Johnny Mnemonic en mode cybersécurité

La cybersécurité de Johnny Mnemonic est-elle crédible maintenant que nous sommes en 2021 ?

Le futur que William Gibson imagine dans sa nouvelle qui a inspiré le film de 1995 Johnny Mnemonic illustre à la perfection le mouvement cyberpunk : audacieux, dangereux, extrêmement avancé et particulièrement technique. Étant donné que le film se déroule début 2021, nous avons pensé qu’il serait intéressant d’analyser cette version cinématographique du point de vue de la cybersécurité afin de comparer cette année 2021 fictive avec la nôtre.

Contexte cinématographique

Le film se déroule dans un monde plutôt sinistre, contrôlé par les multinationales et tourmenté par une dangereuse pandémie connue comme Syndrome d’Atrophie Nerveuse (SAN). Cette maladie est, selon un des personnages, liée à une surcharge d’informations, avec tous ces systèmes électroniques autour de nous qui polluent les ondes.

Multinationales, pandémie et théories du complot au sujet du lancement de nouveaux gadgets technologiques. Ça vous dit quelque chose ? Pourtant, ce film n’a que partiellement vu juste. Dans cette année 2021 fictive, les micropuces contiennent des gigaoctets de données et peuvent être implantées dans le cerveau humain.  Dans le monde réel, malgré tous les efforts de Elon Musk, nous n’en sommes pas là. Nous allons passer outre la description classique d’Internet que font les films des années 80-90, avec cet univers de réalité virtuelle un peu fou. Internet est bien différent, du moins en 2021.

Industries Pharmakom

Selon l’intrigue du film, il existerait un traitement pour le SAN mais l’entreprise pharmaceutique reste silencieuse à ce sujet ; il est beaucoup plus rentable de traiter les symptômes que de débarrasser l’humanité de cette maladie. Certains employés de Pharmakom désapprouvent cette décision et décident de voler des informations médicales et de détruire les données de l’entreprise.

Cette action révèle de gros défauts dans le système de sécurité de Pharmakom :

  • Les autorisations d’accès aux données dont disposent les scientifiques sont beaucoup trop généreuses. Il est vrai que les fabricants de médicaments doivent pouvoir lire les informations opérationnelles et écrire dans le serveur. Mais pourquoi leur permettre d’effacer définitivement des informations classifiées ?
  • Pharmakom n’a pas de sauvegarde (du moins, il n’y a rien hors-ligne). Cela signifie que l’intrigue du reste du film tourne principalement autour de l’entreprise qui essaie de récupérer les données, et donc autour de la poursuite endiablée du messager mnémonique (dont nous parlerons plus tard). Si Pharmakom avait effectué des sauvegardes, elle aurait pu tout simplement restaurer les données puis éliminer l’origine de la fuite et le messager. À la place, le scénario choisi oblige l’entreprise à lui couper la tête sans endommager l’implant.

Pour couronner le tout, le réseau de Pharmakom contient une copie numérique de la conscience du fondateur de l’entreprise. Ce dernier jouit du don du libre arbitre, peut accéder gratuitement à la totalité d’Internet et a tendance à être en désaccord avec le développement actuel de l’entreprise qui devient de plus en plus monstrueuse.

Lo Teks

Un groupe connu comme Lo Teks fait de la résistance. Dans le livre, les Lo Teks étaient hostiles à la technologie, alors que dans le film ils ont plutôt l’air bien équipés. Jones, un dauphin cyborg dont les connaissances en cybercriminalité lui permettent d’extraire de précieuses informations puis de les transmettre via un signal TV piraté,  vit avec eux. On trouve une montagne de déchets au milieu de l’abri du groupe, avec des câbles et de vieux tubes cathodiques.

Malgré les frasques du groupe à l’antenne, personne ne fait vraiment attention aux Lo Teks (et ne sait où ils se trouvent) jusqu’à ce qu’ils entrent en contact avec Johnny.

Communication en ligne

Vers le milieu du film, Johnny essaie de contacter une connaissance. C’est à ce moment-là que nous réalisons que les experts de Pharmakom, qui travaillent avec les yakuzas, suivent ses contacts réguliers. Dans ce monde fantastique, la confidentialité est encore pire que dans le nôtre.

