l’entrée.
Nicolas Hernandez : Non. Il y a aussi des photos de poneys dans le dark web, il y a de tout dans le dark web, mais vraiment de tout, d’accord.
Mick Levy : Comment y accède-t-on, du coup ?
Nicolas Hernandez : La manière la plus simple, c’est de télécharger un outil qui s’appelle Tor Browser [12], qui est tout à fait légal, il n’y a pas de soucis. La difficulté c’est qu’il faut trouver des points d’entrée.
Cyrille Chaudoit : J’imagine que tu n’as pas le Google du dark web qui dit : « Si tu cherches à acheter de la drogue ou des cartes d’identité, clique ici ».
Nicolas Hernandez : Il y en a, mais il va falloir les chercher, et je ne vous donnerai pas les liens, parce que, en plus, les noms des sites ce sont des chaînes aléatoires de caractères, vous aurez du mal à les retenir et moi j’aurai du mal à les prononcer
Cyrille Chaudoit : Et ce n’est pas forcément une bonne idée de les communiquer.
Mick Levy : On n’est pas là pour en faire la promotion non plus.
Nicolas Hernandez : Sauf pour des photos de poneys. Il y a même des passionnés de petits trains, il y a des choses super intéressantes, il y a de l’activisme dans certains pays, donc, sociologiquement, c’est intéressant d’y aller quand on s’intéresse à des pays. Il y a de l’ultra-activisme aussi, il y a des néonazis. Il y a tout.
Cyrille Chaudoit : Il y a vraiment tout ce qui se fait de mieux.
Du coup, ces cartes d’identité se retrouvent sur le dark web et concrètement, qu’est-ce qui se passe ? Il y a une espèce de marché au noir des cartes d’identité et ça va au plus offrant ? Qu’est-ce qu’ils en font après ? Qui sont les gens qui sont derrière tout ça et qu’est-ce qu’on en fait ?
Nicolas Hernandez : C’est très simple, toutes ces données qui fuitent, cartes d’identité et autres, sont mises à disposition de manière libre par les sites des ransomwares et elles sont systématiquement utilisées.
On fait ce travail depuis 2014 et on constate, systématiquement, que quand des données personnelles sortent, elles sont utilisées de différentes manières : pour de l’usurpation d’identité dans le cadre de scans de cartes d’identité, ça touche la mère Michu et c’est un vrai problème de société.
Thibaut le Masne : Ça fait partie de mes grands dadas, on ne va pas le répéter.
Mick Levy : J’attendais ton intervention, je bouillais dans l’attente de ton intervention, Thibaut.
Thibaut le Masne : Forcément, quand on parle d’usurpation d’identité je suis là. J’ai l’impression que ce phénomène-là ne touche même pas 0,01 % de la population. Tu dis qu’il y a dix mille cartes d’identité qui ont fuité, donc, potentiellement tu as dix mille usurpations d’identité, sachant qu’une identité ne fait pas qu’une personne, elle en fait plusieurs. Comment se fait-il que ce phénomène-là est absolument inconnu de tous, du moins pas autant mis en avant auprès de tout le monde ?
Nicolas Hernandez : Il y a un premier phénomène : cette massification est très récente, elle date de janvier, en fait, de cette année-là où il y a un mouvement exponentiel des données qui sortent, donc c’est très récent. Ma propre mère a été victime d’usurpation d’identité, suite à des données qui ont fuité, et c’est hyper-compliqué.
Thibaut le Masne : Au-delà de l’usurpation, c’est le temps de retrouver son identité, si on la retrouve un jour, je n’ai pas suivi de gens qui l’ont retrouvée, parce qu’il y a toujours des fuites, ça continue !
Mick Levy : Quels conseils as-tu donnés à ta mère, à la fois pour s’en prémunir pour les prochaines et, à la fois, pour la sortir du problème dans lequel elle a pu se retrouver, on imagine ?
Nicolas Hernandez : Il a fallu qu’elle aille physiquement aux impôts pour résoudre le problème et faire changer tous ses identifiants.
Mick Levy : Le problème n’était qu’aux impôts, parce que, en général, ce problème d’identité ce n’est pas qu’avec les impôts.
Cyrille Chaudoit : Les cybercriminels voulaient aller payer ses impôts à sa place ? C’est ça ?
Nicolas Hernandez : Non, mais ils ont fait des tentatives et ça a foutu le bordel, ça génère du stress elle a 73 ans et le moindre petit truc… Je ne dis pas que c’était grave en soi, le fait n’était pas grave, c’est l’inquiétude et la pression que ça donne. Vous avez tous reçu un mail comme quoi vous étiez un pédophile, ne me dites pas que vous ne l’avez pas reçu celui-Là !
Cyrille Chaudoit : Ça ne me dit rien. Peut-être dans les spams.
Mick Levy : J’avoue que ma boîte à spams fonctionne bien.
Cyrille Chaudoit : C’est sûr qu’on reçoit tous du scam, on reçoit tout un tas de cochonneries et, clairement, en tout cas ce que l’on entend là, c’est qu’aller sur le dark web c’est quasiment à la portée de tout le monde, en tout cas c’est plus facile que l’on peut le penser, qu’il y a de plus en plus de vols d’identité, que ce soit des cartes d’identité ou, j’imagine, peut-être d’autres choses, des numéros de carte bancaire et tout un tas de joyeusetés, et tu nous dis que quasiment 100 % des éléments qui ont été volés et qui sont mis en vente, sur Marketplace ou je ne sais quoi, sont achetés. Donc, la menace est réelle parce qu’on peut légitimement penser que ceux qui ont acheté vont les utiliser.
