Interview de Bruce Schneier

Bruce Schneier est un spécialiste de la sécurité, informatique comme physique, dont j’ai déjà parlé ici. Son blog est très couru. Cet hiver, il a donné une interview, qui résume une partie de son livre Beyond Fear, et dont je vais tenter un résumé ci-dessous.

On relèvera des points communs avec un billet de lui paru en septembre sur Katrina, dont j’avais parlé ici ^[1], et beaucoup d’évidences qui méritent d’être rappelées.
Mes notes sont en NDT (Note du Traducteur).

La vie elle-même est un risque permanent ; et toute action est un compromis (trade-off) entre le besoin de réaliser quelque chose et le risque estimé.
L’analyse rationnelle est possible (cinq points : que protéger ? quels risques ? quelle est l’efficacité de la protection ? quels risques nouveaux pose cette protection ? quels compromis fait-on ? en vaut-ce finalement la peine ?), mais est souvent effectuée intuitivement.

Exemples :
- Un lapin hors de son terrier risque l’attaque d’un renard ; mais s’il ne sort pas, il mourra de faim.
- Plaquer tous les avions au sol définitivement serait un moyen efficace d’éviter un nouveau 11 septembre, mais paralyserait des pans entiers de l’économie (surtout aux États-Unis) ; mais l’interdiction prononcée le 11 septembre était, elle, parfaitement justifiable.
- Renforcer les portes des cockpits d’avion permet d’obtenir une amélioration réelle de la sécurité pour un coût modique, sans conséquence sur le fonctionnement des compagnies aériennes - bien qu’elles aient combattu longtemps cette mesure.

Les choix sont parfois aberrants, car le risque ne peut être réduit à zéro, mais aussi à cause de leur mauvaise estimation : les risques spectaculaires, ou venant de personnes précises, ou sur lesquels on n’a pas de moyen d’action, font plus peur que les petites catastrophes anonymes plus ou moins aléatoires qu’on croit pouvoir contrôler.
Nous avons également du mal à cerner les nouveaux risques d’une technologie toute récente, et les médias donnent une vision déformée de la réalité.
(NDT : Quand un A380 s’écrasera, on parlera plus des 800 tués que des 20 000 morts annuels en France dus aux accidents domestiques, et on dépensera plus d’argent à réduire d’une décimale le risque de chute d’un A380 que le nombre de gamins tués chez eux).

Le coût des compromis en sécurité n’est pas que monétaire, il comprend aussi la perte de praticité (convenience), le temps perdu, les restrictions de libertés...

Exemples :
- On ne met pas tous ses objets précieux au coffre, simplement pour pouvoir simplement les utiliser.
- Les magasins de vêtements ne mettent pas de caméras dans les cabines d’essayage alors que beaucoup de vols y ont lieu, car leurs clients fuiraient.
- Il est mal vu de fouiller sans raison les bagages de quelqu’un, mais on le tolère avant d’embarquer dans un avion. Et cela fait perdre du temps.
- Une société ne tolérerait pas des écoutes téléphoniques généralisées (NDT : J’aimerais en être sûr), on l’accepte ponctuellement.

Ces estimations des coûts ne sont pas les mêmes suivant les gens. De plus, tout le monde réagit suivant ses contraintes et coûts personnels. Beaucoup de réactions semblent irrationnelles si on ne considère pas les motivations réelles des acteurs (l’« agenda », sans connotation péjorative). L’analyse de risque s’effectue de manière totalement égoïste.

Exemples :
- Du point de la société dans son ensemble, il ne fait aucune différence que ce soit un avion ou un centre commercial qui soit détruit par un terroriste, ou que ce soit un appartement ou un autre qui soit cambriolé. Leurs propriétaires respectifs ne voient pas les choses ainsi, et dépenseront beaucoup d’argent à éviter une attaque ou un vol.
- À l’inverse, le gérant de magasin négligera les vols en cabine d’essayage si ses ventes se maintiennent.
- Un responsable d’école, ou politique, ne prendra aucun risque d’être accusé d’avoir exposé des gens à un danger, frappant mais objectivement négligeable, comme le snipper de Washington.

