En vedette - Lutter contre le cybercrime pour un avenir plus sûr
On estime qu'à tout moment, quelque 150 000 virus et autres types de codes malicieux sur Internet infectent les ordinateurs de plus d'un million de personnes chaque jour. Le développeur de logiciel antivirus McAfee enregistre 75 millions de codes malicieux uniques de logiciels malveillants (les maliciels) dans ses bases de données, et estime que les botnets envoyant des courriels indésirables représentent un tiers des courriels envoyés chaque jour. Certains d'entre nous paieront une centaine d'euros pour faire nettoyer leur ordinateur ou récupérer leurs données perdues en raison d'un virus, mais globalement l'impact financier sur les citoyens, les entreprises et les gouvernements est énorme: une estimation haut niveau de McAfee évalue le coût mondial de la cybercriminalité à un trillion de dollars annuellement si l'on tient compte du temps perdu, des opportunités commerciales ratées et des dépenses liées à la résolution de problèmes générés. Au vu de la dépendance croissante de la société envers l'Internet pour leurs affaires et les communications, le cybercrime est un problème mondial croissante qu'aucun pays ou entreprise ne peut gérer seul. Ainsi, en Europe, plusieurs organisations (de la Commission européenne à des PME et universités), rassemblent leurs ressources entre eux et avec d'autres entités du monde afin de développer des stratégies, politiques et technologies efficaces pour lutter contre cette épidémie. La Commission européenne souhaite publier un rapport intitulé «A European Strategy for Cybersecurity» (Une stratégie européenne sur la cybersécurité) portant sur la préparation, la prévention et la réponse dans un futur proche, et a mis en place une équipe d'intervention en cas d'urgence informatique (CERT-EU). Parallèlement, un financement de l'UE sera réservé pour plusieurs projets paneuropéens visant à améliorer la cybersécurité. Ces deux dernières années, la Commissions européenne contribue à hauteur de 2,5 millions d'euros à la mise en œuvre du projet Syssec (1), un réseau d'excellence (NoE - Network of Excellence) s'appuyant sur le vieil adage «Mieux vaut prévenir que guérir». Le réseau d'excellence porte sur le développement de solutions pour prévoir les menaces et les vulnérabilités, permettant aux victimes potentielles d'attaques cybernétiques de développer des moyens de défense avant que les menaces ne se matérialisent. Le projet a mis en place un «centre virtuel d'excellence» pour consolider la communauté de recherche sur la sécurité des systèmes en Europe et permettre une recherche collaborative; il travaille sur une feuille de route sur la recherche active et sur toute une gamme d'initiatives pédagogiques de cybersécurité. «Le 'réseau d'excellence' Syssec adopte une approche changeante face au jeu à la cybersécurité: au lieu de chasser les pirates après une attaque, Syssec étudie les menaces et vulnérabilités émergentes à l'avance. Les principales idées du réseau consistent à identifier une feuille de route pour travailler sur les menaces et construire une infrastructure pour stimuler l'éducation en matière de sécurité des systèmes, et ce afin de fournir l'expertise nécessaire pour gérer le problème de ces menaces émergentes», expliquent Evangelos Markatos, coordinateur du projet, et Herbert Bos, collègue chercheur de Syssec dans un article consacré au projet. La sécurité par la conception Alors que Syssec adopte une approche globale pour prévoir les menaces, un autre réseau d'excellence, Nessos (2), se concentre spécifiquement sur la promotion de la conception et du développement de logiciels et systèmes sûrs pour l'«Internet du futur». L'objectif est de s'assurer que les ingénieurs et développeurs gèrent les questions de sécurité dès le début de l'analyse et la conception du système, et l'équipe s'est concentrée sur six domaines importants: les critères de sécurité pour l'Internet du futur, la création d'architectures et la conception de services sûrs, le soutien aux environnements de programmation pour des services composables sûrs, la possibilité d'une assurance de la sécurité, l'établissement d'un cycle de développement de logiciels sensibles aux coûts et aux risques, et des études de cas pour des