L’annonce de la faille de sécurité baptisée Krack mettant en suspend toute la confiance du monde sur les réseaux Wifi domestiques et professionnels fait la une de la presse générale. Il s’agit de la fameuse clé WAP2, norme barbare améliorée du protocole de chiffrement Wifi WAP.
On découvre que plus aucun terminal connecté à un réseau Wifi n’est protégé, mieux on en devient tous vulnérable. Une partie de nos échanges chiffrés peuvent être captés par un tiers malveillant – comprenez un hacker – et que désormais, nous ne devrions plus utiliser nos Wifi. Il faut comprendre que si un hacker sait lire une “partie“ de vos fichiers, il sait en vérité tout lire. Il n’y pas de demie mesure sur ce point. Mais ne cédons pas à la panique d’autant que curieusement les agences de sécurité reconnaissent avoir identifié cette faille depuis des semaines et les éditeurs sont déjà en train de proposer des mises à jour de sécurité. Cela avant même la communication sur cette faille qui n’est finalement pas une trouvaille.
La bonne idée c’est que Mathy Vanhoef, chercheur à l’Université de Leuven en Belgique a trouvé un moyen de rejouer la faille par un programme automatisé. En clair, il est capable d’industrialiser l’attaque.
Mais nous savons, parce que c’est notre métier, que jamais aucun réseau Wifi n’est sécurisé. En 2008, les civils Martin Beck et Erik Tews avaient découvert une faille sur le format WAP. Né alors le WAP2 censé corriger l’algorithme du chiffrement, c’est de lui qu’il s’agit aujourd’hui.
L’avez-vous remarqué, je parle des chercheurs comme des civils ? En effet, il est salutaire de noter que sans ces femmes et ces hommes, notre résistance aux attaques cybernétique serait tout bonnement nulle. Et les États alors ? Et bien sachez que tous les États gardent pour eux les failles de sécurités qu’ils détectent par hasard ou non, et ceux pour tous les systèmes quels qu’ils soient. La raison est simple. Elle tend à renforcer les systèmes de défense et d’attaque du pays. L’atout et de savoir ce que l’autre ignore.
L’attaque de masse nommée Wannacry s’appuyait sur une faille Windows de Microsoft que la NSA avait gardé pour elle jusqu’à ce qu’un lanceur d’alerte la publie sur Wikileaks. Les mafias ou états étrangers n’avaient plus qu’à en prendre connaissance pour construire une attaque de masse. Comme quoi, avoir le savoir d’une attaque cybernétique d’ampleur vous met en situation temporaire de Maître du monde.
L’enjeu quand il n’est ni stratégique ni politique et simplement cupide. Et cette attaque extrêmement bien relayée par les médias pourrait changer l’internet de demain. La force du réseau internet est de laisser le maximum d’échange possible en clair. Si cette attaque invite tous les consommateurs d’internet à utiliser un VPN de trafic internet souverain, alors le Ad Marketing est mort entraînant dans sa chute Google en premier, les autres ensuite. Sans captation du trafic, le vôtre en l’occurrence, on ne peut pas savoir qui vous êtes, ce que vous faites et ce que vous consommez.
Criteo et consort disparaissent, Google ne sait plus positionner la pub au bon moment et sur la bonne page ! La rémunération disparaît alors. Fini Google, adieu Gmail, bye bye Facebook (tous gratuit), bref une nouvelle aire et un nouveau business model peut naître.
Peu probable car le consommateur est très attaché à ses habitudes et les changer est le dernier des efforts que l’homme apprécie faire, même si intrinsèquement c’est cette faculté qui lui a permis de construire l’internet et pas les ratons laveurs.
Qu’est-ce qu’un VPN de trafic souverain ? C’est une solution qui chiffre le trafic établi entre votre terminal et la borne Wifi ou 3G/4G et votre connexion à l’internet se fait depuis une adresse IP virtuelle dans un pays asservi par l’éditeur du logiciel. Les Finlandais sont les meilleurs pour cela d’autant que leur constitution politique est très attachée au secret de la vie privé. C’est ce qui rend la solution souveraine. On retrouve ces mêmes constitutions en Suisse, en Islande ou en Norvège. Les États-Unis comme Israël sont très rigides. Il suffit d’ailleurs de lire les Conditions Générale de Google pour comprendre combien vaut votre libre arbitre sur Internet. Avec un peu de recul vous comprendrez vite qu’il vaut une partie du revenu du GAFA.
Le Ad Marketing devra donc revoir le modèle si nous devenions tous consommateurs de ce chiffrement qui limite considérablement notre exposition face aux pirates. Seule l’histoire très prochaine nous donnera la tendance de cette attaque qui porte bien son nom. (par Frans Imbert-Vier PDG d’UBCOM pour DataSecurityBreach.fr)