Ça c’est le dark web, mais on entend très souvent aussi que le simple fait de mettre des photos de vacances sur Instagram, Facebook ou ce que tu veux, nous expose aussi à une plus forte probabilité de cambriolage. Et là on revient dans le clear web, on revient sur ce que tu disais tout à l’heure en première partie, le fait de publier de l’information avec notre consentement et avec conscience, mais que ça nous pend aussi au nez. Est-ce que tu peux nous confirmer, ou infirmer ça, nous donner d’autres exemples et nous expliquer comment se prémunir, justement, de risques très basiques finalement ?
Nicolas Hernandez : Ça, c’est plus complexe à démontrer. Autant, avec la data qui fuite, c’est assez simple parce qu’on a des traces, on a des preuves, on a des data brokers qui rachètent des données médicales quand un hôpital se fait leaker, il y a tout un circuit de blanchiment de la data. Ces datas se retrouvent chez des data brokers, on en a un Pologne qui, en plus, affiche ses clients et ses clients sont des entreprises de sécurité, ce sont des mutuelles qui achètent de la data.
Mick Levy : Y compris les mutuelles françaises ?
Nicolas Hernandez : Oui.
Mick Levy : Vraiment ? Non !
Nicolas Hernandez : J’ai les noms.
Cyrille Chaudoit : Vas-y, balance-les. Comme elles vont augment de 8 %, on a peut-être un levier de négociation ? Non ?
Nicolas Hernandez : Il se trouve que le data broker est en Pologne et affiche ses clients. Sur le site du data broker polonais, il y a les noms des boîtes de leurs principaux clients. Il se trouve que ce data broker est cité dans le dark web. Il y a donc tout un circuit de blanchiment.
Mick Levy : Je suis sous le choc de ce que tu dis. Attends, je veux qu’on refasse le fil deux secondes de ce que tu dis. Tu es en train de nous dire qu’il y a des pirates, souvent russophones, qui attaquent des hôpitaux. Il y a des données médicales, des données de soins, des données de santé qui fuitent des hôpitaux, qui se retrouvent sur le dark web, récupérées par des data brokers polonais qui revendent ces données médicales, de soins, de santé, très sensibles, à des mutuelles françaises !
Nicolas Hernandez : Oui ! D’un côté, on a l’État qui limite, aujourd’hui, les informations médicales qu’on donne et, d’un autre côté, ils vont les chercher, ils vont les acheter parce qu’ils structurent ces données pour en faire des gros fichiers et ça remonte. Autant aux États-Unis, cela est régulé, autant, en Europe, il n’y a rien.
Cyrille Chaudoit : Est-ce que c’est un effet pervers du RGPD [11], selon toi ?
Nicolas Hernandez : C’est un effet pervers de l’absence de contrôle de l’application du RGPD. D’ailleurs EDF a été condamnée, il y a un an et demi, je crois, sur le sujet, justement parce qu’ils n’avaient pas assez audité les données d’un data broker. Ils ont pris une pénalité. La CNIL a tapé EDF sur ce sujet [13]
Mick Levy : Donc ça commence. Ça veut dire que ça commence un peu à bouger. Une mutuelle qui rachète des données à un data broker polonais, déjà, c’est un petit peu !
Nicolas Hernandez : Pour des données marketing, Criteo [14] s’est fait taper il n’y a pas longtemps, donc ça commence. Mais on a un vrai souci de fond sur la data.
Pour répondre à ces photos sur les réseaux sociaux, les photos de vacances. Si je me mets dans la peau d’un voleur, je rentre nécessairement dans une démarche OSINT [1] dans mon processus, nécessairement je vais chercher des renseignements sur les réseaux sociaux, c’est aussi bête que ça. Ou alors, c’est vraiment un imbécile qui y va les yeux fermés. Évidemment, savoir quand les gens partent en vacances, c’est une opportunité pour un hacker pour connaître quand est-ce qu’il faut qu’ils viennent. En fait, c’est du bon sens, il n’y a rien de magique. Avant de faire une action, on reprend les vieux principes historiques de renseignement, qui sont déjà applicables : quand on veut attaquer quelque chose, on se renseigne avant de taper.
Cyrille Chaudoit : Ça veut dire, au fond, qu’il y a les « osinteurs » bien intentionnés et puis il y a les mal intentionnés, c’est-à-dire que l’OSINT ce n’est pas qu’aller chercher de l’information et de l’intelligence pour de la stratégie, je dirais, qui est carrée, quand bien même son intérêt serait économique, c’est aussi une pratique utilisée par des malveillants.
Nicolas Hernandez : Oui. C’est pour cela qu’avoir la même information qu’eux permet d’anticiper ce qui va se passer, donc de se prémunir.
Cyrille Chaudoit : C’est ton positionnement.
Thibaut le Masne : Justement, dernière question : comment fait-on pour s’en prémunir ? J’ai bien peur de la réponse, mais, globalement, ce n’est qu’une question de temps avant qu’on se fasse usurper l’identité, si je synthétise un tout petit peu, comment est-ce que je peux faire pour être un tout petit peu plus vigilant, pour que j’arrive un tout petit peu plus tard ?
