Megaupload: est-ce que le monde est plus sûr maintenant ?
Après ce tour de force, que va-t-il se passer ?
Ce week-end, les médias ont fait grand bruit de la fermeture de Megaupload. Même les présidents Américain et Français ont salué cet « évènement ». Ils ne s’attendaient peut-être pas, par contre, à la réaction virulente des Anonymous et de leur opération #OPMegaUpload.
Ce n’est pas le rôle de NETASQ de prendre position sur le débat entre les ayants droits et la communauté Internet. Notre métier nous implique toutefois, car nous fabriquons des produits qui évitent notamment aux entreprises de tomber dans l’illégalité. Nous leur permettons donc de bloquer différents sites de téléchargements illégaux. Après ce coup d’éclat, notre interrogation est simple : est-ce que cette fermeture rend le monde plus sûr ?
Avons-nous oublié Napster, Kazaa, Edonkey, Bittorrent et tous les autres ?
Vous l’avez deviné, la réponse est négative. Les solutions de remplacement sont légions et la « communauté » est déjà passée à autre chose. On peut donc légitimement s’interroger sur ces stratégies de défense. En effet, pour un site fermé, plusieurs prennent le relais immédiatement. Au-delà de cette bataille qui semble perdue d’avance, le RSSI peut tirer une leçon de cette cyber-guerre à son système d’information :
A problème humain, solution humaine
Aucune fermeture de site ne fera changer l’opinion des personnes qui piratent « culturellement », car ils n’acceptent tout simplement pas de payer le prix proposé. Installer un brouilleur dans une salle de classe, en plus d’être illégal, n’empêchera pas un adolescent d’être inattentif en cours. De la même manière, mettre en place un filtrage URL ou bloquer Facebook ne suffira pas à rendre un employé plus productif.
Evidemment, les pare-feux applicatifs vous proposent des solutions pour limiter le risque de téléchargement illégal depuis votre réseau d’entreprise. Mais si votre politique de sécurité s’appuie uniquement sur cette répression à grand renfort de solutions techniques, vous échouerez fatalement. Pire, votre tâche au jour le jour sera plus difficile, car vous lutterez sans cesse contre les nouvelles techniques de contournement de vos employés. La signature d’une charte, est un préalable nécessaire. L’explication répétée des enjeux est indispensable.
Les policiers seront-ils plus forts que les voleurs ?
Cette formule, empruntée à Stephane Soumier qui commentait l’information dans son émission matinale, nous pousse à réfléchir. Pour faire tomber de nombreux sites, les Anonymous utilisent un outil simple, mais efficace, nommé LOIC. Il suffit de rallier suffisamment d’âmes et de bande passante à la « cause » pour pouvoir saturer le serveur attaqué. Malheureusement, la plupart des recrues ne mesurent pas la peine qu’ils encourent à s’associer à cette démarche.
Devant cette facilité à nuire, Les entreprises peuvent se sentir impuissantes. Il est sûr que cette bataille est déséquilibrée, tant la notion de retour sur investissement est étrangère aux personnes qui attaquent, alors qu’elle est un souci quotidien dans le choix des protections. Devant ce défi, il faut constamment élargir le périmètre de la sécurité aux domaines très sensibles de la continuité d’activité et de la gestion de risque.
Risque = danger + effroi
Les auteurs du livre Freakonomics se sont intéressés, parmi une foule de sujet, à la définition du risque. Dans leur interview avec un consultant en risque, ce dernier leur explique cette notion par la somme du danger (réel) et de l’effroi (la peur que l’évocation du risque génère). Cette affaire Megaupload ainsi que la riposte des Anonymous en est un bon exemple. Le danger est contenu, même s’il est réel à court terme. Par contre, l’effroi est immense. La simple évocation d’un groupe d’anarchistes, capables d’éteindre Internet, donne des sueurs froides à de nombreux responsables d’entreprises.
Et vous, qu’en pensez-vous ? Doit-on craindre les foudres d’Anonymous à grande échelle ? La fermeture de Megaupload va-t-elle freiner le piratage ou l’accentuer ? N’hésitez pas à laisser votre opinion dans les commentaires.