00:00Tech & Co Business, l'invité.
00:05On va parler cybersécurité avec notre premier invité,
00:08que vous connaissez sans doute si vous suivez Tech & Co,
00:11les débriefs chaque soir avec François Sorel.
00:14Philippe DeVos, bonjour Philippe.
00:15Bonjour Frédéric.
00:16Merci d'être avec nous, fondateur de Phileos,
00:18conférencier, auteur, expert en cybersécurité.
00:20D'ailleurs, c'est une nouvelle activité, enfin nouvelle activité.
00:23C'est Phileos Security and Event Services.
00:26Absolument.
00:26Une entité dédiée à la cybersécurité.
00:30Et on se voit souvent pour débattre de l'actualité en général.
00:34Mais on va s'attarder sur la partie cybersécurité
00:37parce que ces derniers jours, ces dernières heures,
00:40il se passe toujours quelque chose en cybersécurité.
00:42Mais récemment, c'était la fuite de données de l'ANTS,
00:45aujourd'hui France Titre.
00:46C'est-à-dire que ces fuites de données concernent nos données de permis de conduire,
00:50nos données de carte d'identité, nos données de passeport.
00:52C'est quand même important.
00:53Alors même s'il y a du legacy, on va essayer de comprendre un peu
00:55tout ce qui se passe derrière tout ça.
00:58Et puis, il y a quelques mois, c'était un poste LinkedIn que tu avais posté, Philippe,
01:03en disant qu'on a 3 millions de, ce qu'on appelle les credentials,
01:06les identifiants, les mots de passe qui ont fuité.
01:09Et là, tu disais, il y a peut-être 2-3 analyses à faire à partir de ça.
01:15Absolument.
01:15Mais démarrons par ça, par les credentials, puis on reviendra sur la fuite à l'ANTS.
01:18Alors, les credentials, c'est des couples identifiants mot de passe.
01:21C'est ce que vous utilisez sur votre ordinateur pour sécuriser vos accès.
01:27La vie des Français a été très largement dématérialisée et encouragée d'ailleurs par l'État.
01:33C'est normal, ça permet de simplifier des choses.
01:35Pour ma vieille maman, que je salue au passage.
01:37Mais globalement, on est resté à l'identifiant mot de passe.
01:42Et pour certains mots de passe, à des mots de passe super anciens.
01:46Et il se trouve qu'on a ensuite progressivement...
01:49Les éditeurs de navigateurs Internet et les éditeurs de systèmes d'exploitation
01:55ont progressivement suggéré aux gens de créer des mots de passe un peu plus longs.
01:59Donc plus difficile à mémoriser, mais plus difficile à craquer.
02:01Ou de proposer des mots de passe robustes, parfois.
02:03Ou bien voilà, carrément proposer.
02:05Aujourd'hui, en moyenne, on a dans son...
02:07Alors du coup, les éditeurs ont proposé un portefeuille dans lequel on pouvait stocker ses mots de passe.
02:12Aujourd'hui, en moyenne, les Français ont entre une cinquantaine de mots de passe
02:14qui chacun font 20 caractères, donc sont très durs à mémoriser.
02:19Et tout ça est sécurisé, soit dans le navigateur, soit dans un gestionnaire.
02:25Et il se trouve que ce n'est pas si bien sécurisé que ça,
02:29puisque c'est à travers très souvent des logiciels malveillants
02:34que sont observés les mots de passe qui passent
02:37et qui permet à ce qu'on appelle des infostyleurs
02:40de se procurer des données d'accès sur le dark web
02:44et ensuite de tenter des usurpations d'identité
02:48quand on combine ces données d'accès avec des données d'identité.
02:51C'est ça, on récupère.
02:53Souvent, on nous dit, tiens, vous êtes client à la Bouygues Télécom,
02:56il y a encore quelques heures,
03:00attention à vos données, donc on change le mot de passe.
03:02Mais en fait, tout ça, les pirates, entre ce qu'ils ont piqué,
03:05enfin ce qui a réussi à fuiter de Bouygues Télécom en l'occurrence,
03:08ce qui a pu fuiter de la NTS, ce qui a pu fuiter d'autres sites,
03:11ils font un peu une compilation de tout ça,
03:13ils font un peu tourner d'IA et finalement, ils arrivent à déceler un peu plus.
03:17Alors attention, les failles de sécurité sont de nature parfois très différentes.
03:23Dans le cas particulier de la NTS, je ne crois pas que ça a été au départ
03:28une fuite d'identifiant et de votre passe,
03:30même s'il y avait probablement un compte qui a été un petit peu compromis.
03:33Mais en l'occurrence, le mécanisme utilisé pour extraire des données de la NTS
03:36était complètement différent.
