Phillipe Quéau est un technophile de longue date, un des premiers, en sa qualité de directeur de l'Institut français de l'audiovisuel, à avoir introduit Internet en France. Sur son Blog Metaxu (queau.eu) qui veut dire “intermédiaire” en grec, il décrypte les mutations du cybermonde et en prévoit certaines. Ses analyses sont aussi des réflexions humanistes à caractère philosophique sur les pratiques et les utilisations qu'on fait du numérique. Dans un article daté du 2 avril titré “cyber Panzer” (en référence à la pénétration des chars Panzer que de Gaulle avait prévue), il revient sur la menace d'une guerre où les soldats qui nous attaqueront ne seront autres que nos propres ordinateurs personnels. “Les nombreuses failles de sécurité dans les logiciels de navigation, dans les systèmes d'exploitation, dans les logiciels de traitements de texte, comme Word (Microsoft), Android (Google), iOS (Apple) ou Reader (Adobe) (et de nombreux autres….) font l'objet de constantes mises à jour, et génèrent un important chiffre d'affaires pour les firmes de sécurité informatique et les fabricants d'antivirus. Tout cela fait partie du business as usual réservé au bon peuple. Mais il existe un marché plus occulte, plus ténébreux, qui révèle une tout autre dimension dans la quête perpétuelle des failles “zéro jour” et de leurs solutions. Un article de Forbes, doté d'un titre aguichant ( “Meet The Hackers Who Sell Spies The Tools To Crack Your PC (And Get Paid Six-Figure Fees)”) [Rencontre avec les pirates qui vendent aux espions les outils pour pénétrer votre PC (et se font payer des millions)] révèle certains de ces aspects ombreux. L'article cite la firme française, sise à Montpellier, dénommée VUPEN (pour VUlnérabilté et PENétration), et son responsable Chaouki Bekrar. Lors d'un “hackaton” organisé par HP, VUPEN a réussi à pénétrer les sécurités de Google Chrome en quelques minutes. Mais loin de se présenter pour toucher le chèque de 60 000 $ promis aux heureux hackers, Bekrar a déclaré : “Nous ne partagerions pas avec Google [notre technique de pénétration] même pour un million de dollars.” Il est en effet bien plus intéressant financièrement, semble-t-il, de vendre ce type de techniques aux “services” ou à des organisations variées, intéressant par exemple la Défense nationale. Bekrar affirme qu'il ne travaille qu'avec des “partenaires de l'Otan”. Résumons : des failles de sécurité informatique jamais découvertes sont actuellement commercialisées (“en toute légalité”) auprès de multiples officines aux poches profondes, plus ou moins étatiques, et plus ou moins officielles, qui les utilisent ensuite pour leur propres opérations de pénétration. Il se peut même que ce petit business s'étende à bien d'autres clients, moins regardants encore. Qui pourrait l'assurer ou le nier? Bien d'autres revendeurs de “failles zéro jour” non détectées existent, comme Netragard, Endgame ou même Northrop Grumman ou Raytheon. Ce sont les équivalents des marchands d'armes préparant et alimentant les premières cyber-batailles de la troisième guerre mondiale larvée, à laquelle on assiste en ce moment. Aujourd'hui, se tisse lentement et sûrement un très vaste réseau dormant de failles laissées volontairement ouvertes, permettant d'exploiter des millions d'ordinateurs zombies, eux-mêmes prêts à entrer en action à l'échelle locale, nationale, ou, le cas échéant, mondiale. Personne n'a vraiment intérêt à ce que cela se sache de façon documentée, précisée, correctement évaluée, mais les faits sont là. Des brigades de “cyber-war” ont été créées dans les plus grands Etats. D'ailleurs, les aveux sortent spontanément, au plus haut niveau. Des déclarations tonitruantes ont été faites par de très hauts responsables militaires, se vantant de pouvoir “pénétrer” n'importe quoi, n'importe quand, et de multiples façons. Ils prédisent le chaos qui résulterait dans le monde si leurs adversaires avérés pouvaient faire de même, mais ajoutent qu'ils en seraient heureusement empêchés pas des attaques préventives foudroyantes s'ils s'en avisaient. Pour le moment, un certain équilibre de la cyber-terreur semble persister, à part quelques escarmouches et certains cas volontairement et fortement médiatisés (on se rappelle les récentes mésaventures de Google en Chine). On l'a dit, de Gaulle prophétisait dans les années 20 et 30 la pénétration fulgurante des divisions de chars “Panzer”. La cyber-pénétration, loin d'être fulgurante, s'inocule au contraire lentement et imbibe progressivement tout le tissu mondial, des PC aux routeurs, des smartphones aux GPS, des logiciels familiaux aux micro-codes insérés dans les radars et les armements embarqués. Demain, à la stupeur générale, les cyber-divisions prendront d'un seul coup, d'un seul, le contrôle total sur les armées ennemies, et des pays entiers, en bloquant toute leur “grille”. Il est temps de conceptualiser cette menace
