Vol et divulgation de données numériques chez Ashley Madison : comment rétablir la confiance dans le cyberespace ?

Des pirates ont réussi à s’emparer de 30 Go de données, qui avaient été confiées à Ashley Madison par plusieurs millions de clients. Quand on sait qu’Ashley Madison est un site qui incite aux relations "extra conjugales", on imagine les dégâts que ces révélations sont en train de provoquer.

Il s’agit bien là du monde réel, avec chantage, divorces et peut-être suicides à la clé. Face à ces attaques, établir la confiance dans le cyberespace, en protégeant les données numériques, est-ce encore possible ?

Intégrité, confidentialité et traçabilité pour établir la confiance

Définissons d’abord ce qu’on entend ici par « données numériques ».

Par exemple « 35 » ou « 35 ans » ne sont pas des données numériques, mais seulement des nombres ou des quantités. Par contre « Cette dame est âgée de 35 ans » est une donnée numérique parce qu’elle a un sens, une sémantique qui peut être utilisée.

Il est souvent intéressant, voire indispensable, d’associer à cette donnée numérique, d’autres données qui la précisent, comme par exemple qui a créé cette donnée (même si c’est un pseudonyme) ? Quand ? Dans quelles circonstances ? Par rapport à cette donnée, ces précisions sont ses métadonnées. D’autres données peuvent, ou doivent, être associées pour enrichir la donnée numérique comme par exemple « cette dame est célibataire » et « cette dame habite en région parisienne ».

Corrompre une donnée ou simplement une de ses métadonnées, ou une donnée associée, c’est en diminuer la valeur ou la véracité. La corruption d’une donnée ou de ses métadonnées est une attaque d’autant plus dommageable aujourd’hui qu’avec les technologies du Big Data, une donnée a souvent vocation à être corrélée avec d’autres données, au travers d’algorithmes. Ces traitements vont mener à des actions, et même parfois à des anticipations, pour lesquelles une donnée seule, même si elle n’a qu’une très modeste participation au résultat des corrélations, peut les fausser.

C’est dire que concernant la sécurité de cette donnée numérique, un paramètre revêt une importance particulière : c’est l’intégrité, et dans la plupart des cas, l’intégrité de la donnée numérique est même le plus important des paramètres qui interviennent dans sa sécurité. Que dire, par exemple, des conséquences possibles d’un tableau Excel fournissant l’identité des clients d’Ashley Madison, classés par ordre alphabétique des noms, associée à leur âge, mais dont on aurait corrompu l’intégrité en décalant la colonne des âges d’une case !

On peut définir l’intégrité d’une donnée numérique comme étant l’assurance qu’elle n’a pas été modifiée de manière frauduleuse, par quelqu’un qui n’était pas autorisé à le faire, entre le moment où elle a été créée et celui où elle est utilisée.

Dans l’affaire Ashley Madison, il est évident que tromper ceux qui vont prendre connaissance des données numériques divulguées en rajoutant des informations factices, ou en enlevant certains détails pour que ceux qui sont laissés soient plus visibles, voilà qui empirerait l’image des victimes déjà bien érodée si leurs informations font partie de celles qui ont été divulguées par les pirates d’Impact Team.

Et dans l’Intégrité des données numériques, on doit également associer l’authenticité des personnes concernées. Par exemple si une personne a confié ses informations sous un faux nom, qui constitue de facto son identité, elle ne souhaiterait pas sans doute que ses informations soient liées à son vrai nom, ou encore  que des informations qui ne la concernent pas soient associées à son profil.