Nicolas Hernandez : C’est comme dans le monde physique : si je me fais voler mes clés de voiture ou mes clés de maison, je vais changer mes serrures. Par contre, si je ne suis pas au courant qu’on a volé mes clés, je vais me faire avoir ! La principale difficulté du monde numérique c’est qu’on vole par copie, donc on ne s’en rend pas compte. Les premiers responsables, ce sont les entreprises à qui vous confiez vos données, cette notion de confiance est très importante : elles ont l’obligation légale, en cas de fuite de données, de vous prévenir. C’est une obligation légale, donc c’est à nous citoyens, dans ce cas-là, d’attaquer les sociétés qui ne respectent pas cette règle-là parce que ça nous met en danger.
Mick Levy : Blague à part, il n’y a pas une espèce de plugin qui, à chaque fois qu’un truc se passe sur toi dans le dark web peut te remonter l’info ? Parce que, tu as raison, le premier sujet c’est de te rendre compte que tu as été volé.
Nicolas Hernandez : Il est inefficace et illégal !
Mick Levy : Mais il y en a ?
Nicolas Hernandez : Il y en a un, mais il est illégal et on a déposé un recours à la CNIL sur le sujet.
Mick Levy : Il y en a un pour les mots de passe, I have been pawned, je crois que ça s’appelle comme ça pour les mots de passe.
Nicolas Hernandez : C’est illégal en France, parce que c’est du recel de données.
Mick Levy : C’est toute la complexité.
Nicolas Hernandez : C’est hyper-complexe, parce que, si on laisse faire ça c’est de la copie de données volées massive. I have been pawned est utilisé par des hackers. Dans certains pays, pour 50 balles, avec I have been pawned, je fais n’importe quelle requête sur n’importe qui. Mais il y a un petit problème de fond, en fait, quand on creuse.
Mick Levy : Du coup, il faut arrêter de l’utiliser. On est mal !
Nicolas Hernandez : Surtout que le recel c’est du pénal.
Nicolas Hernandez : Justement, c’est ce que nous allons voir dans la toute prochaine partie, mais juste avant, la chronique d’Emmanuel Goffi.
Philo Tech d’Emmanuel Goffi - Les IA cathos
Voix off : De la philo, de la tech, c’est Philo Tech.
Cyrille Chaudoit : Depuis quelques mois, on peut le dire, c’est la grand-messe des IA génératives et Sam Altman et consorts sont loin de prêcher dans le désert. Pour autant, depuis quelque temps, on parle d’IA dites catholiques sur lesquelles tu as décidé de te pencher aujourd’hui, Emmanuel. Qu’est-ce que c’est ?
Emmanuel Goffi : Eh bien, rien que ces derniers mois, on a vu apparaître trois d’entre elles : magisterium.com, categpt.chat et catholic.chat.
Les IA catholiques sont des applications d’IA générative, créées à partir de ChatGPT et qui exploitent des bases documentaires de l’Église catholique pour interagir avec les utilisateurs.
CateGPT, par exemple, fournit même plusieurs réponses à une même question en fonction des sources utilisées. Ça peut être les Écritures, ça peut être les Pères et les Docteurs de l’Église, le Magistère ou encore les papes. On trouve même une application téléphonique, appelée textwith.me/jesus/, qui prétend offrir la possibilité d’échanger avec Jésus en personne ou avec différents personnages bibliques tels que Marie, Joseph ou les apôtres. Et enfin, on a sur Twitch un chat interactif, appelé « ask_Jesus », sur lequel on voit le Christ répondant aux questions.
Pour paraphraser un célèbre film : « Dieu crée l’humain à son image, l’humain crée l’intelligence artificielle à son image, l’intelligence artificielle crée Dieu à son image », la boucle est bouclée et l’IA est le nouveau dieu.
Cyrille Chaudoit : Mais quand on dit IA cathos, est-ce que ça veut dire qu’elles sont produites par l’Église ?
Emmanuel Goffi : C’est justement ça le problème, ces IA sont, en fait, des IA génératives purement privées, à vocation commerciale, et elles n’ont obtenu aucun imprimatur ecclésial. Pour le moment, les instances dirigeantes de l’Église catholique ne se sont pas vraiment prononcées sur le sujet, mais elles ont bien compris qu’elles ne pouvaient pas laisser ces initiatives exploiter le marqueur religieux sans contrôle, le risque étant, bien entendu, que ces IA soient utilisées pour véhiculer des messages trompeurs ou à des fins peu scrupuleuses.
Du coup, le diocèse de Paris, par exemple, a décidé de réfléchir à la mise en place d’une IA générative officielle, conforme au canon et à la mission de l’église. On voit bien l’urgence de cette reprise en main suite, notamment, à la publication de fausses images que tu as vues, du pape en doudoune blanche.
Cyrille Chaudoit : Et le Vatican, dans tout ça, a-t-il pris position sur le sujet ?
Emmanuel Goffi : Pas spécifiquement sur ces applications, mais il y a eu plusieurs prises de position de la part du Saint-Siège sur les IA. D’ailleurs, cette année, le pape a partagé son inquiétude face au danger qu’elles représentent, notamment pour la paix.