On pourrait alors penser qu’un trafiquant spécialisé en cybercriminalité arriverait à maintenir son anonymat en ligne… Non, tout le monde connaît les connexions de Johnny et les experts en sécurité de l’information le détectent immédiatement et le localise (même s’il se connecte depuis un ordinateur volé parfaitement neuf et via un genre de module de discrétion).

C’est alors que Pharmakom active un « virus » qui interfère avec la communication de Johnny. Comme d’habitude dans ces films, la terminologie utilisée est assez vague et on dirait qu’il s’agit plutôt de l’outil d’une attaque par déni de service, pas d’un virus.

Messager mnémonique

Il est enfin temps d’aborder le thème principal du film, qui est directement lié à la sécurité des informations. D’ailleurs, il n’y a qu’à voir quel est le métier du personnage. En tant que messager mnémonique, la tête de Johnny est littéralement un dispositif de stockage de données. Ces messagers sont utilisés pour faire du trafic de données précieuses qui ne peuvent en aucun cas être mises sur Internet. Les scientifiques rebelles choisissent Johnny pour apporter les données médicales volées à un groupe de médecins à Newark.

Fonctionnement de l’implant

Cette technologie est incompréhensible. Les données sont directement stockées dans le cerveau et, pour faire de la place, Johnny a dû sacrifier la plupart de ses souvenirs d’enfance. La capacité nominale est de 80 GB mais il est possible de l’augmenter jusqu’à 160 GB en connectant une boîte externe, même si en réalité la capacité peut encore être doublée et atteindre les 320 GB. Cette action fait pression sur le cerveau, ce qui provoque des crises d’épilepsie et des saignements de nez au messager, et pourrait endommager les données.

Dans le film, l’implant est facilement détectable. Par exemple, lorsque les gens passent la frontière, ils sont scannés et le dispositif apparaît. Pourtant, ces analyses sont assez superficielles puisque le système indique erronément que l’implant du cerveau est un appareil qui sert à corriger la dyslexie. Nous ne savons pas vraiment pourquoi le dispositif n’éveille pas les soupçons des gardes-frontières.

Protection des données

La méthode utilisée pour protéger les données est assez originale. Pendant le téléchargement, le client effectue trois captures d’écran au hasard. Les images « se dissolvent dans les données » et font office de « clé de téléchargement ». Sans elles, il est impossible de télécharger ou d’effacer les données. Elles doivent donc être envoyées au destinataire. Apparemment, ce dispositif de sécurité est lié au chiffrement des données mais, là encore, il s’agit d’un mécanisme d’accès via l’implant.

Dès que les données sont téléchargées, les scientifiques sont attaqués par les yakuzas qui travaillent pour Pharmakom. Une des captures d’écran de la clé est détruite dans la fusillade, Johnny en conserve une autre et la dernière est entre les mains des agresseurs.

Envoyer la clé

La « clé » est envoyée par fax. Cela n’est pas aussi drôle qu’il n’y paraît. Même si cette technologie est obsolète dans le monde réel, il est assez logique d’envoyer la clé par fax puisque cette technologie utilise directement le réseau téléphonique qui, en théorie, est plus sûr qu’Internet. Malheureusement, le fax a tendance à réduire la qualité de l’image. En revanche, dans le film, tous les fax peuvent être utilisés via Internet. Qu’il en soit ainsi.

Après avoir échappé aux yakuzas, Johnny essaie de récupérer les captures d’écran manquantes. Il trouve le fax utilisé pour les envoyer et se connecte aux systèmes d’informations d’un hôtel, dont il obtient le mot de passe, au bout de la troisième fois, grâce à une attaque par force brute. Le mot de passe ne devait pas être très complexe. Il faut dire que ce point correspond assez bien à la situation que nous vivons en 2021. Pour de nombreux hôtels, la sécurité se résume encore aux vigiles à l’entrée. Dans tous les cas, Johnny réussit à obtenir l’adresse du destinataire du fax.

Aucune authentification n’est requise pour se connecter au fax. De plus, en y accédant à distance, n’importe qui peut lire les données de la mémoire tampon, ce qui rend ce canal de communication totalement inadapté pour des informations confidentielles.

Extraire les données sans la clé

La situation est sans issue. Sans la clé, Johnny ne peut pas télécharger ni effacer les données de sa mémoire et, comme il a dépassé deux fois la capacité maximale, il va bientôt mourir et le remède contre la pandémie sera perdu à jamais.