Si la donnée numérique est sensible, et dans le cas des clients d’Ashley Madison, c’est sans doute toujours le cas, elle doit n’être connue que par des personnes qui sont autorisées à en prendre connaissance, et dument identifiées et authentifiées. Il est indispensable d’en assurer la confidentialité, qui est l’assurance que la donnée ne pourra être lue ou exploitée que par ceux qui ont « le droit d’en savoir ». Ainsi toute donnée numérique à caractère personnel devrait rester confidentielle, surtout sur un site qui encourage les relations extra conjugales

En cas de problèmes sur le système d’Information ou sur les données, les investigations pour savoir ce qui s’est passé, en apporter les preuves, et parfois même pouvoir remonter à l’origine du problème, seront facilitées si la traçabilité des données numériques a été assurée. La traçabilité est le dernier des paramètres que nous évoquons ici.

En général, on présente aussi la disponibilité des données numériques, mais dans le cas du piratage d’Ashley Madison, les victimes auraient sans doute préféré que leurs données n’aient pas été disponibles, ce qui leur aurait évité les problèmes qu’ils peuvent maintenant imaginer !

Des contre-mesures pour mettre en œuvre la sécurité des données numériques

L’assurance de l’intégrité, de la confidentialité et de la traçabilité des données numériques, de leurs métadonnées et de leurs données associées, établit la confiance qu’on peut accorder à son Information. Les cyberattaques sont nombreuses et peuvent détruire cette confiance (la preuve !). Mais fort heureusement, des contre-mesures peuvent être mises en œuvre pour diminuer les risques.

L’intégrité d’une donnée peut être établie par une signature électronique. Cette signature prouve d’une part que la donnée a bien été créée, ou modifiée par celui qui est habilité à le faire, mais aussi que personne d’autre n’a pu avoir modifié cette donnée ensuite. Un certificat électronique accompagne une signature électronique. Ce certificat, librement consultable, est signé lui-même par une autorité et atteste que l’on peut faire confiance en l’intégrité de la donnée si on se fie à  l’autorité de confiance qui a signé ce certificat. Sur le plan technique, les mécanismes de signature électronique font appel au calcul d’empreinte et au chiffrement à clé publique.

La confidentialité est assurée par les technologies de chiffrement symétriques et de chiffrement à clés publiques, et imposent de gérer les clés. Ces clés doivent être assez longues et les algorithmes de chiffrement assez solides et correctement implémentés pour pouvoir résister aux attaques sur la confidentialité des données numériques. Le chiffrement assure non seulement la confidentialité des données en transition, et les réseaux privés virtuel s’en chargent, mais aussi être utilisé pour assurer la confidentialité des données stockées.

Apparemment, dans le cas d’Ashley Madison, la confidentialité des données n’a pas l’air d’avoir été vraiment assurée, puisque les pirates disposent de l’Information en clair.

Si le cycle de vie des données numériques génère beaucoup d’évènements, les attaques sur les données peuvent en générer beaucoup d’autres, et ceci rend possible la traçabilité des données. Mais comment s’y retrouver dans la foultitude de résultats produits, en particulier dans les journaux d’évènements qui peuvent atteindre des tailles considérables ? La traçabilité peut être rendue problématique par l’abondance des résultats à exploiter. Des technologies ont été mises au point pour régler ce problème. Citons le SIEM, Security Information and Events Management, qui exploite la totalité des évènements générés, qu’ils soient d’origine matérielle, logicielle ou humaine, et qui peut s’appuyer sur le Big Data pour corréler cette abondance d’informations, et visualiser les attaques dans un SOC (Security Operating Center).

Nos industries, nos institutions, notre mode de vie même sont de plus en plus conduits par la multitude de données numériques générées à chacune des actions en particulier sur le Web, sur les réseaux sociaux, par les smartphones, par les objets connectés... Assurer la sécurité des données numériques est une impérieuse nécessité et heureusement des contre-mesures existent et des experts, bien formés, savent vous accompagner pour les implémenter au mieux de vos besoins.

Et parce que l’utilisateur restera toujours le maillon faible de la sécurité des données numériques, il convient avant tout de le sensibiliser aux problèmes posés par la cybercriminalité pour qu’il devienne un élément actif de la sécurité des données numériques auxquelles il a accès.