scénarios futurs d'applications Internet. L'approche sécurité par conception est sans doute le meilleur exemple de ce projet. Dans le projet SecureChange (3), des chercheurs de neuf pays européens ont développé la méthodologie, les techniques et les outils pour rendre plus efficace, plus flexible, plus sûre et bien moins coûteuse en terme de temps et d'argent le cycle entier du logiciel (de la définition du cahier des charges à la conception, au développement, au test et à la vérification, au déploiement et à la mise à jour). Le coordinateur de SecureChange, Fabio Massacci, décrit le problème de cette façon: «Supposons que vous ayez développé un logiciel sécurisé. Vous le livrez au client et vous devez ensuite le mettre à jour, par exemple pour l'enrichir de fonctions pour qu'il maintienne une position compétitive. Si, à chaque actualisation, vous devez tout reprendre à zéro et vérifier tous les codes, même si vous n'en avez modifié qu'une toute petite partie, les coûts et les délais sont considérables». Par exemple, une analyse menée par l'équipe de SecureChange, couvrant cinq ans et six mises à jour majeures du navigateur Firefox, a déterminé qu'environ un tiers du code du logiciel était modifié d'une version à la suivante. D'autre part, chaque nouvelle version héritait de la précédente un bon nombre de vulnérabilités, un problème également rencontré par d'autres navigateurs comme Chrome et Internet Explorer (IE). La nécessité de fréquentes mises à jour signifie qu'on dispose de moins de temps pour les tester et les vérifier. L'approche SecureChange permettra de ne tester que les nouvelles parties et de maintenir la sécurité et l'intégrité du système dans son ensemble. Si l'on envisage un Internet du futur, dans lequel les utilisateurs s'éloigneront des services statiques actuels pour mélanger et faire correspondre les éléments et les services en fonction de leur disponibilité, de la qualité et du prix, le projet Aniketos (4) s'efforcera d'amener sécurité et confiance dans cet environnement hétérogène. Dans un monde tel que le nôtre, il est fort probable que les applications soient composées de services multiples de différents prestataires, et l'utilisateur final aura peu de moyens de garantir qu'un service ou prestataire de service spécifique propose réellement la sécurité qu'ils revendiquent. L'équipe d'Aniketos, qui est composée d'acteurs industriels majeurs et d'instituts de recherche, s'est doc lancée dans le développement de nouvelles technologies, outils et services de sécurité pour soutenir le comportement de création en temps de conception et de la dynamique en temps d'exécution des services composites sûrs , ainsi que les méthodes d'analyse, de résolution et de partage d'informations sur la façon dont les nouvelles menaces et vulnérabilités peuvent être réduites. Vers un Internet des objets sûrs Une bonne partie de la cybersécurité à ce jour porte principalement sur la protection des systèmes informatiques traditionnels, des logiciels et des appareils tels que les ordinateurs personnels, les serveurs et les bases de données; cependant, le développement rapide de nouvelles technologies telles que l'informatique embarquée, l'«Internet des objets» (IdO) composé de capteurs et actionneurs omniprésent, et l'informatique en nuage implique que l'approche à la cybersécurité doit également évoluer. L'«informatique à sécurité multiniveau» (Trusted computing) par exemple est une technologie éprouvée qui repose sur les logiciels et matériels pour la vérification et l'implémentation de l'intégrité et de la sécurité dans les ordinateurs personnels et fait maintenant son entrée dans les systèmes embarqués. Contrairement à un ordinateur personnel ou portable traditionnel, les systèmes embarqués sont des systèmes informatiques conçus pour fonctionner de manière «cachée» ou «enfouie» (embarquée), dans les équipements et dispositifs que nous utilisons quotidiennement. Ils transmettent des données entre votre téléphone portable et le réseau mobile, ils gèrent votre connexion Internet et évitent les attaques de réseau, et ils contrôlent les feux de signalisation dans votre rue; ils sont dans les avions, les voitures et même les centrales électriques. Cependant, on utilise de plus en plus les systèmes