Le racial profiling (NDT : je ne sais comment traduire : « profilage racial » ?) peut être efficace à condition que le profil de l’attaquant potentiel soit précis.
Mais :
- Dans le terrorisme, les attaquants sont, contre toute attente, de profil très divers.
- En se concentrant sur un profil, on ouvre ainsi la porte à des attaques par des gens qui ne collent pas à ce profil, et qui le savent (par exemple des attentats en Russie provoqués par des femmes, qui n’étaient jamais fouillées).
- Ces profils changent fréquemment : radicaux américains sous Clinton, jeunes hommes arabes à présent.
- On stigmatise des groupes entiers de population dont une infime minorité représente un danger, alors qu’ils sont justement ceux dont on veut éviter un comportement hostile.

Il existe une forme de profiling qui fonctionne : celle basée sur le comportement des gens, l’intuition et l’expérience des gardes, et non sur la race, l’ethnie... Ceci à condition que l’agent de sécurité n’ait pas pour consigne de ne surveiller que les Arabes ou les Noirs.

Un problème très courant est la complicité des gardes avec les voleurs ou agresseurs, que ce soit du vol par les propres employés d’un magasin, ou des agents sous-payés corrompus et manipulés par des terroristes.
Même sans parler de complicité, ces agents peuvent être mal formés, incompétents, fatigués, ou en sous-effectif. N’importe quel membre du personnel peut être amené à donner des informations ou à faciliter la tâche à l’attaquant (social engineering).
La moralité est de bien payer ses gardes : on attire des employés moins corruptibles, plus sérieux et plus professionnels.

Plutôt que de protéger à grands frais des cibles précises contre des scénarios d’attaque précis, l’argent serait mieux dépensé en mesures préventives : le renseignement tout d’abord, l’attaque des bases du réseau ennemi, l’assèchement de ses fonds, etc.
Parallèlement, la mise en place de services de sécurité et de réaction d’urgence bien équipés (appareils de détection, combinaison, entraînement...) permet de réagir à toutes les catastrophes.
Le 11 septembre est un bon exemple des difficultés de communication et d’organisation qui ont surgi dans une crise majeure. (NDT : On peut rajouter l’ouragan Katrina pour lequel Al Qaeda n’est pour rien, mais qui a révélé de graves failles de planification, de coordination et d’organisation des secours).

Cela tient compte du fait que le risque zéro n’existe pas, ne serait-ce que parce que le principe de la liberté des individus dans notre société va à l’encontre d’une répression totale, qui irait jusqu’à punir une intention non réalisée ou à arrêter tout le monde par précaution. Le prix de la liberté est le risque. Inévitablement arrive de temps à autre une catastrophe.

Un des problèmes du contre-terrorisme est de faire les rapprochements nécessaires (connect the dots), qui ne deviennent évident qu’après coup (exemple du 11 septembre). Ce n’est pas si facile, d’où de nouvelles possibilités d’échec.
Pour Schneier, cet échec du renseignement est la principale cause de la catastrophe du 11 septembre avec le chaos des secours. Les actions doivent prioritairement porter sur l’amélioration de ce renseignement. La concentration dans une agence unique telle que réalisée après 2001 n’est pas une bonne idée.

Le danger est de ne se préparer que pour des dangers déjà affrontés, alors que les terroristes changent tout le temps et de tactique et de « profil » - surtout Al Qaeda. L’échec du 11 septembre tient à un manque d’imagination reconnu, mais les nouvelles mesures de prévention ne montrent aucune imagination non plus.
Une catastrophe viendra forcément d’un « échec de l’imagination », donc il faut se concentrer sur les terroristes eux-mêmes et les systèmes de réponse d’urgence.

