Un troisième homme, qui s’est invité entre Marconi et Fleming, émet en morse son propre signal (peu courtois) à leur attention : «Rats». Il s’agit de l’inventeur et prestidigitateur Nevil Maskelyne, rival de Marconi et probablement à la solde de la Eastern Telegraph Company — laquelle a récemment beaucoup investi dans la pose de câbles télégraphiques et voit d’un mauvais œil cette innovation technologique.
Or, en accomplissant peut-être le tout premier acte de piratage moderne, Maskelyne a mis en lumière des questions et enjeux qui sont au cœur des préoccupations en cybersécurité : le message que je reçois provient-il bien de mon expéditeur? Me parvient-il avec son contenu initial? Celui que j’envoie se rend-il au bon destinataire?
Car entre vous et votre institution bancaire, un site d’achat en ligne ou tout autre service avec lequel vous échangez des informations confidentielles, l’«homme du milieu» guette… Dans le but de capter des renseignements et de les exploiter, mais aussi parfois pour les modifier en chemin, à son avantage.
Méfait d’autant plus simple pour l’attaquant si ces informations ne sont pas codées et voyagent «en clair»; ce qu’on constate encore hélas pour beaucoup d’objets connectés dits «intelligents» et de dispositifs d’automatisation industriels.
Ainsi, des données sensibles pourraient tomber aux mains de pirates dans un espace de stationnement payant, en épiant les flux entre la borne de paiement et le serveur; et certaines voitures sont susceptibles d’être contrôlées à distance grâce à une connexion cellulaire, comme l’ont démontré en 2015 les chercheurs Charlie Miller et Chris Valasek en compromettant le système UConnect d’un Jeep Cherokee.
Dès lors, coder les messages (les rendre illisibles aux indésirables qui les interceptent) s’impose comme solution indispensable pour assurer la confidentialité, l’intégrité et l’authenticité des échanges.
Une idée qui, d’ailleurs, ne date pas d’hier!
Cryptographes et casseurs de code
Jules César l’avait déjà compris en opérant, pour ses missives militaires et personnelles d’importance, une permutation de chaque lettre de l’alphabet avec celle située à trois positions par devant; un code secret proche de l’Atbash hébreu qui, pour sa part, consistait à substituer la première lettre de l’alphabet par la dernière, la deuxième par l’avant-dernière et ainsi de suite.
Des «machines» à coder/décoder ont également très vite vu le jour, comme la scytale des antiques Spartiates, mais aussi plusieurs disques d’encodage — dont ceux de Leon Battista Alberti (1467) et de Thomas Jefferson (1795). Jusqu’à la fameuse machine Enigma de l’armée allemande, durant la Seconde Guerre mondiale, dont Alan Turing aura contribué à «casser» le code au moyen de son propre appareil — prototype de nos ordinateurs actuels.
Rien d’étonnant, donc, à ce que l’entreprise Netscape introduise en 1995 un protocole de chiffrement des échanges sur le Web, nommé Secure Socket Layer (SSL). Un «s» ajouté à «http» et un petit cadenas dans la barre d’adresse du navigateur qui ont beaucoup favorisé le développement du commerce en ligne.
Néanmoins, tout comme Enigma, SSL a fini par révéler ses propres failles : des vulnérabilités comme Heartbleed et Poodle, qui l’ont contraint à s’amender et à se renforcer, SSLv3 cédant définitivement le pas en juin 2015 au nouveau protocole Transport Layer Security (TLS).
Rusé comme Maître Renard
Publiée en août 2018, la version 1.3 de TLS s’avère désormais la norme pour des échanges sécuritaires sur le Web, et un fureteur à jour sélectionne automatiquement cette option de chiffrement, pour peu que le serveur auquel il se connecte la propose également.
L’«homme du milieu» a toutefois plus d’un tour dans son sac.
Ainsi, relayant une requête de connexion de l’utilisateur qu’il a préalablement modifiée, le pirate pourra exiger un chiffrement plus faible au serveur, s’il est offert au menu (attaque dite de «rétrogradation»). La communication sera alors enregistrée à l’insu de la victime, pour être ensuite déchiffrée plus facilement. KPMG estime qu’au moins 85 % des entreprises exposent encore sur Internet, à ce jour, un ou plusieurs services offrant des options de chiffrement vulnérables, dont le protocole désuet SSLv3 (15 %). Une prévalence qui augmente considérablement si on tient compte des services également exposés sur les réseaux corporatifs internes.
Cela dit, comme le déchiffrement n’est pas toujours simple à effectuer, les attaquants se contentent souvent d’intercepter les informations d’authentification de l’utilisateur (nom de compte et mot de passe), afin d’accéder aux ressources convoitées sans plus aucune nécessité de déchiffrer les échanges.
Parfois en redirigeant la victime, à son insu, vers un site ou service tiers piégé, en empoisonnant des tables d’adressage (ex. : ARP, DNS); ou encore par ingénierie sociale (ex. : courriel d’hameçonnage).
Une stratégie simple et profitable pour des cybercriminels qui, selon Europol, ont subtilisé en 2015 à plusieurs PME et grands groupes européens la coquette somme de
6 millions d’euros, surveillant le contenu de leurs boîtes courriel compromises et exigeant de leurs clients, au moment opportun, des paiements vers d’autres comptes bancaires.
:quality(95)/cloudfront-us-east-1.images.arcpublishing.com/lescoopsdelinformation/3CWTMBNYONBBNPW74NJ67T7ZAI.jpg)
:quality(95)/cloudfront-us-east-1.images.arcpublishing.com/lescoopsdelinformation/6LVRYQ75ZZCS7IJAK76OZWIZ2A.jpg)
:quality(95)/cloudfront-us-east-1.images.arcpublishing.com/lescoopsdelinformation/QDOANZBWE5FUTCH22MTSEVLDZE.jpeg)
:quality(95)/cloudfront-us-east-1.images.arcpublishing.com/lescoopsdelinformation/3DYGTDYEMJHPTOJRFOUTN2HNIE.jpg)