En février 2020, il avait appelé à l’établissement d’une algo-éthique pour, disait-il, « que les principes s’inscrivent concrètement dans les technologies numériques ». En août dernier, il a souligné, je le cite, « l’urgence d’orienter la conception et l’utilisation des intelligences artificielles de manière responsable, afin qu’elles soient au service de l’humanité. » Et puis, en décembre, le Saint-Père rappelait l’importance du, je le cite encore, « sens de la limite dans le paradigme technocratique. »
Il faut aussi noter que le dicastère pour la Culture et l’Éducation a publié, en partenariat avec le Markkula Center for Applied Ethics de l’Université de Santa Clara, un « Manuel de bonnes pratiques à destination des laboratoires de développement d’IA et de l’industrie de la tech en général », qui souligne l’importance d’une posture proactive sur ces questions.
On a déjà eu l’occasion d’en parler, la technologie est un moyen de contrôler notre environnement et ce que craint François, c’est que, je le cite, « l’être humain, mortel par définition, pensant dépasser toutes les limites grâce à la technique, risque, dans l’obsession de vouloir tout contrôler, de perdre le contrôle de lui-même. » Ce que redoute le Vatican, c’est un asservissement des individus à des intérêts privés au travers d’un engourdissement de la pensée par l’instrumentalisation de la religion.
Mais tu le sais, comme moi, le meilleur moyen d’éviter cet écueil, c’est encore d’écouter Trench Tech pour exercer son esprit critique.
Voix off : Trench Tech. Esprits Critiques pour Tech Éthique.
Les entreprises sont-elles des passoires stratégiques ?
Thibaut le Masne : On en a légèrement parlé, régulièrement les organismes publics sont attaqués. Rares sont les mois où on n’entend pas qu’un hôpital ou une mairie a été paralysée par une cyber. Souvent, c’est le manque de moyens et de connaissances qui est pointé du doigt. Du coup, qu’en est-il dans le secteur privé ? Où en sont les entreprises françaises et européennes dans ce domaine-là ?
Nicolas Hernandez : Ça ne va pas bien, c’est à l’image de l’État et c’est pour cela que l’Europe a tapé du poing sur la table en décembre dernier, sortant deux normes, dans le cadre de la résilience cyber des organismes financiers.
Cyrille Chaudoit : Ça concerne aussi les banques.
Nicolas Hernandez : Et une autre norme qui concerne ce qu’on appelle les OIV, les opérateurs d’importance vitale ; en gros, ce sont toutes les structures qui nous permettent, en cas de guerre, de tenir debout, d’avoir à manger.
Ils ont fait deux choses, ils ont étendu le périmètre et ils ont intégré, en analyse de risque, particulièrement pour les organismes financiers, la partie recherche en science ouverte. C’est donc en train de bouger, ça couine.
L’autre avantage : ce ne sont plus les DSI, donc les responsables informatiques, qui vont être responsables, c’est le comex qui va être responsable.
Cyrille Chaudoit : Ah oui, responsable à quel point ? Pénalement ?
Thibaut le Masne : C’est NIS 2 [15] ?
Nicolas Hernandez : C’est NIS 2 et DORA [16]. Je ne crois pas que ce soit du pénal, je ne suis pas spécialiste sur la partie juridique, mais, en gros, ça n’allait tellement pas bien que l’Europe a poussé ces deux sujets pour structurer un petit peu tout ça.
Cyrille Chaudoit : Quels sont les freins principaux, côté entreprises, qui font qu’elles n’y sont pas allées jusqu’à présent ? C’est lié, justement, à un manque de gouvernance de la donnée suffisamment clair, à une culture cyber qui est encore trop faible en France, c’est le coût que ça représente ? C’est quoi selon toi ?
Nicolas Hernandez : Je pense qu’il y a effectivement deux choses : il y a la vision data. Dans un monde cyber qui a été gouverné par ce que j’appelle le conteneur, le système d’information, et pas par la data, quand on regarde par rapport à la data on ne voit plus du tout les choses de la même façon et là, on retombe dans des causes systémiques : il y a les fournisseurs, les tiers de confiance, les avocats, tout le monde a de la data. Si on veut protéger tout ça, il y a un gros changement de paradigme, alors qu’on en est toujours à sécuriser le système d’information. Chaque changement de paradigme a un coût, a une inertie.
Donc là il y avait un souci, mais il y a aussi un phénomène tout bête et méchant qui est humain, j’adore cet exemple-là : j’entends encore dans des soirées, je pense que vous aussi, de quoi les gens ont-ils peur quand ils rentrent en voiture, en fin de soirée, et qu’ils sont bourrés ? Ils n’ont pas peur de se prendre un arbre, se vautrer ou blesser quelqu’un, ils ont peur du gendarme ! Hélas, il faut un gendarme aux fesses à l’humain pour qu’il évite de faire trop de conneries !
Ce que je crois c’est qu’on est toujours dans le même cas, voire pire, c’est-à-dire que la peur du gendarme, dans le cas de la cyber, ça se gère, c’est de la provision sur risque, c’est du financier. Les grosses structures savent très bien faire. Là, ce qu’elles n’ont pas encore vu, ce sont les risques économiques, c’est-à-dire qu’elles seront en faiblesse juridique, donc on peut très bien les attaquer, même nous, pour non-conformité.
Cyrille Chaudoit : D’un côté, les grosses entreprises qui ont les moyens, éventuellement financiers, de répondre aux normes, aux réglementations, donc cette fameuse peur du gendarme, le feront. Pour autant, elles peuvent aussi être exposées à la « fronde », entre guillemets, de l’opinion publique s’il y a trop de data qui leakent et qu’on se retrouve avec nos cartes d’identité, façon Voyageurs du Monde, sur le dark web. Mais quid des petites structures qui ont peut-être moins la culture cyber, qui n’ont peut-être pas les effectifs, les ressources nécessaires aux sens ressources humaines du terme et qui, pour autant, je crois, sont les petits poissons qui permettent aux cybermalveillants de remonter vers les plus gros.
