Lundi 16 octobre : Mathy Vanhoef, chercheur à l’Université Catholique de Louvain en Belgique, publie un billet révélant l’existence d’une faille dans le protocole de protection des connexions Wi-Fi : le protocole WPA2. Mathy Vanhoef avait identifié et signifié l’existence de cette faille à l’US-CERT ainsi qu’à la Wi-Fi Alliance quelques semaines auparavant. Ceux-ci avaient alors convenu de ne pas dévoiler tout de suite la faille au public, afin de laisser le temps aux acteurs du marché de préparer leurs solutions. A la publication du billet de Mathy Vanhoef ce lundi 16 octobre, l’information est aussitôt relayée par le média spécialisé Ars Technica, qui est très vite repris par plusieurs de ses confrères du web, de la radio et de la télévision, ainsi que sur les réseaux sociaux.
S’amorce alors une confrontation sur la question du danger que représente la faille Krack pour les milliards d’utilisateurs qui y sont exposés. L’analyse porte ici sur un cas d’affrontement informationnel sur l’échiquier médiatique, opposant les acteurs du Wi-Fi aux médias sur le champ de manœuvre de la protection des données à caractère personnel et de la sécurité informatique des entreprises.
Une riposte américaine bien coordonnée
Investis du rôle de garant de la sécurité des systèmes et équipements informatiques, les agences nationales et les consortiums d’acteurs du marché ont dans le cas de la faille Krack, incarné leur rôle de protecteurs des entreprises et des citoyens contre les risques de cyberattaques. Tout en mettant en avant l’étroite collaboration dans laquelle ils travaillent les uns avec les autres.
Tout d’abord il y a l’US-CERT, le service du Département de la sécurité intérieure des Etats-Unis chargé de détecter, analyser, informer et lutter contre les attaques informatiques. Dans son bulletin d’alerte publié le 16 au matin, l’organisme met à disposition du public les premiers détails des caractéristiques de la faille, adresse des remerciements officiels à M. Vanhoef pour sa collaboration et publie une liste des équipements pouvant être mis à jour, complétée en temps réel avec l’aide de l’ICASI (v. infra). Vient ensuite la Wi-Fi Alliance, le consortium propriétaire de la marque déposée Wi-Fi©, basé à Austin au Texas. Dans son communiqué publié sur son site, l’institution remercie également publiquement M. Vanhoef pour avoir partagé sa découverte avec eux et aidé dans la recherche des solutions et déclare avoir immédiatement pris des mesures pour que les utilisateurs puissent continuer à passer par le réseau Wi-Fi en toute sécurité. Enfin, toujours dans cette réponse la Wi-Fi Alliance, invite à se rapprocher de l’US-CERT et de l’ICASI pour plus d’information. Enfin l’ICASI, groupement d’entreprises créé dans le but de soutenir l’excellence et l’innovation dans le domaine de la sécurité informatique, déclare à son tour par la voix de Microsoft siégeant au bureau, avoir organisé une concertation avec tous ses membres et des éditeurs, pour se coordonner sur les mesures à prendre et la stratégie d’information à suivre.
La dissonance française
Toutefois, il se trouve que ce discours coordonné entre les parties prenantes tend à se limiter aux acteurs américains du secteur. En effet de son côté l’ANSSI, l’agence française dont une des missions est de contribuer au développement de la confiance dans les usages du numérique, tient un discours différent. Guillaume Poupard, son Directeur général, qualifie ainsi la situation de « (..) très moche » ; et déclare : « on va vivre des années avec des wifi percés ». Dans ce cas précis, il s’avère que l’ANSSI est en opposition avec le discours rassurant et maîtrisé de ses homologues américains, mais en phase avec son actualité du moment : l’ouverture de la plateforme cybermalveillance.gouv.fr, son site web d’assistance aux victimes du piratage informatique. Du point de vue des médias, l’on constate que le traitement de l’information dans la presse se concentre sur les quarante-huit heures qui ont suivi l’annonce. Rien qu’en France, on observe que la divulgation de la faille Krack a eu une forte résonance avec pas moins de vingt articles parus, dans des médias à fort impact tels que : BFMBusiness, Les Echos, Le Monde, LCI, France Inter, France Info, RTL, etc. Du point de vue de l’intensité, il y a une différence notable du traitement de l’information entre les médias généralistes grand public et les médias spécialisés. La presse grand public va pour sa part jusqu’à amplifier l’information via l’utilisation d’images fortes. C’est ainsi que pour illustrer le type d’informations sensibles que la faille met en danger, France Info prend l’exemple d’un « e-mail confidentiel envoyé à son patron ». Plus largement, la presse généraliste utilisera davantage de termes du registre de l’émotion que la presse spécialisée, parlant d’émoi, de malaise.
