Krack ou l'hypocrisie mondiale des maîtres du monde

Lundi, l'annonce de la faille de sécurité baptisée Krack mettant en suspens toute la confiance du monde sur les réseaux Wifi domestiques et professionnels fait la une de la presse générale. Il s'agit de la fameuse clé WAP2, norme barbare du protocole amélioré de chiffrement Wifi WAP.

On découvre que plus aucun terminal connecté à un réseau Wifi n'est protégé, pire, on en devient tous vulnérables. Une partie de nos échanges chiffrés peuvent être captés par un tiers malveillant - un hacker - et l'on doit comprendre que désormais, nous ne devrions plus utiliser nos Wifi. Il faut savoir que si un hacker sait lire une "partie" de vos fichiers, il sait en vérité tout lire. Il n'y pas de demi-mesure sur ce point.

Mais ne cédons pas à la panique d'autant que, curieusement, les agences de sécurité reconnaissent avoir identifié cette faille depuis des semaines et les éditeurs sont déjà en train de proposer des mises à jour de sécurité. Cela avant même la communication sur cette faille qui n'est finalement pas une trouvaille. La bonne idée, c'est que Mathy Vanhoef, chercheur à l'Université de Leuven en Belgique a trouvé un moyen de rejouer la faille par un programme automatisé. En clair, il est capable d'industrialiser l'attaque.

Ceux qui découvrent les failles, ceux qui en profitent

Mais nous savons, parce que c'est notre métier, que jamais aucun réseau Wifi n'est sécurisé. En 2008, les civils Martin Beck et Erik Tews avaient découvert une faille sur le format WAP. Naît alors le WAP2 censé corriger l'algorithme du chiffrement, c'est de lui qu'il s'agit aujourd'hui. L'avez-vous remarqué, je parle des chercheurs comme des civils ? En effet, il est salutaire de noter que sans ces femmes et ces hommes, notre résistance aux attaques cybernétique serait tout bonnement nulle.

Et les États alors ? Que font-ils avec leurs agences de sécurité, entre la NSA (National Security Agency aux USA), l'ANSII (Agence Nationale de la Sécurité des Systèmes d'Information en France) ? Et bien sachez que tous les États gardent pour eux les failles de sécurité qu'ils détectent par hasard ou non, et ce, pour tous les systèmes quels qu'ils soient. La raison est simple. Elle tend à renforcer les systèmes de défense et d'attaque du pays. L'atout est de savoir ce que l'autre ignore.

Wannacry, la faille que la NSA gardait pour elle

L'attaque de masse nommée Wannacry s'appuyait sur une faille Windows de Microsoft que la NSA avait gardé pour elle jusqu'à ce qu'un lanceur d'alerte la publie sur Wikileaks. Les mafias ou états étrangers n'avaient plus qu'à en prendre connaissance pour construire une attaque de masse. Comme quoi, avoir le savoir d'une attaque cybernétique d'ampleur vous met en situation temporaire de Maître du monde.

L'enjeu quand il n'est ni stratégique ni politique et simplement cupide. Et cette attaque extrêmement bien relayée par les médias pourrait changer l'internet de demain. La force du réseau internet est de laisser le maximum d'échange possible en clair. Si cette attaque invite tous les consommateurs d'internet à utiliser un VPN de trafic internet souverain, alors le Ad Marketing est mort entrainant dans sa chute Google en premier, les autres ensuite. Sans captation du trafic, le vôtre en l'occurrence, on ne peut pas savoir qui vous êtes, ce que vous faites et ce que vous consommez. Criteo et consort disparaissent, Google ne sait plus positionner la pub au bon moment et sur la bonne page ! La rémunération disparaît alors. Fini Google, adieu Gmail, bye bye Facebook (tous gratuit), bref une nouvelle aire et un nouveau business model peut naitre.

Les Finlandais, très attachés au secret de la vie privée

Peu probable car le consommateur est très attaché à ses habitudes et les changer est le dernier des efforts que l'homme apprécie faire, même si intrinsèquement c'est cette faculté qui lui a permis de construire l'internet et pas les ratons laveurs.

Qu'est-ce qu'un VPN de trafic souverain ? C'est une solution qui chiffre le trafic établi entre votre terminal et la borne Wifi ou 3G/4G et votre connexion à l'internet se fait depuis une adresse IP virtuelle dans un pays asservi par l'éditeur du logiciel.

Les Finlandais sont les meilleurs pour cela d'autant que leur constitution politique est très attachée au secret de la vie privé. C'est ce qui rend la solution souveraine. On retrouve ces mêmes constitutions en Suisse, en Islande ou en Norvège.

Libre arbitre, chiffrement... et publicité

Les États-Unis comme Israël sont très rigides. Il suffit d'ailleurs de lire les Conditions Générale de Google pour comprendre combien vaut votre libre arbitre sur Internet. Avec un peu de recul vous comprendrez vite qu'il vaut une partie du revenu du GAFA.

Le Ad Marketing devra donc revoir le modèle si nous devenions tous consommateurs de ce chiffrement qui limite considérablement notre exposition face aux hackers.

Seule l'histoire très prochaine nous donnera la tendance de cette attaque qui porte bien son nom.