Nicolas Hernandez : Il y a plusieurs solutions. J’espère, d’un vœu pieux, que les gros vont aider les petits, mais bon !, je ne me leurre pas du tout. Il y a peut-être une responsabilité de l’État à mettre à disposition des outils, ça serait aussi une solution, c’est une autre vision de l’État, et c’est aussi aux industriels, comme nous, de mettre au point des solutions qui permettent, à minima, de répondre au réglementaire à des coûts acceptables.
Cyrille Chaudoit : J’aime cette réponse.
Nicolas Hernandez : Mais il y aura, de toute façon, un coût. On fait ce qu’on peut. Après, on a quand même besoin du gendarme pour taper, parce que, en fait, le risque réel, et on l’a vu, ne motive pas les entreprises à se protéger et puis, elles considèrent qu’elles ont autre chose à faire et je les comprends.
Mick Levy : Si on relie les deux sujets dont on parle, à la fois cette nécessité pour les entreprises de renforcer leur cyber, même en n’étant pas poussées au cul, et les pratiques dont tu nous a parlé avec l’OSINT, finalement comment les entreprises peuvent-elles tirer parti des pratiques d’OSINT ? Est-ce que, elles-mêmes, pourraient, devraient peut-être, je ne sais pas, mettre en place des cellules OSINT dans toutes les entreprises, dans tous les départements CISO [Chief Information Security Officer, Sécurité du système d’information de l’entreprise.
Nicolas Hernandez : Ça serait parfait, c’est-à-dire que si ça rentrait dans le cadre du RSE sociétale des entreprises, c’est-à-dire dans la protection des employés, ça serait vraiment magique, c’est-à-dire que le rôle de l’entreprise serait de protéger ses employés ; ce serait génial !
Cyrille Chaudoit : Et ses clients aussi. Toutes les données personnelles, ses intérimaires, etc.
Nicolas Hernandez : Et ses fournisseurs. Sachant que ce n’est pas forcément coûteux et que ça a un impact bénéfique pour tout le monde ! Ça protégerait même la mère Michu ou la nana de la compta, autant que le PDG.
Cyrille Chaudoit : Quand tu dis « pas forcément coûteux », j’imagine qu’il y a des gens qui se demandent, de l’autre côté – c’est une question un petit peu alambiquée ou, en tout cas, un peu trop ouverte – combien ça coûte ? S’il fallait mettre un service OSINT à disposition d’une entreprise, on va dire d’une ETI, au-delà du coût en ressources humaines, ça coûte combien un abonnement à un soft, en tout cas à un outil quel qu’il soit, qui permet, justement, de faire de l’OSINT ? Une fourchette.
Nicolas Hernandez : Je parle de ma partie. C’est vrai qu’il y a pas que la nôtre, c’est là où il y a une difficulté. Nous sommes en train de monter un produit justement, pour les PME et les mairies, qui sont NIS 2. J’habite dans une mairie de 3000 habitants, dans le Beaujolais, elle ne peut pas mettre 40 000 euros sur une solution. On cherche à monter des solutions qui sont dans les 5000 euros par an, qui vont permettre de répondre à NIS 2. C’est notre vœu pieux, on se bat pour ça parce que ce marché-là, le marché des mairies, n’intéresse pas grand monde ; 5000 balles ça n’intérese pas, et après ça va dépendre des tags. C’est très bien pris dans DORA [16], il y a trois cases, il y a les petites structures, les moyennes structures et les grandes. Une solution soft, on est aux alentours de 40 000 euros par an, on va dire, pour une grosse structure, et ensuite il y a l’humain à mettre derrière. Ça va dépendre de la taille de la structure.
Mick Levy : Je reprends mon fil. À l’inverse, si une entreprise mettait en place une cellule OSINT, ne serait-elle pas tentée de l’utiliser pour d’autres pratiques un peu plus discutables, la surveillance de ses concurrents, par exemple, ou d’autres pratiques de ce genre-là ?
Nicolas Hernandez : C’est un vrai sujet qui est aussi passionnant : c’est comment respecter la réglementation. Contrairement à ce que croient les gens, elle existe, c’est aussi un acronyme, ça s’appelle la RIFI, qui est édictée par la CNIL, qui décrit les pratiques de recherche en source ouverte et particulièrement sur les données volées. Donc il y a des règles.
Mick Levy : RIFI. J’ai très envie de faire des blagues avec le rififi, tout ça, mais je pense que ce n’est pas ça. L’acronyme de RIFI c’est Recherche sur Internet de fuites d’informations [17]. Merci Google, une recherche en direct.
Cyrille Chaudoit : Tu viens de faire de l’OSINT [1].
Nicolas Hernandez : Exactement. C’est le premier des outils.
Mick Levy : Pour tout vous dire, je n’ai même pas demandé à Google, j’ai demandé à Lilo [18] qui, en plus, est gentil puisqu’il reverse de l’argent à des associations.