Une attaque visant un point sensible du secteur de l’IT : la sécurité
Dans le cas de la faille Krack, les professionnels du Wi-Fi font face au principe de l’attaque indirecte qui consiste à viser un point sensible - pour ne pas dire faible – de l’acteur ou secteur ciblé ; dans notre cas : la sécurité. Depuis quelques années maintenant, les acteurs des télécommunications et de l’IT sont régulièrement sujets à des attaques sur ce point. La dernière grosse affaire en date étant l’attaque Mirai du 20 septembre 2016.
Avec près de 5 milliards d’équipements Wi-Fi répartis partout dans le monde selon le portail Statista, le maintien de la confiance dans les équipements et services du marché chez leurs consommateurs est un enjeu crucial, parfaitement identifié et maîtrisé par les professionnels du Wi-Fi. La presse quant à elle se révèle à l’affût des incidents informatiques général, en raison de leur caractère sensationnel assuré là aussi par l’ampleur des consommateurs que cela concerne à chaque fois. Du côté de la Wi-Fi Alliance et de ses partenaires, on observe une stratégie de communication minutieusement préparée et mise en œuvre : accord sur la date de divulgation de la faille, publication d’un bulletin d’alerte officiel montrant que des solutions sont déjà en cours, déclaration officielle du principal consortium, suivie des déclarations individuelles des entreprises du secteur. Avec à chaque fois, un seul et même message démontrant que la situation est maîtrisée et qu’il n’y a pas matière à paniquer.
Cette méthode s’est révélée très efficace. En l’espace de quelques heures, le message est relayé par l’ensemble des médias. Et les articles alarmistes du matin de 16 octobre – étayés des déclarations de fournisseurs de produits ou services de protection informatique qui ont saisi l’opportunité de positionner leurs solutions - sont remplacés par des titres ne laissant aucun doute sur le revirement de la situation : Krack Attacks: la faille de sécurité du Wi-Fi béante mais facilement colmatable chez BFM Business et KRACK : plus de peur que de mal (pour l'instant) pour la faille WPA 2/WiFi chez ZDnet.fr.
Le titre de ce dernier article laisse quant à lui présager de la suite. En effet, les acteurs du Wi-Fi sortent vainqueurs de cet affrontement, et les journalistes plutôt montrés du doigt, comme le souligne le directeur technique d’une entreprise de solutions réseaux interviewé sur l’affaire, qui déclare « La criticité de cette faille est bien moindre que des failles connues, sans correctif, que Microsoft a laissé traîner pendant très longtemps. », puis d’ajouter « C'est la première fois que l'on a un phénomène de communication de masse à propos de failles de ce type », et de conclure « Depuis un an, la moindre alerte de sécurité est exploitée et relayée par la presse généraliste (…). La conséquence c'est que oui, on a droit à plus d'information publique, mais elle n'est pas toujours mesurée et juste (…) ».
S’amorce alors une confrontation sur la question du danger que représente la faille Krack pour les milliards d’utilisateurs qui y sont exposés. L’analyse porte ici sur un cas d’affrontement informationnel sur l’échiquier médiatique, opposant les acteurs du Wi-Fi aux médias sur le champ de manœuvre de la protection des données à caractère personnel et de la sécurité informatique des entreprises.
Une riposte américaine bien coordonnée
Investis du rôle de garant de la sécurité des systèmes et équipements informatiques, les agences nationales et les consortiums d’acteurs du marché ont dans le cas de la faille Krack, incarné leur rôle de protecteurs des entreprises et des citoyens contre les risques de cyberattaques. Tout en mettant en avant l’étroite collaboration dans laquelle ils travaillent les uns avec les autres.
Tout d’abord il y a l’US-CERT, le service du Département de la sécurité intérieure des Etats-Unis chargé de détecter, analyser, informer et lutter contre les attaques informatiques. Dans son bulletin d’alerte publié le 16 au matin, l’organisme met à disposition du public les premiers détails des caractéristiques de la faille, adresse des remerciements officiels à M. Vanhoef pour sa collaboration et publie une liste des équipements pouvant être mis à jour, complétée en temps réel avec l’aide de l’ICASI (v. infra). Vient ensuite la Wi-Fi Alliance, le consortium propriétaire de la marque déposée Wi-Fi©, basé à Austin au Texas. Dans son communiqué publié sur son site, l’institution remercie également publiquement M. Vanhoef pour avoir partagé sa découverte avec eux et aidé dans la recherche des solutions et déclare avoir immédiatement pris des mesures pour que les utilisateurs puissent continuer à passer par le réseau Wi-Fi en toute sécurité. Enfin, toujours dans cette réponse la Wi-Fi Alliance, invite à se rapprocher de l’US-CERT et de l’ICASI pour plus d’information. Enfin l’ICASI, groupement d’entreprises créé dans le but de soutenir l’excellence et l’innovation dans le domaine de la sécurité informatique, déclare à son tour par la voix de Microsoft siégeant au bureau, avoir organisé une concertation avec tous ses membres et des éditeurs, pour se coordonner sur les mesures à prendre et la stratégie d’information à suivre.
