La cybersécurité dans l’univers de James Bond

Qu’est-ce que James Bond et ses collègues des services secrets savent-ils sur la cybersécurité ?

La sortie du film Mourir peut attendre marque la fin d’une ère pour Daniel Craig. Profitons-en pour analyser les cinq films dans lesquels il incarne James Bond et pour les évaluer en termes de cybersécurité. Nos découvertes devraient vous surprendre, mais sans trop vous perturber. Le point commun entre tous ces films, en dehors de Daniel Craig, est que les employés du MI6 ne connaissent pas du tout les principes de base de la cybersécurité.

Cette négligence est peut-être volontaire, étant donné le caractère désuet de Bond et du concept entier de la section « double-zéro », ou tout simplement due au manque de connaissances des scénaristes ou à l’absence de consultants en informatique. Quoi qu’il en soit, nous avons analysé, dans l’ordre de sortie, certaines des inepties que nous avons remarquées dans les films. Attention spoiler !

Casino Royale

Dans le premier film de Craig en tant que Bond, la scène suivante a attiré notre attention : Bond entre par effraction dans la maison de son supérieur, M, et utilise son ordinateur portable pour se connecter à un genre de système espion afin de savoir d’où un SMS a été envoyé au criminel. En réalité, Bond ne pourrait le faire que si :

  • Le MI6 ne dispose pas d’une politique de verrouillage de l’écran et de déconnexion automatique, et si M laisse tout le temps son ordinateur allumé et connecté ;
  • Le MI6 n’oblige pas ses agents à utiliser des mots de passe complexes et que les mots de passe de M sont faciles à deviner ;
  • M ne sait pas comment garder ses mots de passe secrets ou utilise des mots de passe compromis.

N’importe lequel de ses scénarios peut être un problème, mais le dernier est le plus probable. Un peu plus loin dans le film, Bond se connecte à nouveau à un « site sécurisé » grâce aux identifiants de M.

Le comportement de Bond envers les mots de passe n’est guère meilleur. Lorsqu’il doit créer un mot de passe (d’au moins six caractères) pour le compte secret où il va conserver l’argent gagné au poker, il choisit le nom de sa collègue (et amante) Vesper. De plus, il s’avère que le mot de passe est aussi un moyen mnémotechnique (comme les anciens mots inventés à partir du clavier alphanumérique d’un téléphone pour se souvenir d’un numéro de téléphone). Il s’agit bien d’un mot de passe à six chiffres, et basé sur un mot du dictionnaire en plus.

Quantum of Solace

Le film le moins informatisé de ces cinq James Bond, Quantum of Solace, contient néanmoins une séquence qui mérite toute notre attention. Au début du film nous découvrons que Craig Mitchell, un employé du MI6 depuis huit ans et cinq en tant que garde du corps personnel de M, est en réalité un agent double.

Bien sûr, ce problème de sécurité ne relève pas tant de la cybersécurité puisqu’il existe depuis bien longtemps. Pourtant, étant donné que M néglige ses mots de passe, comme nous l’avons vu dans le film précédent, les secrets du MI6 pourraient bien finir entre les mains des criminels du monde entier.

Skyfall

Skyfall se trouve à l’autre extrémité de ce cyber-spectre puisqu’il s’agit du film ayant le plus de références à l’informatique. Dans ce cas, la sécurité des informations est au cœur de l’intrigue. Cette frénésie informatique est évidente dès la première scène. Pour que cela soit plus facile, nous allons faire une analyse chronologique.

Fuites de données à Istanbul

Un criminel non identifié vole le disque dur d’un ordinateur qui contient « les identités de tous les agents de la OTAN infiltrés dans des organisations terroristes ». Même les partenaires du MI6 ne connaissent pas cette liste (qui n’existe pas officiellement).

L’idée même de l’existence d’un tel disque dur est une vulnérabilité de taille. Imaginons que cette base de données est vitale pour le MI6 (ce qui est le cas). Pourquoi ce disque dur était-il dans une maison sûre à Istanbul et n’était protégé que par trois agents ? Même si le disque dur est chiffré et avertit soi-disant le MI6 en cas de tentative de déchiffrement.

Cyber-attaque terroriste du SIS

Le premier incident informatique survient un peu plus tard : une cyber-attaque terroriste qui vise le siège du SIS britannique. Selon le système de sécurité, le criminel essaie de déchiffrer le disque dur volé depuis l’ordinateur personnel de M. Le personnel essaie désespérément d’éteindre l’ordinateur mais les criminels provoquent l’explosion du siège du MI6 sur les rives de la Tamise.

L’enquête qui s’ensuit révèle que l’assaillant a piraté le système de contrôle de l’environnement, verrouillé les protocoles de sécurité et ouvert le gaz. Mais avant cela, il a piraté les fichiers de M, dont son agenda, et en a extrait les codes qui permettent de déchiffrer le disque dur volé. La question n’était pas de savoir s’il y arriverait mais plutôt quand il passerait à l’action.