Les attaques sur les différents types de réseaux (électricité, Internet) ne représentent pas un danger énorme. D’une part ils sont déjà conçus pour résister à toute catastrophe majeure, notamment les catastrophes naturelles. D’autre part, le coût peut financier peut être lourd, et la gêne à la population peu tolérable, mais un arrêt de l’électricité ou des e-mails ne frappera pas les populations de terreur comme une agression physique brutale.
(NDT : Par contre, des criminels peuvent se servir de failles pour menacer de paralyser un système et rançonner son exploitant. Le coût n’est là que financier.)

Le coût des mesures de sécurité actuel n’est pas immédiatement apparent aux contribuables (exemples de l’argent de la guerre d’Irak noyé dans les impôts ou de la réduction progressive des libertés civiles) ; ils ne font donc pas l’analyse des risques. Elle est faite pour eux par des agences selon leurs propres critères.

De manière générale, le commun des mortels a peu d’influence sur le choix de son niveau de sécurité et des compromis et coûts associés. Ces décisions sont celles qui arrangent le réalisateur, pas le client ou citoyen final.

Exemples :
- Microsoft et le niveau de sécurité de Windows/Internet Explorer : la sécurité du système passait bien après le marketing et la pléthore de fonctionnalités.
- Il n’existe pas de compagnie aérienne avec un embarquement plus rapide où la fouille n’existe pas.
- La maîtrise du niveau de sécurité d’une base de données commerciale comportant des données personnelles est impossible pour le client qui y figure (NDT : Surtout aux États-Unis, et la situation en Europe n’est que marginalement meilleure en pratique.).
- Une compagnie de téléphone s’attaquera sérieusement aux communications gratuites, pas aux écoutes illégales qui ne lui coûtent rien.
- Un gouvernement cherchera à se faire réélire donc privilégiera le médiatique à l’efficace, pour éviter d’être accusé de ne pas en avoir assez fait.
- Nombre de lobbies sont à l’œuvre pour limiter les mesures de sécurité à l’encontre de leurs intérêts (coûts prohibitifs ou gêne pour les clients) ; les mesures de sécurité excessives frapperont donc plus facilement ce qui touche le commun des mortels que ce qui peut coûter de l’argent.

Ce qui plaide pour une meilleure surveillance du gouvernement ; les gens devraient voter, dans les urnes et par leur porte-monnaie, contre les mesures débiles. Les problèmes d’organisation et d’information pour surveiller un gouvernement déjà en place sont les mêmes que pour les autres sujets soumis à l’action gouvernementale (santé, budget...).
(NDT : Selon moi c’est l’information qui pèche le plus. Entre le miroir déformant des médias et les difficultés d’appréhender la réalité d’un danger comme son coût, le citoyen moyen, même averti, est bien démuni.)

Le Président Eisenhower en 1961 avait mis en garde contre le complexe militaro-industriel, dont une tendance était d’exagérer les menaces extérieures pour garantir son chiffre d’affaire. Le même phénomène se passe avec les entreprises qui tirent un profit de la lutte contre le terrorisme (bases de données, fournisseurs de l’armée américaine en Irak...).
L’intérêt de ces groupes d’influence est que les gens aient peur ; il ne faut surtout pas qu’ils raisonnent rationnellement.

Dépasser sa peur consiste à reconnaître et comprendre une menace, sans l’exagérer, pour faire les compromis de sécurité dans notre intérêt.

NDT : Bon, et en pratique ?

Note

[1] Non non, je ne me répète pas.

une réaction

1 De MORIN - 12/09/2007, 19:01

Bonjour,

Je suis responsable des solutions Sécurité BT (British Telecom) en France.
J'ai parcouru votre blog que j'ai trouvé intéressant.
Je reçois Bruce Schneier demain à Coeur Défense.
Si vous voulez participez, renvoyez-moi un email et je vous inscrirai.
Cordialement,
Fatiha
Fatiha Morin |Head of Business Continuity, Security & Governance France| BT Global Services

Blog éclectique & sans sujet précis

Note

une réaction

Recherche

Catégories

À retenir

Derniers commentaires

Liens

Mon site à moi

Blogs éclectiques

Blogs sérieux

Blogs de tranches de vie

Blogs informatiques, technologiques et geeks

Blogs spécialisés

S'abonner