03:37Ce qui est le plus étonnant, c'est qu'aujourd'hui encore,
03:41dans certaines grandes entreprises et dans tous ces services de l'État
03:45qui sont là pour protéger les Français
03:47et protéger leur identité.
03:49Avant de s'appeler France Titres,
03:51la NTS, c'était l'Agence Nationale des Titres Sécurisés.
03:55Dans ces services-là, on n'est pas encore passé
03:58aux mécanismes aujourd'hui qui sont les plus robustes,
04:01qui sont soit l'authentification à deux facteurs,
04:03avec le numéro de téléphone mobile,
04:05soit carrément les PASCIs, c'est-à-dire des clés d'accès
04:07utilisées une seule fois
04:09et qui permettent d'éviter la fuite de ces données.
04:12Mais pourquoi ? Parce qu'on a un legacy qui est trop important,
04:15on est sur des systèmes un peu anciens,
04:17parce qu'on peut imaginer ça aussi.
04:19Pour moi, il y a deux sujets.
04:20Il y a un sujet de dette technique.
04:23L'État est en dette technique sur la sécurité
04:25depuis très longtemps.
04:26Il reviendra sur la NTS.
04:28La faille qui a été exploitée avait été signalée
04:30il y a plusieurs années déjà.
04:32Elle avait été relevée, l'alerte avait été redonnée
04:34par un rapport de la Cour des comptes du mois de mars.
04:37Là, il y a une actualité récente.
04:39Je crois que Sébastien Lecornu dit
04:40qu'il allait y avoir un peu de budget dégagé.
04:43Le gouvernement annonce un budget,
04:44mais ça me conduit à la deuxième question
04:48qui est de l'agilité.
04:49Ça fait des années qu'on sait que les mots de passe
04:51sont des solutions qui ne sont pas durables,
04:55qui deviennent fragiles.
04:57Et on est encore aujourd'hui
04:59en train de découvrir les conséquences.
05:01Le dark web va beaucoup plus vite.
05:04Alors même que ces failles-là,
05:06ces sujets-là ont déjà été relevés à plusieurs reprises
05:09et sont connus.
05:10Il ne s'agit pas de ce qu'on appelle des zéro-day,
05:12c'est-à-dire une nouvelle attaque
05:13qui n'avait jamais été connue, jamais identifiée.
05:16Pas du tout.
05:16Ce sont des choses qui sont sous nos yeux,
05:18mais dont on ne s'est pas occupé sérieusement.
05:20Et c'est comme ça que l'étude que j'avais faite
05:22sur le périmètre du CAC 40 au mois de décembre
05:27indiquait 3,3 millions de fuites
05:30de couples identifiés en mot de passe
05:31sur le seul mois de décembre.
05:33Et je ne te dis pas ce qui s'est passé
05:35en janvier et en février.
05:35C'est la même chose.
05:36Donc il y a un vrai sujet
05:38sur les domaines les plus sensibles et critiques
05:41de modifier le plus rapidement possible
05:44les méthodes d'identification et d'authentification
05:47en utilisant ces méthodes modernes.
05:48Donc c'est ça.
05:49La première recommandation,
05:50c'est basculer à des systèmes
05:52quand même plus modernes
05:53avec des QR codes, avec des authentifications.
05:54Basculer en EFA.
05:55La deuxième chose,
05:58c'est la deuxième recommandation,
05:59c'est d'être certain
06:02qu'on voit passer
06:04ou on va recevoir
06:05ou on va identifier
06:06les fuites d'identifiants
06:08et de mots de passe
06:09qui nous concernent,
06:11qui vous concernent.
06:12Et pour ça, il faut faire appel
06:14à des gens qui savent faire,
06:15à ce qu'on appelle des hackers éthiques.
06:17Et là, on débouche sur une troisième question
06:19qui est celle du statut du hacker éthique
06:22qui, par exemple, en Belgique
06:24ou aux Pays-Bas,
06:24est beaucoup plus protégé.
06:26Le simple fait de chercher
06:27de l'information
06:28pour le compte de quelqu'un d'autre,
06:30de regarder s'il y a eu des fuites face à l'autre,
06:32c'est comme si on me demandait
06:34de regarder s'il n'y a pas
06:35des doubles de clés
06:36qui traînent dans certains coffres.
06:39Le simple fait de chercher
06:41des doubles de clés
06:41pour le compte de quelqu'un,
06:43pour lui éviter...
06:44Ça peut être vu comme un délit.
06:45C'est vu comme un délit aujourd'hui.
06:47Et donc, il n'y a pas de cadre.
06:49Et à mon avis,
06:50dans les urgences qu'il faudrait gérer,
06:51il n'y a pas que annoncés de 100 millions
06:53qui sont prélevés
06:54sur le budget France 2030.
