Les technologies de sécurité de l’information selon Hans Christian Andersen

Les œuvres du célèbre conteur danois regorgent d’exemples et d’allégories sur l’importance de la cybersécurité.

Depuis le Moyen Âge, les conteurs ont cherché à transmettre à leurs lecteurs une certaine culture de la protection que l’on pourrait rattacher à notre cybersécurité moderne. L’idée de base de cet article est simple : utiliser les histoires des contes populaires pour créer de véritables rapports. Les détails de ces rapports varient, bien sûr, mais une lecture attentive permettra de mettre en lumière les différences entre les approches de chaque auteur.

Les frères Grimm et Charles Perrault ont articulé leurs contes autour d’incidents informatiques, tandis que Hans Christian Andersen a centré toute son attention sur les technologies de sécurité. Les frères Grimm et Perrault étaient financés par des entreprises chargées d’enquêter sur les incidents, alors qu’Andersen travaillait pour un prestataire de solutions de sécurité. Suivant cet incipit, examinons quelques exemples de sa production.

Les Cygnes sauvages

Le scénario de ce conte de fées est relativement classique : un roi venant récemment de perdre son épouse se remarie avec une méchante reine qui se révèle être une sorcière, une allégorie courante des contes de fées pour désigner une menace intérieure. Souhaitant se débarrasser des jeunes princes, elle les chiffre (elle les transforme en oiseaux). Chose étrange, Andersen nous apprend que l’algorithme de chiffrement est défectueux : la méchante marâtre tente de les chiffrer au format .gros_oiseaux_sans_voix mais n’obtient que .cygnes.

Par la suite, le récit relate les épreuves de la princesse, dont certaines pourraient s’apparenter à des tentatives pour contacter des consultants indépendants en cryptographie. Cependant, une grande partie de l’histoire porte sur la façon dont la princesse écrit manuellement onze outils de déchiffrement, soit un pour chacun de ses frères.

Le récit raconte comment elle a tissé le code de déchiffrement à partir d’orties récoltées dans le cimetière d’une église. Le cimetière ferait référence au langage de programmation C++ (les deux signes plus représentent des croix), qui, comme par hasard, a été développé par le compatriote d’Andersen, Bjarne Stroustrup. En résumé, la princesse aurait écrit les outils de déchiffrement en C++.

Mais Andersen reste impartial ; on le constate avec le dernier outil, qui contient une erreur, laissant certains des fichiers du dernier frère chiffrés.

La Princesse au petit pois

Le conte de fées « La princesse au petit pois » pourrait évoquer un rapport sur le déploiement d’un moteur d’analyse comportementale médiéval inspiré d’une sandbox. On peut imaginer qu’Andersen l’aurait écrit pour un quelconque magazine spécialisé ou comme livre blanc d’une histoire à succès.

En résumé, l’histoire est celle d’un prince qui doit prouver que la femme qu’il veut épouser est une vraie princesse. Pour ce faire, sa mère a aménagé un espace isolé et contrôlé (en d’autres termes, une sandbox), simulant la chambre de la princesse. Elle cache un déclencheur dans le lit afin de provoquer un comportement normal de princesse, et le cache sous vingt épais matelas et lits de plumes. Dans ces conditions, selon l’hypothèse de la mère, une vraie princesse réagirait au déclencheur, tandis qu’une fausse princesse y serait insensible.

Heureusement, le sujet de la recherche, placé dans la chambre, a correctement réagi au déclencheur. Il s’agit donc d’une véritable princesse.

Aujourd’hui, nous utilisons des technologies de détection comportementale pour identifier les comportements malveillants, plutôt que les princesses. Le principe de base reste le même, cependant. Par exemple, Kaspersky Research Sandbox analyse le fonctionnement normal d’un ordinateur dans un réseau d’entreprise et l’émule dans un espace isolé pour ensuite surveiller le comportement de potentielles menaces.