enfouis dans des appareils constamment connectés à Internet, aussi deviennent-ils plus vulnérables au piratage ou aux virus et autres «maliciels». Le projet TECOM (5) a contribué à apporter l'informatique à sécurité multiniveau aux systèmes embarqués en adaptant la technologie développée initialement pour des ordinateurs personnels à des téléphones portables et des compteurs électriques intelligents. «La gamme d'applications est gigantesque pour la TC dans les systèmes enfouis. Dans TECOM, nous avons construit le cadre technologique qui permet de mettre en œuvre cette technologie, et nous montrons comment elle fonctionne», explique Klaus-Michael Koch, qui travaille pour la société dirigeant le projet TECOM. «Dans les années à venir, nous commencerons à les voir utilisés dans divers environnements.» L'IdO va de pair avec l'informatique en nuage, où les données sont distribuées et instantanément accessibles n'importe où et n'importe quand. L'infrastructure en nuage doit donc également être sûre et digne de confiance, tout autant que les applications et services qui en dépendent. Dans l'objectif de développer des nuages précis, le projet Tclouds (6) a étudié les questions de sécurité, de confidentialité et de résistance de manière économique, simple et échelonnable, et par procuration, cherchait à s'assurer de l'expansion continue de l'infrastructure, des ressources et des services pour de nombreuses années. Solution cryptique Lorsqu'il s'agit de sécuriser les données, que ce soit dans le nuage ou sur votre serveur réseau, la cryptographie joue un rôle important; chaque fois que vous utilisez votre carte de crédit, accédez à votre compte en banque ou envoyez un courriel sécurisé, des algorithmes cryptographiques s'exécutent en arrière-plan. Les ordinateurs deviennent de plus en plus puissants, les débits des réseaux ainsi que les capacités de stockage de données augmentent, aussi les méthodes actuelles de protection des informations sont-elles mises à l'épreuve. Le projet Ecrypt et son successeur Ecrypt-II (7) ont tenté de relever le défi. Un réseau d'excellence ayant rassemblé 32 instituts de recherche, universités et sociétés de grande renommée, l'initiative a développé des algorithmes cryptographiques améliorés, des textes chiffrés et des fonctions de hachage, a étudié des protocoles et des méthodes d'implémentation, et a travaillé sur des algorithmes plus solides pour un tatouage numérique. Parmi les principales réussites de l'équipe, citons huit nouveaux algorithmes ayant la capacité de dépasser les performances de l'AES (Advanced Encryption Standard), une norme de décryptage avancée développée par deux chercheurs belges dans les années 1990 et adoptée par la suite par le gouvernement américain pour protéger les informations classées top secrètes. «Les cryptographes sont confrontés à trois grands problèmes», explique Bart Preneel, coordinateur du projet: «le coût, la vitesse et la sécurité à long terme». On pourrait en dire autant pour la cybersécurité en général, mais certaines questions et beaucoup d'autres devraient pouvoir être résolues dans les années à venir grâce à la recherche européenne, ce qui contribuera à la sécurité des internautes face au piratage, aux chevaux de Troie et autres virus qui infectent le cybermonde aujourd'hui. --- Les projets présentés dans cet article étaient tous soutenus par le septième programme-cadre de recherche (7e PC). (1) Syssec: A European Network of Excellence in Managing Threats and Vulnerabilities in the Future Internet: Europe for the World (2) Nessos: Network of Excellence on Engineering Secure Future Internet Software Services and Systems (3) SecureChange: Security engineering for lifelong evolvable systems (4) Aniketos: Secure and Trustworthy Composite Services (5) TECOM: Trusted embedded computing (6) Tclouds: Trustworthy Clouds? Privacy and Resilience for Internet-scale Critical Infrastructure (7) Ecrypt-II: European network of excellence in cryptology - Phase II Liens aux sites web des projets: - Le 7e PC sur CORDIS - Syssec sur CORDIS - Nessos sur CORDIS - SecureChange sur CORDIS - TECOM sur CORDIS - Aniketos sur CORDIS - Tclouds sur CORDIS - Ecrypt-II sur CORDIS Autres liens: - Site web de la stratégie numérique de la Commission européenne