Une meilleure protection pour le grand public. Visitant le Campus Cyber -le nouveau lieu de rassemblement de l'écosystème de la cybersécurité- pour annoncer sa feuille de route, le ministre délégué au Numérique Jean-Noël Barrot avait un message clair. "L'augmentation des incivilités numériques sape la confiance des citoyens dans le numérique", a-t-il constaté, chiffres à l'appui. Chaque jour, en moyenne 500 demandes d'assistance sont déposées sur cybermalveillance.gouv.fr, le dispositif public de renseignement sur l'aide aux victimes, tandis que sept attaques sophistiquées sont remontées à l'Anssi, le gendarme français de la cybersécurité chargé entre autres de protéger les organisations critiques.

Mais alors que les investissements vers le secteur ont déjà été annoncés au travers des plans France Relance et de France 2030 notamment, il reste un maillon de la chaîne à consolider : celui de la cybersécurité des particuliers.

Des gestes barrières pour le numérique

Pour atteindre son objectif de "garantir la cybersécurité du quotidien", Jean-Noël Barrot a insisté sur trois axes. Premièrement, il compte mettre l'accent sur la prévention afin de la généraliser. Concrètement, le gouvernement va promouvoir auprès des Français des « gestes barrières » numériques à adopter en ligne, comme mettre à jour ses logiciels souvent, ne pas cliquer sur les liens envoyés par des sources inconnues ou changer régulièrement ses mots de passe [l'efficacité de cette dernière mesure fait par ailleurs débat parmi les experts, ndlr]... « Ce sont des gestes simples, qui ne nécessitent pas de connaissances techniques avancées, mais peuvent annuler des attaques », résume le ministre. Bien qu'ils soient encore mal assimilés, ces conseils n'ont rien de nouveau et sont distillés depuis des années à plusieurs niveaux. Mais le gouvernement ne s'était pas engagé dans une campagne de prévention d'ampleur jusqu'ici.

Deuxièmement, le ministre prévoit de déployer le cyber-score à l'échelle nationale d'ici fin 2023. Ce projet, issu du parlement, a pour but de reproduire le modèle du nutri-score à la cybersécurité. Le nutri-score affiche une évaluation entre A et E sur les emballages des produits alimentaires, selon la qualité nutritionnelle des aliments. Le cyber-score sanctionnera quant à lui la qualité de la protection des données du service consulté par l'internaute. Mais pour l'heure, ses contours restent très flous : ni les critères d'évaluation, ni le type de notation n'ont encore été définis. Seul détail connu : les certificateurs qui attribueront le cyber-score seront agréés par l'Agence nationale de la sécurité des systèmes d'information (Anssi).

Un filtre pour désamorcer les SMS d'arnaque

Pour compléter sa feuille de route, le ministre veut mettre à disposition des citoyens des outils de protection simples, gratuits et facultatifs. La conception du filtre anti-arnaques, qui figurait dans le programme d'Emmanuel Macron lors de la dernière élection présidentielle, va donc enfin démarrer. « Il avertira en temps réel les internautes sur les menaces et filtrera préventivement les adresses web correspondant à des sites malveillants », avance Jean-Noël Barrot. Le gouvernement a réuni une « task force » pour étudier les modalités techniques de mise en œuvre du filtre. Cette dernière remettra un rapport de cadrage en janvier, avec l'objectif de déployer une version bêta [réservée à un nombre réduit de testeurs, ndlr] du filtre à l'été 2023, avant d'ouvrir sa disponibilité au grand public un an plus tard.