Thibaut le Masne : J’avais une question sur la partie entreprise. Il semblerait quand même que, dans la protection des entreprises, les RSSI de la Sécurité des Systèmes d’Information mettent souvent en place des systèmes de mail pour s’assurer qu’on ne clique pas sur des liens vérolés, en nous faisant entendre que nous sommes les premiers fautifs de fuites d’informations, du moins d’attaques cybers. Je n’ai jamais vu une seule statistique sur ce point-là. Probablement, Nicolas, que tu en as, je serais très intéressé de les avoir. Est-ce que c’est toujours d’actualité ? Est-ce que c’est toujours le collaborateur la première fuite de données ou la première faille de sécurité d’une entreprise ?
Nicolas Hernandez : Il y a deux cas : il y a effectivement l’humain mais s’il clique c’est qu’il est victime, il n’est a pas fautif, c’est là où j’ai une petite nuance. Quand on clique sur un lien, ça veut dire qu’on est en état de confiance, sauf si on clique sur un lien, avec son truc pro, « porno gratuit ». Là, effectivement, ça va être difficile de le défendre. En fait, c’est un phénomène cyclique. Plus il y a de données de confiance qui sont à l’extérieur, plus les mails de phishing qu’on va recevoir vont nous mettre en confiance. Parce que ces données ne doivent pas être ailleurs que chez nos partenaires de confiance. Si on reçoit un mail avec son numéro de RIB, parce qu’il se trouve qu’on a été leaké par construction, dans les données de la poste mobile, on ne peut pas en vouloir à la personne parce qu’elle est victime, elle a été mise en confiance par le contenu. On voit peu ce phénomène cyclique.
On va parler chiffres. En fait, ce qui est important ce n’est même pas le chiffre, c’est le multiplicateur. Quand des données fuitent d’une structure, il faut multiplier le nombre de victimes environ par 500, parce qu’il n’y a pas que les données de l’entreprise qui sortent. Vous voyez le modèle !
Thibaut le Masne : Oui, c’est-à-dire que tu vas tu vas chercher de la data au sein d’entreprises, avec le leak il va y avoir des données de l’entreprise et de tout un tas d’autres partenaires, on les a cités tout à l’heure, que ce soit des clients, les salariés.
Nicolas Hernandez : Les clients, les fournisseurs. Un cabinet d’avocats qui a des données qui sortent, ce sont des données stratégiques de plein de structures, potentiellement des données prud’homales, donc des données personnelles, des fiches de salaires. En fait, c’est beaucoup plus massif que les chiffres macros qu’on peut trouver. Je crois qu’on est passé de 2500 victimes de ransomwares à 5000 en un an. Il suffit de multiplier par 500 et on se rend compte.
Cyrille Chaudoit : Ce que je trouve intéressant dans ta réponse à la question de Thibaut, c’est que ça rejoint ce que nous disait Eléna Poincet dans un épisode précédent [19]. Eléna Poincet, patronne de Tehtris qui est également dans le cyber, une super boîte française du côté de Bordeaux ce coup-ci, qui nous disait « il y en a marre de taper sur les salariés en disant que c’est d’abord le facteur humain qui est responsable des cyberattaques, etc. » Toi tu nous dis « si le facteur humain est si important c’est que, derrière, les humains sont d’abord des victimes parce que la façon de venir les harponner est de plus en plus précise, parce que, d’abord, les informations ont tellement leaké que c’est super crédible quand il y a une arnaque au président ou quand tu as l’impression que c’est ta banque qui t’envoie ton RIB ou un IBAN, qu’on te demande de changer ceci, de changer cela, alors que ce sont des malfaiteurs qui sont derrière » .
Tu nous disais tout à l’heure, il y a quelques minutes, que la massification de l’information qui circule sur le Web est une des variables hyper-importante, justement, de ce risque qui enfle petit à petit. Qu’est-ce qu’il faut penser de l’arrivée des IA génératives dont on dit qu’elles vont contribuer plus que largement à générer encore plus d’informations, puisque c’est ce qu’on leur demande, générer de plus en plus de data. Est-ce que c’est un facteur d’amplification de ce risque-là ? Ou, à l’inverse, ça va venir un petit peu régler le jeu, puisque ce qu’on va leur demander, beaucoup et de plus en plus, c’est de la donnée synthétique, c’est-à-dire de la donnée qui s’appuie sur de la donnée réelle mais qui, in fine, est un peu une espèce de jumeau qui vient « anonymiser », entre guillemets, les sources d’origine. Quel est ton point de vue là-dessus ?
Nicolas Hernandez : C’est un sujet qui me fait encore sourire, donc ça va, vu nombre de sujets qui me font pleurer, heureusement qu’il y a l’IA.
Thibaut le Masne : C’est bien, on arrive à te faire sourire !
Nicolas Hernandez : Ça me fait sourire sur plusieurs pratiques. Comme je viens de ce milieu-là, je m’amuse à titiller parce que je connais certains points de faiblesse, donc j’arrive à leur faire faire des conneries. Ce qui m’amuse beaucoup, c’est de projeter un petit peu et de pousser un petit peu le truc, c’est-à-dire qu’est-ce qui va se passer quand une IA n’aura plus à consommer que de la donnée qui est générée par d’autres IA.
Cyrille Chaudoit : En gros, le serpent qui se mord la queue !
Nicolas Hernandez : Oui, il y a effectivement un principe qui permet de réguler les IA, c’est : que mangent-elles ? Il y a un moyen de contrôle et de réglementation sur les IA qui est en train d’être découvert, c’est de contrôler une IA et réglementer une IA à partir de la donnée d’apprentissage qu’elle a. Des papiers sont sortis sur les problématiques de droit d’auteur, c’est comme un numéro, on est ce qu’on mange, super BD des Bidochon sur le sujet, j’adore ces références-là.