Attendez, en réalité de nombreuses techniques permettent d’extraire les données sans la clé (même si les conséquences sont plus ou moins graves) :

  • Les yakuzas essaient de couper la tête de Johnny pour l’amener à un « détecteur d’interférences quantum » et extraire les données.
  • Un docteur, spécialisé en implants, possède certains « codes de déchiffrement » qui, avec un peu de chance, devraient permettre de récupérer les données. Cette solution ne fonctionne pas mais tout laisse croire qu’elle a eu un certain impact, ce qui soulève diverses questions quant à la fiabilité de l’algorithme de chiffrement.
  • Ensuite, ce même docteur propose d’extraire les données et l’implant grâce à une intervention chirurgicale, même si cela représente un risque considérable pour la vie du patient (sans oublier les problèmes de santé dont il va forcément souffrir).
  • Puisqu’il a été formé par la marine pour pirater les sous-marins ennemis à distance, Jones le dauphin cyborg peut essayer cette technique avec le crâne de Johnny.
  • Un des hommes yakuzas explique que même après avoir téléchargé et supprimé les données, les « capteurs mnémoniques » peuvent retrouver des traces résiduelles des données.

Ce qu’il faut retenir

L’utilisation d’un messager mnémonique semble inutile. Le système utilise un chiffrement symétrique (peu importe la complexité de la clé, elle doit être transférée au destinataire), et le transfert de la clé s’effectue via des canaux non sécurisés. De plus, la surcharge de l’implant enfreint toutes les normes de sécurité et met en péril la santé du messager et l’intégrité des données. La principale faiblesse de cette méthode est que les données peuvent être extraites sans la clé de diverses façons.

En outre, avec seulement deux captures d’écran, Johnny, avec l’aide de son acolyte aquatique, arrive à pirater son cerveau et à en extraire la troisième image. Cela signifie que la clé est conservée avec les données chiffrées, et que cette pratique est extrêmement dangereuse.

Dans le monde réel de 2021, il serait facile d’envoyer les données par le Web en utilisant un algorithme de chiffrement asymétrique fiable. Même si le transfert de données ne peut pas être caché, cette stratégie garantit la livraison au destinataire. De plus, 320 GB ce n’est pas un volume si important en 2021.

Vérité et fiction : quel est le bilan ?

Le monde tel que nous le connaissons en 2021 n’est pas aussi lugubre que celui inventé par les scénaristes, ou du moins cette morosité est différente. La cybersécurité a parcouru un long chemin donc quels aspects mentionnés ci-dessus pourraient s’avérer réels ?

·         Dans la réalité, en 2021, les archives de plusieurs teraoctets de données confidentielles, dont celles relatives aux vaccins, sont régulièrement divulguées. La fuite de données dont est victime Pharmakom est plausible et très probable.

·         Les attaques et les sabotages internes n’ont rien d’exceptionnel. Par exemple, cet incident récent a aussi touché le domaine médical.

·         L’intelligence artificielle, qui se connaît bien et vit en ligne, n’existe pas encore (du moins d’après ce que l’on sait).

·         Il est un peu exagéré d’avoir un dauphin cyborg avec de telles connaissances en cybercriminalité. Contrairement aux nombreuses prédictions faites par les films de science-fiction, les dauphins n’ont pas encore appris à percevoir les informations humaines et à utiliser l’électronique.

·         D’autre part, l’intrusion du signal de diffusion est réelle. Elle s’effectue généralement à petite échelle et les intrus sont rapidement identifiés.

·         Une personne en ligne peut être authentifiée à partir de sa connexion et d’une certaine adresse, mais cette action demande beaucoup de préparation en amont.

·         L’attaque par déni de service du lien entre deux réseaux clients est vraie mais il faut plutôt désactiver le canal de communication qu’utiliser un virus.

·         Il n’est pas encore possible d’implanter une puce dans le cerveau d’une personne. Les essais actuels se concentrent sur la création d’une interface neuronale afin de communiquer avec un ordinateur, pas pour stocker les données.

·         Le plus important… Transférer les données en injectant les informations directement dans le cerveau d’un messager humain est non seulement irréaliste mais aussi incompréhensible. Grâce au chiffrement, nous pouvons facilement transmettre les données par Internet et ce processus est parfaitement sûr.

 

 

Conseils