La dissonance française
Toutefois, il se trouve que ce discours coordonné entre les parties prenantes tend à se limiter aux acteurs américains du secteur. En effet de son côté l’ANSSI, l’agence française dont une des missions est de contribuer au développement de la confiance dans les usages du numérique, tient un discours différent. Guillaume Poupard, son Directeur général, qualifie ainsi la situation de « (..) très moche » ; et déclare : « on va vivre des années avec des wifi percés ». Dans ce cas précis, il s’avère que l’ANSSI est en opposition avec le discours rassurant et maîtrisé de ses homologues américains, mais en phase avec son actualité du moment : l’ouverture de la plateforme cybermalveillance.gouv.fr, son site web d’assistance aux victimes du piratage informatique. Du point de vue des médias, l’on constate que le traitement de l’information dans la presse se concentre sur les quarante-huit heures qui ont suivi l’annonce. Rien qu’en France, on observe que la divulgation de la faille Krack a eu une forte résonance avec pas moins de vingt articles parus, dans des médias à fort impact tels que : BFMBusiness, Les Echos, Le Monde, LCI, France Inter, France Info, RTL, etc. Du point de vue de l’intensité, il y a une différence notable du traitement de l’information entre les médias généralistes grand public et les médias spécialisés. La presse grand public va pour sa part jusqu’à amplifier l’information via l’utilisation d’images fortes. C’est ainsi que pour illustrer le type d’informations sensibles que la faille met en danger, France Info prend l’exemple d’un « e-mail confidentiel envoyé à son patron ». Plus largement, la presse généraliste utilisera davantage de termes du registre de l’émotion que la presse spécialisée, parlant d’émoi, de malaise.
Une attaque visant un point sensible du secteur de l’IT : la sécurité
Dans le cas de la faille Krack, les professionnels du Wi-Fi font face au principe de l’attaque indirecte qui consiste à viser un point sensible - pour ne pas dire faible – de l’acteur ou secteur ciblé ; dans notre cas : la sécurité. Depuis quelques années maintenant, les acteurs des télécommunications et de l’IT sont régulièrement sujets à des attaques sur ce point. La dernière grosse affaire en date étant l’attaque Mirai du 20 septembre 2016.
Avec près de 5 milliards d’équipements Wi-Fi répartis partout dans le monde selon le portail Statista, le maintien de la confiance dans les équipements et services du marché chez leurs consommateurs est un enjeu crucial, parfaitement identifié et maîtrisé par les professionnels du Wi-Fi. La presse quant à elle se révèle à l’affût des incidents informatiques général, en raison de leur caractère sensationnel assuré là aussi par l’ampleur des consommateurs que cela concerne à chaque fois. Du côté de la Wi-Fi Alliance et de ses partenaires, on observe une stratégie de communication minutieusement préparée et mise en œuvre : accord sur la date de divulgation de la faille, publication d’un bulletin d’alerte officiel montrant que des solutions sont déjà en cours, déclaration officielle du principal consortium, suivie des déclarations individuelles des entreprises du secteur. Avec à chaque fois, un seul et même message démontrant que la situation est maîtrisée et qu’il n’y a pas matière à paniquer.
Cette méthode s’est révélée très efficace. En l’espace de quelques heures, le message est relayé par l’ensemble des médias. Et les articles alarmistes du matin de 16 octobre – étayés des déclarations de fournisseurs de produits ou services de protection informatique qui ont saisi l’opportunité de positionner leurs solutions - sont remplacés par des titres ne laissant aucun doute sur le revirement de la situation : Krack Attacks: la faille de sécurité du Wi-Fi béante mais facilement colmatable chez BFM Business et KRACK : plus de peur que de mal (pour l'instant) pour la faille WPA 2/WiFi chez ZDnet.fr.
Le titre de ce dernier article laisse quant à lui présager de la suite. En effet, les acteurs du Wi-Fi sortent vainqueurs de cet affrontement, et les journalistes plutôt montrés du doigt, comme le souligne le directeur technique d’une entreprise de solutions réseaux interviewé sur l’affaire, qui déclare « La criticité de cette faille est bien moindre que des failles connues, sans correctif, que Microsoft a laissé traîner pendant très longtemps. », puis d’ajouter « C'est la première fois que l'on a un phénomène de communication de masse à propos de failles de ce type », et de conclure « Depuis un an, la moindre alerte de sécurité est exploitée et relayée par la presse généraliste (…). La conséquence c'est que oui, on a droit à plus d'information publique, mais elle n'est pas toujours mesurée et juste (…) ».