En fait, on arrive dans un système où un, il y a des cas où l’IA sort des cochonneries, vraiment. Je lui ai demandé mon CV, je n’ai jamais fait autant d’études de ma vie. Il faut que les recruteurs demandent mon CV à l’IA, arrêtez d’aller sur Linkedin. En fait, il se trouve que j’ai des homonymes qui travaillent à peu près dans le même secteur et qu’elle a du mal à désambigüiser, elle fait la fusion, mais il y a des cas… Je ne vais pas travailler sur l’IA parce que ce n’est pas le sujet, mais l’IA magique, au-dessus de tout, ça ne marche pas encore.
Cyrille Chaudoit : Pour le moment, ça ne marche pas. Elle hallucine encore pas mal.
Mick Levy : Que fait-on du sujet OSINT ?
Cyrille Chaudoit : Du coup, ça génère quand même de l’information qui va traîner sur le Web et, par rapport à l’OSINT, effectivement ?
Nicolas Hernandez : Ça va être rigolo, ça va être un danger pour les services de renseignement, ça va être un danger pour ceux qui font de l’OSINT et qui ne prennent pas conscience des biais potentiels. Si je fais une demande d’information sur une entreprise, en insérant de l’information je vais pouvoir gruger mon IA, c’est-à-dire qu’il va y avoir des pratiques de manipulation d’IA. Ça a commencé et je ne parle pas des photos sur les réseaux sociaux, qui peuvent aussi être utilisées soit pour manipuler l’IA, soit pour être revendues post-transformation.
S’il vous plaît, arrêtez de mettre des photos de vacances avec vos enfants sur les réseaux sociaux. Arrêtez de faire ça, c’est utilisé aussi !
Cyrille Chaudoit : Si ça commençait par ça ! Exactement. D’ailleurs, c’est ce que nous rappelait Mick tout à l’heure, merci Nicolas d’avoir rappelé les phénomènes de pédocriminalité.
Merci également pour cet échange, Nicolas, qui est à la fois terrorisant, mais qui est aussi passionnant parce qu’on ne s’amuse pas à se faire peur, on essaie d’aller explorer, tout simplement, la réalité de ce qui passe sans même qu’on en ait toujours connaissance ou conscience. Même si on entend, à droite et à gauche, deux/trois informations du type. Si vous continuez d’entendre autour de vous « de toute façon j’ai rien à cacher », j’espère que cet épisode vous aura fait prendre conscience de deux/trois trucs.
Merci Nicolas pour cet échange. Rappelons l’adresse du site d’Aleph [2] et l’adresse qui est donc aleph-networks.eu et ton article aussi co-écrit avec Cléo Collomb Les attaques par ransomwares comme actes de cyber guérilla. Une approche écosystémique de la menace cyber dans le contexte de la guerre en Ukraine, c’est un titre un petit peu long, mais il a le mérite d’être clair, et qui est paru dans la revue des Études françaises de renseignement et de cyber aux fameuses Presses universitaires de France.
Vous qui nous écoutez, restez avec nous pour les cinq dernières minutes de cet épisode, c’est l’heure du debrief.
Mick Levy : Merci Nicolas. À bientôt.
Thibaut le Masne : Merci Nicolas. À bientôt.
Nicolas Hernandez : Merci à vous tous. À bientôt.
Voix off : Trench Tech. Esprits Critiques pour Tech Éthique.
Le debrief
Cyrille Chaudoit : Vous qui nous écoutez, j’espère que vous êtes encore derrière vos écouteurs, que vous n’avez pas fui de peur cet épisode face à tous les arguments qui ont été avancés. Qu’est-ce que vous en retenez les amis Mick Thibault ?
Mick Levy : Moi, je suis en PLF, je vous le dis, je ne me suis toujours pas remis de cette histoire de circuit de blanchiment des données : après un leak, après une fuite de données dans un hôpital, ça se retrouve sur le dark web, chez des data brokers en Pologne, et là !
Cyrille Chaudoit : Jusque-là, on s’en doutait un peu près !
Mick Levy : Jusque-là, ça n’étonnera personne, mais là, le client du data brokers polonais sur des données de santé leakées d’établissements français publics, ce sont des mutuelles françaises, certainement pour entraîner des algorithmes de tarification et autres. Là, franchement, je suis hyper-choqué et ça montre à quel point il faut, effectivement, se poser la question des responsabilités des entreprises, ce qu’on appelle la gouvernance des données, au moment où elles achètent des données à un broker, s’intéresser à la fiabilité de ce broker, à la provenance de ces données, parce que là c’est hyper-toxique.
Cyrille Chaudoit : D’ailleurs, quand tu parles de gouvernance des données, c’est quand même un sujet qui revient très régulièrement actuellement au sein des entreprises dans la perspective d’intégrer les IA G et on se dit « oui, mais les données sont extrêmement silotées, il va falloir consolider ça, la gouvernance, na nana », mais on ferait bien déjà de s’intéresser à la gouvernance de la donnée pour éviter ces leaks, entre autres.
Mick Levy : C’est clair, c’est la base.
Thibaut le Masne : Mais, c’est par pure fainéantise. Quand on est à ce niveau-là, pour moi, c’est de la fainéantise. Déjà, commence par structurer tes données avant d’aller en acheter ! Se dire qu’aller les acheter ça va nous simplifier la vie, ça n’épargne pas le problème de la gouvernance et des process qu’on doit mettre sur la donnée. Je suis tout à fait d’accord.