Le Briquet

Dans « Le Briquet », Andersen centre son récit sur un hacker. Appelé tout simplement « soldat », notre cybercriminel utilise une sorte de communicateur appelé Briquet pour contacter un groupe criminel de chiens monstrueux. Les canidés lui fournissent de l’argent et un moyen de communication avec la princesse, en contournant les restrictions gouvernementales. De plus, ils dissimulent ses activités criminelles dans le monde réel en éliminant physiquement les personnes indésirables. En d’autres termes, nous parlons du dark web. Et le Briquet est clairement une référence à Tor.

À bien des égards, « Le Briquet » est un conte des plus atypiques. Tout d’abord, dans le choix de son protagoniste. Les héros des contes de fées sont souvent des personnages positifs, ou du moins ils suscitent l’empathie. Ici, le protagoniste, loin d’être un héros, s’avère immoral au plus haut point.

Au cours de ce très court récit, le soldat escroque, vole et tue une vieille femme qui lui a dit où trouver de l’argent, enlève à plusieurs reprises une princesse, élimine ses parents ainsi que les juges et les conseillers royaux, et finit par prendre le pouvoir. Andersen voulait clairement dépeindre l’homme comme un criminel.

Pour en revenir au prisme de la sécurité de l’information, nous ne nous intéressons pas au briquet en lui-même, mais plutôt aux mesures utilisées par les défenseurs du palais pour déterminer le lieu et la manière dont le soldat entre en contact avec la princesse. La reine (notez que, comme dans « La Princesse au petit pois », c’est la femme de la famille qui est responsable de la sécurité informatique du palais – c’est ainsi qu’Andersen montre l’importance du rôle du RSSI à l’époque médiévale) tente à plusieurs reprises de mettre la main sur le hacker.

Tout d’abord, elle demande à l’analyste interne des menaces informatique (une dame d’honneur) de retracer manuellement l’adresse de l’intrus. La dame d’honneur identifie correctement le sous-réseau utilisé par le soldat, mais le système complexe de masquage des adresses l’empêche d’en déterminer la source exacte. Autrement dit, pour la mettre sur une fausse piste, l’un des chiens marque à la craie les portes environnantes avec la même croix que celle dessinée sur la porte du soldat.

La deuxième tentative est plus sophistiquée et plus réussie. La reine insère un implant dans l’application client de la princesse (un sac de gruau de sarrasin). Lors de la prochaine session de communication, l’implant marque les nœuds intermédiaires grâce auxquels le chien cybernétique redirige le signal vers la « fenêtre du soldat », c’est-à-dire directement vers son ordinateur sous Windows. Résultat : le soldat est retrouvé, arrêté et condamné à mort.

Cependant, contrairement à « La Princesse au petit pois », le récit doit s’envisager comme un avertissement, et non comme une histoire indiquant la bonne marche à suivre. Un badaud est soudoyé pour remettre le communicateur au condamné, qui sollicite l’aide de toute la bande de criminels canins. Au final, les efforts de la reine sont vains.

Les Habits neufs de l’empereur

Pour clore notre sélection des contes d’Andersen en lien avec les technologies de la sécurité de l’information, concentrons-nous sur « Les Habits neufs de l’empereur ». La version originale du conte correspond manifestement à une satire critique des charlatans informatiques, en l’occurrence, des fournisseurs qui font l’éloge de leur cybersécurité nouvelle génération basée sur la blockchain ou l’intelligence artificielle.

Dans « Les Habits neufs de l’empereur », le roi alloue de l’argent au développement d’un ample système de cybersécurité, mais les fournisseurs se contentent de présenter quelques projets tape-à-l’œil sur le thème de la blockchain et empochent l’argent. Les conseillers du roi, ne connaissant rien à la technologie et craignant d’avoir l’air stupide, confirment ses grandes perspectives. Plus tard, un jeune pentester, mais apparemment expérimenté, remarque que le système de protection royal contient non seulement de nombreuses failles, mais en réalité totalement inexistant.

Le secteur de la cybersécurité a beaucoup évolué depuis l’époque d’Andersen. Les organisations modernes qui choisissent des solutions de sécurité devraient moins se laisser guider par les slogans publicitaires et davantage par les résultats de tests indépendants.

Conseils