Faille Krack : analyse d’un rapport de force informationnel entre la Wi-Fi Alliance et les médias

 

Le 16 octobre 2017, Mathy Vanhoef, chercheur à l’Université Catholique de Louvain en Belgique, publia un billet révélant l’existence d’une faille dans le protocole de protection des connexions Wi-Fi : le protocole WPA2. Mathy Vanhoef avait identifié et signifié l’existence de cette faille à l’US-CERT (United States Computer Emergency Readiness Team) ainsi qu’à la WiFi Alliance quelques semaines auparavant. Ceux-ci avaient alors convenu de ne pas dévoiler tout de suite la faille au public, afin de laisser le temps aux acteurs du marché de préparer leurs solutions.  A la publication du billet de Mathy Vanhoef ce lundi 16 octobre, l’information fut aussitôt relayée par le média spécialisé Ars Technica, très vite repris par plusieurs de ses confrères du web, de la radio et de la télévision, ainsi que sur les réseaux sociaux. 

Il s’amorce alors une confrontation sur la question du danger que représente la faille Krack pour les milliards d’utilisateurs qui y sont exposés. L’analyse porte ici sur un cas d’affrontement informationnel sur l’échiquier médiatique, opposant les acteurs du Wi-Fi aux les médias sur les champs de manœuvre de la protection des données à caractère personnel et de la sécurité informatique des entreprises. 

Les parties prenantes


Les agences nationales de sécurité informatique et les consortiums 

Investis du rôle de garant de la sécurité des systèmes et équipements informatiques, les agences nationales et les consortiums ont dans le cadre de la faille Krack, incarner leur rôle de protecteurs des entreprises et des citoyens contre les risques de cyberattaques, d’une part. En faisant la preuve d’un travail mené en étroite collaboration des uns avec les autres, d’autre part, du moins à l’échelle américaine. 

Tout d’abord il y a l’US-CERT (United States Computer Emergency Readiness Team), le service du Département de la sécurité intérieure des Etats-Unis chargé de détecter, analyser, informer et lutter contre les attaques informatiques. Dans son bulletin d’alerte publié le 16 au matin, l’organisme met à disposition du public les premiers détails des caractéristiques de la faille, adresse des remerciements officiels à M. Vanhoef pour sa collaboration et publie une liste des équipements disponibles à la mise à jour, complétée en temps réel avec l’aide de l’ICASI (v. infra). Puis la Wi-Fi Alliance, le consortium propriétaire de la marque déposée Wi-Fi©, basé à Austin au Texas. Dans sa réponse publiée dans la rubrique actualités de son site, l’institution remercie également publiquement M. Vanhoef pour avoir partagé sa découverte avec eux et aider dans la recherche des solutions et déclare avoir immédiatement pris des mesures pour que les utilisateurs puissent continuer à passer par le réseau Wi-Fi en toute sécurité.  Enfin, toujours dans cette réponse la Wi-Fi Alliance, invite à se rapprocher de l’US-CERT et de l’ICASI pour plus d’information. Quant à lui, l’ICASI (Industry Consortium for Advancement of Security on the Internet), groupement d’entreprises créé dans le but de soutenir l’excellence et l’innovation dans le domaine de la sécurité informatique, déclare à son tour par la voix de Microsoft, avoir organisé une concertation avec tous ses membres et des éditeurs, pour se coordonner sur la stratégie d’information du collectif à suivre. 

Pendant ce temps-là en France, l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information) rattachée au Secrétariat général de la défense et de la sécurité nationale (SGDSN), chargée de proposer et faire appliquer les règles relatives à la protection des systèmes d’information de l’Etat, et d’informer et accompagner les administrations et entreprises dans la sécurisation de leur écosystème numérique et de contribuer au développement de la confiance dans les usages du numérique, a quant à elle tenue un discours différent. Guillaume Poupard, son Directeur général, qualifie ainsi la situation de « (..) très moche » ; et déclare : « on va vivre des années avec des wifi percés ». Dans ce cas précis, l’ANSSI est en opposition avec le discours rassurant et maîtrisé de ses homologues américains, mais en phase avec son actualité du moment : l’ouverture de la plateforme cybermalveillance.gouv.fr, son site web d’assistance aux victimes du piratage informatique. 