Admettons que l’alerte du disque dur volé sur l’ordinateur de M soit une tentative de désinformation ou un troll. Après tout, le disque dur pourrait ne pas être dans le bâtiment. Laissons de côté l’alimentation en gaz du bâtiment. Qui sait, peut-être que les couloirs du MI6 étaient éclairés avec des lampes à gaz, comme à l’époque de Jack l’Éventreur. La Grande-Bretagne est une terre de traditions.

Dans tous les cas, il est parfaitement possible de pirater les systèmes de contrôle d’ingénierie. Mais comment se fait-il que ces systèmes et l’ordinateur de M, qui est soi-disant le système informatique le plus sûr de toute le Grande-Bretagne, soient connectés au même réseau ? Il s’agit clairement d’un problème de segmentation. Sans parler du fait que le stockage des codes qui permettent de déchiffrer le disque dur sur l’ordinateur de M est une négligence grave. Le MI6 aurait au moins dû utiliser un gestionnaire de mots de passe.

Harcèlement électronique de M

Les criminels provoquent M en partageant régulièrement et publiquement les noms des agents. Ainsi, ils peuvent tant bien que mal faire apparaître leurs messages sur son ordinateur. On dirait qu’il y a une sorte de porte dérobée, sinon comment pourrait-il y avoir accès ? Mais les experts du MI6 ne cherchent pas à analyser l’ordinateur, ils essaient seulement de remonter à la source des messages.

Ils en concluent que les messages ont été envoyés par un algorithme de sécurité asymétrique qui renvoie le signal dans le monde entier, grâce à plus de mille serveurs. Cette méthode pourrait être réelle, mais le sens de cet algorithme de sécurité asymétrique est aussi clair que du jus de boudin. Dans le monde réel, un algorithme de cryptographie asymétrique est un terme utilisé en cryptographie. Cela n’a rien à voir avec la dissimulation de la source d’un message.

Le MI6 victime d’une attaque en interne

Bond localise et appréhende le cybercriminel (un ancien agent du MI6 qui s’appelle Silva) et l’emmène (lui et son ordinateur) au nouveau siège du MI6, sans savoir que Silva se sert de lui. Q entre en jeu : symboliquement un quartier-maître, fonctionnellement le cybercriminel officiel du MI6 mais un réalité un clown.

Là encore, le raisonnement n’est pas clair. Est-ce un clown parce qu’il est drôle ? Ou cette décision est-elle une autre conséquence du manque de connaissances des scénaristes en cybersécurité ? Tout d’abord, Q connecte l’ordinateur portable de Silva au réseau interne du MI6 et commence à raconter n’importe quoi. Nous allons essayer de déchiffrer ce qu’il dit :

  • [Silva] a établi des protocoles de sécurité-défaut pour effacer la mémoire si quelqu’un essaie d’accéder à certains fichiers. D’accord, mais si Q le sait pourquoi analyse-t-il les données de Silva sur un ordinateur ayant un protocole de ce genre ? Et si la mémoire s’efface ?
  • C’est un site omega. Il s’agit du niveau de chiffrement le plus élevé. On dirait que le code a été brouillé pour cacher ce à quoi il sert vraiment. Sécurité par l’obscurité. Il s’agit tout simplement de mots dits au hasard, sans aucune logique. L’obfuscation du code (autrement dit sa modification pour gêner l’analyse) est possible grâce au chiffrement alors, pourquoi pas ? Pourtant, pour exécuter le code, ce dernier doit d’abord être déchiffré, et il serait alors temps de découvrir de quoi il s’agit. La sécurité par l’obscurité est une approche qui existe vraiment et qui permet de protéger un système informatique. Au lieu d’utiliser des mécanismes de sécurité robustes, cette méthode complique l’accès aux données pour que les éventuels cybercriminels n’arrivent pas à les interpréter. Ce n’est pas l’idéal. Nous ne comprenons pas vraiment ce que Q essaie de dire.
  • Il utilise un moteur polymorphe pour muter le code. Il change dès que j’essaie d’y accéder. Cela n’a aucun sens. À nous de deviner où est le code et comment Q essaie d’y accéder. S’il parle de fichiers, la mémoire risque d’être effacée (pensez au premier point). Nous ne savons pas non plus pourquoi il n’arrive pas à arrêter cet outil mystérieux et à se débarrasser de cette « mutation du code » avant d’essayer de le trouver. Quant au polymorphisme, cette méthode obsolète permet de modifier un code malveillant lorsque de nouvelles copies de virus sont créées, au sens strict du terme. Cela n’a pas lieu d’être ici.

Visuellement, tout ce qui se passe sur l’ordinateur de Silva est présenté comme un plat de spaghettis à la complexité diabolique accompagnée d’un code apparemment hexadécimal. Bond, à l’œil de lynx, remarque un nom qui lui est familier au milieu de cette soupe alphanumérique : Granborough, une station de métro londonienne abandonnée. Il suggère de l’utiliser comme clé.

