Le 11 janvier 2022, le groupe Emile Frey, premier distributeur automobile en Suisse, échoue, comme tant d'autres avant lui, à protéger les données de ses clients. Ces données, pourtant si amoureusement collectées, en temps normal si libéralement diffusées (1), sont dorénavant également partagées, mais involontairement cette fois-ci. La cause? Une cyberattaque dont les détails restent aujourd'hui – plus d'un mois après l'incident – évanescents, pour ne pas dire inexistants.
Lot de consolation: un message officiel provenant dudit groupe a été envoyé aux personnes affectées (2) – dont l'auteur de ses lignes – non pas un, ni deux mais 30 jours après l'attaque, soit le 11 février 2022: autant dire une éternité dans l'univers numérique, où les informations transitent presque instantanément. Mais également une assurance que les victimes de cette attaque, les clients d'Emil Frey, n'auront pas pu prendre les précautions requises ou augmenter leur vigilance à temps.
Au milieu de génuflexions mesurées, ladite communication officielle contient des « recommandations d'ordre général » [...] « afin de réduire les risques d'usurpation d'identité et de tentatives de fraude ».
Arrêtons-nous une seconde: il y a quelque chose d'ironique à recevoir des leçons en matière de sécurité de l'information de la part de l'entité qui a failli à protéger nos données. C'est un peu comme si le gardien d'une prison vide, dont les brigands détenus avaient pris la poudre d'escampette depuis belle lurette, se réveillait au beau milieu d'un après-midi pour partager avec qui veut bien l'entendre ses astuces contre les brigandages.
Surtout que lesdites suggestions sont au mieux inutiles et inaplicables (« méfiez-vous des messages de tiers qui prétendent disposer d'informations à votre sujet », comme ceux provenant d'Emil Frey?), au pire contre-productives (« modifiez vos mots de passe ». Lesquels, j'en ai des douzaines?).
Tentons de prendre un peu de hauteur.
Comme à chaque fois que des données de type mots de passe finissent dans la nature, il est essentiel que les sociétés visées – ne disons jamais victimes avant de savoir comment et si seulement elles protégeaient convenablement nos données – partagent publiquement et en temps utile les détails techniques de l'attaque, ainsi que les mesures de remédiations prises. De cette façon, ces futurs-anciens ou anciens-futurs clients auront au moins la vague impression qu'une amélioration est possible, et un semblant de confiance pourra être restaurée. Dans le monde merveilleux de l'informatique, ce déballage douloureux mais salutaire marque des entreprises qui ont au moins la décence de feindre d'essayer, porte un nom un tantinet mortifère: le postmortem.
Que contiendrait un tel postmortem dans le cas en question? Il contiendrait notamment des informations sur la façon dont sont ou étaient conservés les mots de passe des clients. Mise en garde pour les végétariens – dont je suis –, jargon informatique d'inspiration culinaire en vue, servi sur sa méthaphore saignante.
Ceci n'est pas une recette
Pour représenter deux mots de passe, prenons deux pièces de steaks uniques, d'un poids similaire mais d'une forme distincte. Une cheffe réalise ensuite un hachis de ces derniers. Ainsi transformés, il sera pour ainsi dire impossible pour une tierce personne d'associer un hachis particulier à l'un des deux steaks originaux.
En informatique, hacher un mot de passerevient à faire la même chose que de hacher un steak, et permet d'éviter que quelqu'un qui dispose du hachis puisse retrouver le mot de passe original. Ainsi, plutôt que de stocker directement les mots de de passe des comptes clients, une pratique irresponsable mais encore répandue, les sociétés qui gèrent ce genre de données sensibles conservent des hachis de ces derniers.
Cette précaution, seule, toutefois, n'est pas suffisante. Avant de hacher un mot de passe, il est aussi essentiel d'ajouter un ingrédient secret, comme du sel, de façon à complexifier la tentative de retrouver le mot de passe original. Pour reprendre l'analogie culinaire, si un hachis a été salé, une tierce pensera à tort que le steak original l'était l'également, alors qu'en réalité, cet élément a été ajouté durant la préparation par la cheffe. D'où l'expression informatique mots de passe salés (salted passwords).
Et une question possible à Emil Frey, qui peut-être posée à toute entité gérant vos comptes en ligne: est-ce que mon mot de passe, tu l'as bien salé et haché?
Note pour terminer: à la toute fin de la communication du groupe Emil Frey annonçant la libération spontanée de mes données personnelles, j'entrevois un petit bouton, vérole bienvenue: "Se désinscrire".
Attendez une minute: mais qui m'a inscrit, déjà?
Anonymousse
(1): voici, sans rire, la liste des groupes auxquels Emil Frey fourni les données à caractère personnel de ses clients, soit les plus sensibles:
• sociétés du Groupe
• partenaires commerciaux et agents
• prestataires de services informatiques
• sociétés de vérification de solvabilité
• partenaires logistiques
• sous-traitants
• prestataires de services
• sociétés d’études de marché
• autorités nationales ou étrangères, autorités publiques ou tribunaux
(2): En Suisse, pays à la traîne en matière de cyberdéfense, il n'est pas obligatoire pour les sociétés d'annoncer les cyberattaques dont elles sont la cible.
Anonymous