Cyrille Chaudoit : Ça nous évoque ce dark web, parce que ces données ne circulent pas n’importe où, elles circulent sur le dark web, c’est ce que nous expliquait Nicolas. J’ai retenu un chiffre qui est aussi assez flippant, il nous dit que le dark web, il y a cinq ans, c’était à peu près 10 000 sites ; aujourd’hui, ce sont 130 000 sites, de sorte qu’on ne peut plus compter, tout simplement, on a arrêté. Ce n’est plus possible de compter et, en plus, on peut rajouter à cela une couche de réglementation dont nous, on se satisfait, parce qu’il faut que la réglementation existe, mais une réglementation qui va jusqu’à empêcher, finalement, des acteurs du type d’Aleph ou d’autres, de surveiller l’intégralité de ces sites qui sont malveillants et qui sont des repaires de gangsters. Et quand on pose la question à Nicolas, il dit : « Oui, c’est normal, il faut cette réglementation », mais qu’est-ce que ça signifie ? Ça signifie, en fait, que c’est le rôle du régalien de faire ce job-là à ce moment-là, de même que l’usage de la force, c’est un pouvoir régalien, alors, « que fait la police ? »
Mick Levy : Justement, c’était l’autre moment un peu what the fuck de l’épisode, quand on apprend qu’au lendemain des attentats qu’il y a eus en France, la DGSI appelle Aleph à l’aide pour venir les aider. Ça veut dire qu’un organisme comme la DGSI en France soit n’avait pas conscience de ce qu’on pouvait avoir dans le dark web vis-à-vis des problèmes, là pour le coup de terrorisme, gravissimes, soit était totalement démunie, au point de devoir les appeler en urgence, en plus une fois que ça s’était passé.
Cyrille Chaudoit : Je lance quand même un appel à la DGSI et aux autorités pour venir dans un prochain entretien chez nous, chez Trench Tech, parce que, clairement, je pense qu’il y a quand même des choses qui sont en place, il va falloir nous expliquer deux-trois trucs. Thibaut.
Thibaut le Masne : Il y a un sujet de fond. On nous a sorti qu’aujourd’hui, il y a une explosion des données sur le dark web comme on en a rarement vu. Il a vu cette explosion à partir de l’année 2023. Je parle de ma marotte d’usurpation d’identité, il faut bien que j’y revienne ! Aujourd’hui, si c’est, entre guillemets, un « problème » qui se passe sur l’épaisseur du trait, avec cette explosion des données qui sont exposées sur le dark web, et on rappelle que toutes les données du dark web sont vendues, c’est sold out à chaque fois, ça veut dire qu’on va avoir potentiellement une explosion des usurpations d’identité qui vont arriver et ça va être un vrai problème collectif. À partir du moment où il y aura plusieurs Cyrille ChaudoiT et plusieurs Mick Levy, déjà, avec un, on a du mal, mais, avec plusieurs, ça va être compliqué !
Cyrille Chaudoit : J’avoue. On retrouve aussi cette notion de pluralité dans une compréhension de ce qu’est le Web, et je pense que tout un chacun n’a pas forcément cette image-là. Le Web, c’est véritablement un oignon avec plusieurs couches, on a parlé du clear web, qui est celui que l’on connaît tous, sur lequel on va le plus souvent, mais il y a aussi ce fameux dark web, il y a le deep web, où on va retrouver les sites black hat, donc vraiment les pirates, etc., et si n’a pas cette connaissance-là ou cette conscience-là ! Il se trouve qu’il nous a parlé de Tor Browser qui est le navigateur qui permet d’aller, entre autres, sur le dark web. Je rappelle tout simplement que le logo de Tor [20]est un oignon.
Mick Levy : Que c’est joli ! Dans les jolies choses, il nous a quand même donné une anecdote : sur le dark web, on ne voit pas que des mauvaises choses, il y a aussi plein de photos de poneys. J’ai envie de dire que c’est bien : finalement le poney est au dark web ce que le petit chat est peut-être Web traditionnel.
Cyrille Chaudoit : Et voilà, vous venez de passer plus ou moins 60 minutes en notre compagnie à exercer votre esprit critique sur l’OSINT au service d’une meilleure protection cyber.
Merci à Nicolas Hernandez d’avoir éclairé le chemin de nos réflexions pour nous sentir toutes et tous autorisés à penser ce sujet par nous-mêmes.
Parents, étudiants, décideurs en entreprise ou politiques, les enjeux éthiques qui soulèvent notre façon de concevoir ou d’utiliser les technologies numériques méritent bien l’attention de toutes et tous. C’est notre droit, et même notre responsabilité, pour aujourd’hui et pour demain, de nous assurer de la place qu’elles prennent dans nos vies et dans l’organisation de nos sociétés.
Vous voulez nous aider à propager l’esprit critique pour une tech éthique. Super ! C’est très simple et, surtout, c’est gratuit. Écoutez Trench Tech, partagez nos épisodes et laissez-nous cinq étoiles ou un commentaire sur votre plateforme de podcast préférée. Vous pouvez aussi nous faire part de vos réflexions et suggestions sur nos médias sociaux comme Linkedin, par exemple. Et souvenez-vous de ce que disait déjà le philosophe Francis Bacon au 17e siècle : « Le vrai pouvoir, c’est la connaissance ».
Voix off : Trench Tech. Esprits Critiques pour Tech Éthique.