Un groupe d’agents expérimentés en renseignements devraient se rendre compte que cette information vitale bien visible, au beau milieu de l’interface, est très certainement un piège. Sinon pourquoi l’ennemi la laisserait là ? Mais Q saisit la clé sans rien dire. Par conséquent, une porte s’ouvre, des messages de « faille de sécurité du système » apparaissent et Q se retourne et dit : « Quelqu’un peut-il me dire comment il a réussi à pénétrer dans notre système ? » Quelques secondes plus tard, l’ « expert » se rend enfin compte qu’il serait plus sage de déconnecter l’ordinateur de Silva du réseau.

Somme toute, nous avons une question : Les scénaristes décrivent-ils Q comme un amateur inepte délibérément ? Ou ont-ils tout simplement agrémenté les dialogues avec des termes de cybersécurité choisis au hasard tout en espérant que Q donne le sentiment d’être un génie en informatique ?

007 Spectre

En théorie, 007 Spectre devait soulever la question de la légalité, de l’éthique et de la sécurité du programme international de surveillance et de renseignements, les Neuf Sentinelles, en tant qu’outil de lutte contre le terrorisme. En pratique, le seul inconvénient d’un tel système, comme celui du film, est si le responsable des deux services de renseignements (suite à la fusion du MI5 et du MI6) est corrompu. En d’autres termes, si une personne en interne ayant accès aux systèmes d’informations du gouvernement britannique travaille pour l’ennemi juré de Bond, Blofeld. Les autres inconvénients potentiels d’un système de ce genre ne sont pas abordés.

En plus de ce plan machiavélique, Q et Moneypenny envoient des informations classifiées à Bond, officiellement mis à pied pendant tout le film. D’ailleurs, ils fournissent aussi de fausses informations aux autorités sur son activité. Ils agissent certainement ainsi pour le bien de tout le monde, mais en tant que service de renseignements, ils divulguent des données secrètes et sont au moins coupables de faute professionnelle.

Mourir peut attendre

Dans ce dernier film de l’ère Craig, le MI6 développe en cachette une arme « top secret » dans le cadre du « Projet Héraclès ». Une arme biologique à base de nanorobots codés selon l’ADN de chaque victime. Grâce à Héraclès, les cibles peuvent être éliminées en vaporisant les nanorobots dans la pièce où elles se trouvent, ou en les introduisant dans le sang d’une personne qui sera en contact avec la cible. L’arme est l’invention personnelle du scientifique et agent double (peut-être triple, non ?) du MI6 : Valdo Obruchev.

Obruchev copie des fichiers confidentiels sur une clé USB et l’avale après que les agents (ceux qui ont survécu à la fin du film précédent) de l’organisation plus aussi secrète que cela de Spectre entrent dans le laboratoire, volent certains échantillons de nanorobots et kidnappent le scientifique traître. Nous connaissons déjà les problèmes liés à la vérification des antécédents du personnel. Mais pourquoi ce laboratoire qui développe des armes en secret ne dispose-t-il pas d’un système de data loss prevention (DLP) ? Surtout lorsque la personne qui utilise l’ordinateur à un nom russe, Obruchev. Russe est synonyme de méchant, comme nous le savons tous.

Le film mentionne également qu’à cause de plusieurs fuites massives de données ADN l’arme peut être utilisée contre n’importe qui. D’ailleurs, cette partie est plausible. Puis nous apprenons que ces fuites contiennent aussi des données sur les agents du MI6, ce qui tend à la crédulité. Pour vérifier que les données ADN divulguées concordent avec celles des employés du MI6, la liste de ces agents auraient dû être rendues publiques. C’est un peu tiré par les cheveux.

L’œil artificiel de Blofeld est la cerise sur le gâteau puisque son propriétaire, qui va passer des années dans une prison de sécurité maximale, a maintenu en permanence un lien vidéo avec un de ses hommes de main qui a un œil similaire. Soyons gentils et croyons que l’on peut ne pas détecter l’implant biologique d’une personne. En revanche, il devrait charger l’œil régulièrement, ce qui est difficile à faire dans une prison de sécurité maximale. Qu’est-ce que les gardiens faisaient ? De plus, à la fin, Blofeld est interpellé sans l’œil, ce qui signifie que quelqu’un a dû le lui donner après qu’il a été incarcéré. Peut-être un autre agent double ?

Ce n’est pas un épilogue

Nous aimerions croire que toutes ces absurdités sont le résultat d’un travail de rédaction pauvre et non le véritable reflet des méthodes du MI6 en cybersécurité. Nous espérons au moins que le vrai service ne divulgue pas des armes secrètes et ne conserve pas ses codes « top secret » en texte clair sur des dispositifs qui ne se déconnectent même pas automatiquement. Pour conclure, nous ne pouvons que conseiller aux scénaristes de se former en cybersécurité, par exemple en s'inscrivant à un cours de cybersécurité.

Conseils