C'est le groupement d'intérêt public (GIP) Cybermalveillance qui va coordonner cette task force, qui réunit la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF), le ministère de l'Intérieur, l'Anssi ou encore le ministère délégué au Numérique. Interrogé par La Tribune, Jérôme Notin, le directeur de Cybermalveillance, rappelle que le filtre ne sera pas une « solution magique », et que sa portée sera forcément limitée. « Il ne va pas bloquer le hameçonnage [phishing, ndlr] mais la conséquence du hameçonnage », précise-t-il. Autrement dit, le filtre ne va pas empêcher l'envoi d'arnaques au colis, de SMS malveillants se faisant passer pour l'Assurance Maladie, ou d'escroquerie au CPF. En revanche, si les victimes tombent dans le piège et cliquent sur les liens contenus dans les messages des escrocs, les chances qu'ils n'aboutissent pas sur les sites malveillants créés par les malfrats seront bien plus élevées. « Nous nous attaqueront dans un premier temps aux faux sites qui visent à dérober des données personnelles et bancaires, aux faux sites de vente en ligne et aux faux sites de placement financier », détaille Jean-Noël Barrot. A terme, le filtre pourrait créer un cercle vertueux : si les sites de destinations des malfaiteurs sont désactivés plus rapidement, leurs campagnes d'envois massifs de SMS ne seront plus aussi rentables.

Vers un blocage au niveau du DNS

Aujourd'hui, il existe déjà des solutions contre les arnaques : il est possible de signaler un nom de domaine (comme latribune.fr) à l'organisme qui lui a délivré ce nom (le registraire), pour qu'il le révoque. De même, l'hébergeur -qui fournit le serveur où se trouve le site malveillant- peut expulser son client. Ou encore, les navigateurs (Chrome, Edge, Firefox, Safari...) peuvent avertir l'internaute que le site est dangereux. Mais si certains organismes -comme l'Afnic qui gère les .fr entre autres- réagissent très rapidement, d'autres (le plus souvent étrangers) font la sourde oreille, de sorte qu'un site malveillant peu rester en ligne plusieurs jours malgré les signalements. D'où l'intérêt d'un filtre supplémentaire.

Côté technique, nous explique Jérôme Notin, la task force envisage pour l'instant que le filtre agisse au niveau des serveurs DNS. Souvent présentés comme les annuaires d'Internet, ces machines font la traduction entre l'adresse du site envoyé par le navigateur de l'utilisateur, et l'adresse IP (une suite de chiffres séparés par des points, qui permet de s'identifier sur un réseau). Si le DNS ne remplit pas son rôle, alors le navigateur de l'utilisateur ne pourra pas accéder au site. Si elle part bien dans cette direction, la task force aura plusieurs questions à régler. Va-t-elle simplement remonter des listes de sites malveillants aux fournisseurs d'accès internet ? Va-t-elle mettre en place son propre DNS ? Ou essayer de s'appuyer sur un tiers de confiance ? Elle devra également s'assurer que l'utilisation du filtre reste facultative. Selon la solution choisie à terme par le gouvernement, ce chantier pourrait coûter entre quelques centaines de milliers et plusieurs millions d'euros.

Jérôme Notin précise à La Tribune que le groupe de réflexion souhaite rapidement s'étendre à la société civile, aux associations de consommateurs et aux organes de défense des libertés.

Enfin un coordinateur pour la stratégie française sur la cybersécurité

En parallèle des mesures grand public, Jean-Noël Barrot a rappelé les investissements en cours. 100 millions d'euros du plan d'un milliard d'euros présenté début 2021 ont déjà été engagés sur le parcours de cybersécurité, une des grandes annonces du plan. 150 hôpitaux publics et environ 700 collectivités territoriales ont ainsi profité d'un diagnostic et d'une mise à jour de leur politique de cybersécurité, se félicite le ministre. Concrètement, le parcours permet de débloquer une enveloppe de 50.000 euros en échange d'une promesse d'investissement d'au moins 70.000 euros.

Pour organiser cette stratégie nationale de la cybersécurité, le gouvernement n'avait jusqu'ici pas trouvé son coordinateur. Jean-Noël Barrot a enfin annoncé que ce rôle sera endossé par Florent Kirchner, directeur de laboratoire et spécialiste de la cybersécurité au Commissariat à l'énergie atomique (CEA). Par ailleurs, les effectifs de l'Anssi devraient augmenter d'environ 10% en 2023, avec le recrutement d'une cinquantaine de nouveaux experts.

François Manens

28 Oct 2022, 6:18

Partager :