Les médias 

Du point de vue des médias, l’on constate que le traitement de l’information dans la presse se concentre sur les quarante-huit heures qui suivent l’annonce. 

Avec pas moins de vingt articles parus rien qu’en France, dans des médias d’impact tels que : BFMBusiness, Les Echos, Le Monde, LCI, France Inter, France Info, RTL, etc., la divulgation de la faille Krack a eu une forte résonance. Du point de vue de l’intensité ensuite, on observe une différence notable du traitement de l’information par les médias généralistes grand public et les médias spécialisés. La presse grand public s’est tout de suite placée dans un registre plus inquiétant avec une interprétation des énoncés des documents officiels via l’utilisation d’images fortes. C’est ainsi que les indications relatives aux types d’informations sensibles susceptibles d’être interceptées sont illustrées par France TV Info via l’exemple de l’« e-mail confidentiel envoyé à son patron ». On retrouve également, dans la presse généraliste davantage de termes du registre de la peur et de l’inquiétude, que dans la presse spécialisée parlant d’émoi, de malaise

La Faille était-elle inquiétante ?


Une attaque visant un point sensible du secteur de l’IT : la sécurité 

Nous notons ici que dans ce cas de la faille Krack, les professionnels du Wi-Fi font face au principe de l’attaque indirecte qui consiste à viser un point sensible - pour ne pas dire faible – de l’acteur ou secteur que l’on cible, dans notre cas : la sécurité. Depuis quelques années maintenant, les acteurs des télécommunications et de l’IT sont régulièrement sujets à des attaques sur ce point. La dernière grosse affaire en date étant l’attaque Mirai du 20 septembre 2016

Aussi, avec près de 5 milliards d’équipements Wi-Fi répartis partout dans le monde selon le portail Statista, le maintien de la confiance dans les équipements et services du marché chez leurs consommateurs est un enjeu crucial, parfaitement identifié et maîtrisé par les professionnels du Wi-Fi. 

Une stratégie de réassurance parfaitement préparée 

En effet, du côté de la Wi-Fi Alliance et de ses partenaires, on observe une stratégie de communication parfaitement pensée et mise en œuvre : accord sur la date de divulgation de la faille, publication d’un bulletin d’alerte officiel montrant que des solutions sont déjà en cours, publication d’un communiqué de presse portant la voix du collectif, suivie de déclarations individuelles des membres des collectifs. Avec à chaque fois, un seul et même message : pas de raison de paniquer. stop. des solutions sont déjà en train d’être déployées. stop. la situation est sous contrôle. stop. 

Une méthode qui s’est révélée très efficace. En l’espace de quelques heures le message est accepté et relayé par l’ensemble des médias ; et les titres alarmistes du matin de 16 octobre sont remplacés par des titres mettant en lumière le revirement de la situation : Krack Attacks: la faille de sécurité du Wi-Fi béante mais facilement colmatable chez BFM Business et KRACK : plus de peur que de mal (pour l'instant) pour la faille WPA 2/WiFi chez ZDnet.fr. 

Le titre de ce dernier article est quant à lui particulièrement intéressant. En effet, même si l’on peut dire que les acteurs du Wi-Fi sont les vainqueurs de cet affrontement, dont les journalistes se sortent presque ridicules, comme le relève le directeur technique de Zyxel interviewé sur l’affaire par ZDNet.fr, Pierre-Emmanuel Vincent, qui déclare  « La criticité de cette faille est bien moindre que des failles connues, sans correctif, que Microsoft a laissé traîner pendant très longtemps. », puis d’ajouter « C'est la première fois que l'on a un phénomène de communication de masse à propos de failles de ce type. (…) Depuis un an, la moindre alerte de sécurité est exploitée et relayée par la presse généraliste, depuis l'attaque Mirai en fait. La conséquence c'est que oui, on a droit à plus d'information publique, mais elle n'est pas toujours mesurée et il n’en demeure pas moins que la sécurité est un point sensible ». 

Il n’en demeure pas moins que ce type de faille est de toute évidence voué à se répéter à l’avenir. 


 

Marie Matondo-M.