Le sombre avenir du cloud

Le tollé provoqué par la diffusion des photos de star hollywoodiennes nues souligne une triste vérité : même les férus d’informatique ne savent pas exactement ce qui entre et ce qui sort du « Cloud ».

Ces derniers jours ont été une véritable aubaine pour les geeks ayant suivi l’affaire des fuites de données confidentielles sur le iCloud, comprenant plusieurs photos compromettantes des stars les plus en vue d’Hollywood parmi lesquelles Jennifer Lawrence, Kate Upton et bien d’autres.

Je vais partir du principe que vous n’habitez pas dans une grotte et je ne m’attarderais donc pas sur les détails. Et si vous revenez tout juste d’un séjour loin de toute civilisation moderne, rattrapez votre retard ici.

Dans cette histoire le vrai problème n’est pas de savoir si le iCloud (ou n’importe quel autre service d’Apple) a été piraté, ou si une vulnérabilité de l’application  » Localiser mon iPhone  » a été exploitée, ou encore de trouver quel logiciel a été utilisé pour commettre cet acte ignoble.

Même quand quelque chose n’est pas gratuit, il arrive souvent que les mêmes problèmes persistent, parce que si le service devient payant, ce n’est sûrement pas parce qu’il est plus sûr

Le vrai problème c’est que la plupart des consommateurs ne sait absolument pas quel type de données ils ont stocké sur un cloud quelque part. Et parmi ceux qui le savent, presque personne n’est capable de dire où leurs données sont vraiment stockées, qui peut y accéder ou à quel point elles sont protégées. Et je suis prêt à parier que les personnes comme Jennifer Lawrence ou Kate Upton ne le savent pas non plus. Mais cette affirmation est aussi valable pour ceux qui s’y connaissent un peu plus en informatique, car sur ce sujet, ils ne sont probablement pas plus au courant que les Jennifers ou que les Kates.

Prenez en compte la constante évolution des services proposés par la plupart des géants de l’informatique tels que Google, Facebook, Apple, etc. Il faut aussi tenir compte de leur politique de confidentialité, qui elle aussi évolue en permanence. Et cela ne suffit pas à justifier la constante émergence de nouvelles vulnérabilités ainsi que les mises à jour de sécurité qui s’en suivent et qui s’adressent en général à des consommateurs réticents et mal informés, mais là on est complétement hors sujet. Le problème c’est que cela ne peut tout simplement pas continuer !

Il y a quelques années, l’un de mes collègues est devenu l’une des victime de ce phénomène. C’était à peu près quand  Apple commençait à activer le iCloud pour tous ses appareils sous iOS.  Mon collègue discutait avec l’un de ses amis via iMessage :

Ami : On va prendre un verre ou ce soir ?

Collègue : Ca m’est égal. Tant que c’est près d’ici et que la serveuse est mignonne.

Plutôt inoffensif n’est-ce pas ? Et bien, pas tant que ça, parce que ce même jour le iCloud a synchronisé les données de iMessenger de tous les appareils Apple. J’imagine que vous voyez ou je veux en venir. Il aurait très bien pu envoyer ce message de l’iPad de son fils. Son fils aurait ensuite pu prêter son iPad à sa mère. Et je vous laisse imaginer la suite.

Depuis, Apple a en quelque sorte essayé de régler le problème. Et la plupart des parents qui s’y connaissent en informatique ayant connaissance du problème ont choisi de créer des comptes différents pour leurs enfants.

Mais personne n’a encore répondu à la question : Où se trouvent les données ? Qui peut y accéder ? Comment sont-elles protégées ?

En ce qui concerne la sécurité du cloud (en particulier celle de ses utilisateurs) : les mots de passe c’est nul et pour les contourner il suffit d’un peu d’ingénierie sociale ou d’outils de piratage de base ne nécessitant aucune connaissance technique. L’authentification à deux facteurs c’est un peu mieux, mais franchement ce n’est pas génial non plus (principalement parce que ce n’est pas pratique).

Au-delà de ça, les utilisateurs n’ont pas la moindre idée de ce qu’ils peuvent faire ou pas, car personne, et je dis bien personne, ne lis les conditions générales d’utilisation. Ils n’ont pas non plus idée de ce qui leur appartient (ou devrait), c’est pratiquement impossible ou tout du moins très difficile à gérer.

Maintenant vous devez vous dire  » C’est le prix à payer pour un service gratuit  » et vous ne serez ni le premier ni le dernier à le penser.

C’est un argument assez juste, mais nous vivons dans un monde ou la gratuité est difficile à éviter. : Même quand quelque chose n’est pas gratuit, il arrive souvent que les mêmes problèmes persistent, parce que ce que si le service devient payant, ce n’est sûrement pas parce qu’il est plus sécurisé ou confidentiel.

Ainsi, le fait que ces jolis petits iPhones, Macs et iPads soient tranquillement en train de transférer vos données vers le cloud, qui, vous devriez le savoir, n’est rien d’autre qu’un serveur à Cupertino, en Californie (ou plutôt à un endroit ou le prix de l’immobilier est moins élevé) qui lui est loin d’être gratuit.

Imaginez un instant que vous faites partie du monde des outils de productivité en ligne. Si vous avez une petite entreprise ou que vous y travaillez en tant que salarié et que vous n’en utilisez pas, alors vous dépenserez plus  que ce que vous ne devriez. En effet, si vous n’utilisez pas d’outils de productivité, vous partez avec un handicap concurrentiel.

Comme tous les appareils se rapportant à Internet et aux ordinateurs, ces outils créent, transmettent, stockent et en d’autres termes commercialisent des données. Mais où sont donc ces données ? C’est un gros problème si vous faites des affaires dans un endroit comme, par exemple, l’Europe. Vos données sont-elles référencées ? Qui peut y accéder ? Ces listes de données peuvent-elles être utilisées par un gouvernement quelque part ? Ou pire encore, par un concurrent ? Ce scénario est précisément la raison pour laquelle il est si stupide de dire que ceux qui n’ont rien à cacher n’ont rien à craindre, car  » les personnes qui n’ont rien à cacher  » ça n’existe tout simplement pas. Cacher n’est pas un synonyme de criminel que je sache.

Et avec le temps, ces gros problèmes ne feront qu’augmenter, tandis que l’allégorie sur les petites entreprises s’appliquera aussi à votre vie privée : où stocke ont les données des applications mobiles santé gratuites ? Qui a accès à ces données ? Quand cela commencera-t-il à affecter vos frais de sécurité sociale ? Les consommateurs et  les entreprises deviendront plus sensibles à ces problèmes. Si vous êtes vendeur chez Facebook, vous en avez surement déjà entendu parler. Ou en sont les téléchargements de Facebook Messenger ?

Mais feindre l’indignation n’est pas la meilleure des réponses. Apple et d’autres se font beaucoup d’argent avec des services qui exploitent clairement ce problème. D’accord Apple, peut-être bien que c’était seulement une attaque de type APT visant exclusivement les Jennifers et les Kates, comme vous l’avez sous-entendu dans vos déclarations. Cependant, ce qui aujourd’hui est une nouveauté sera dépassé lorsque vous lirez cet article. Nous avons de sérieux problèmes et nous allons devoir les affronter.

Chez Kasperky Lab, on est parfaitement conscients de ces problèmes. On y pense souvent. Et on sait que  notre gagne-pain, c’est à dire les logiciels de sécurité, peuvent réduire certains de ces risques, mais on sait aussi qu’ils ne sont pas la solution au problème. On a encore beaucoup de travail. Vous souhaitez nous aider ?

Conseils