06:55Donc, ce n'est pas des nouveaux crédits.
06:57Surtout que le temps de mise en œuvre
06:59de la réaffectation
07:00va être un temps long
07:01pendant lequel tout le monde
07:02va continuer à se servir.
07:04Et pendant ce temps,
07:05l'IA avance.
07:06On ne va pas parler de mythos
07:08parce qu'on va relancer un...
07:09Mais on a...
07:11La question, c'est celle de l'agilité.
07:12C'est être les premiers
07:13à savoir où on a des fuites.
07:15C'est tout l'objet, d'ailleurs,
07:16des fameux pentests
07:18qui sont conduits
07:20dans certains contextes
07:21pour permettre à des équipes
07:23très agiles de vous dire
07:24voilà, vous êtes les seuls
07:25à savoir qu'on a pu rentrer là,
07:26là et là.
07:27Et d'ailleurs,
07:28quand on est entré là,
07:28on avait la clé,
07:29on n'a même pas eu besoin
07:30de casser un carreau.
07:33Donc voilà,
07:34recommandation,
07:34plus d'agilité,
07:35recommandation d'aller plus vite
07:37dans toute cette mise en place
07:41de nouveaux outils.
07:42Ce serait quoi,
07:43l'autre recommandation, Philippe ?
07:44L'autre recommandation,
07:46c'est qu'on demande
07:49de plus en plus aux Français
07:50de se protéger eux-mêmes
07:52tout en leur expliquant
07:53que l'État veille sur eux
07:54et est là pour les sécuriser.
07:56J'ai refait le calcul
07:57depuis 2024.
07:58Il y a 91 millions de comptes
08:01qui ont fuité
08:03pour 68 millions de Français.
08:04Donc, d'une certaine manière,
08:06l'État a réussi
08:07à nous fuiter plus que nous-mêmes.
08:09Donc, un,
08:10il faut faire attention.
08:11Deux,
08:12il faut changer de mot de passe
08:14extrêmement régulièrement,
08:15même si c'est compliqué
08:17et difficile.
08:18Trois,
08:18il faut vérifier
08:21quel navigateur on utilise
08:23et s'assurer
08:24que son ordinateur
08:25n'a pas été compromis
08:26parce que les fuites
08:27de mot de passe
08:27dont je parlais tout à l'heure
08:28sur le CAC 40,
08:29elles concernent pas du tout
08:31ou très rarement
08:32des collaborateurs
08:33de ces entreprises
08:34qui ont été piratées.
08:35Elle peut concerner
08:36des fournisseurs
08:38tiers
08:38ou bien des comptes
08:39ou des mots de passe
08:40simplement
08:40qui ont été utilisés
08:41pour aller faire des achats
08:43chez un partenaire externe.
08:45Donc, c'est à la fois
08:46le système cœur
08:47des grandes entreprises
08:48et tout leur réseau
08:50de partenaires
08:50et toute une chaîne
08:51de confiance en cascade
08:52qui aujourd'hui...
08:53En fait, c'est plus du process
08:54que vraiment du...
08:55Enfin, il faut du budget
08:56évidemment pour déployer tout ça
08:57mais c'est plus du process
08:58qu'il faut mettre en place.
09:00Oui.
09:00Et ce sera derrière la question.
09:02Oui, mais avec un point essentiel
09:04c'est qu'on a centralisé
09:06plus on centralise
09:07des données quelque part
09:09plus on en fait
09:09un point de vulnérabilité
09:10singulier.
09:11Et donc, plus le process
09:13devient important, certes
09:14mais plus l'agilité nécessaire
09:17pour détecter les failles
09:19dans le process
09:19et les corriger
09:20le plus rapidement possible
09:21est nécessaire aussi.
09:22Et ça, ça ne peut pas
09:23être uniquement conduit
09:24par des sociétés
09:25qui elles-mêmes sont processées
09:26ou par des mécanismes
09:28de commande publique
09:29qui sont eux-mêmes processées.
09:30Il faut être capable
09:31de gérer les exceptions
09:32avec des équipes
09:33extrêmement agiles.
09:34Merci Philippe Devoz
09:35d'être revenu parler de tout ça
09:36fondateur de Phileo
09:37ce conférencier auteur
09:37expert en cybersécurité
09:39vous l'avez compris.
09:40Eh bien voilà,
09:41réécoutez même un peu
09:42cette interview
09:43pour savoir un petit peu
09:44ce qu'il faut mettre en place
09:45à la fois en tant qu'individu
09:46collaborateur
09:47mais aussi en tant qu'entreprise.
09:48Merci Philippe
09:49d'être revenu parler de tout ça
09:50et à très bientôt
09:50sur l'antenne de BFM Business.
09:52Sous-titrage Société Radio-Canada
Commentaires