« S'emparer d'informations sensibles sur les militants ou des données sur des potentiels lanceurs d'alerte peut être un moyen d'exercer une pression politique ». Sylvain Delaître, ingénieur chercheur et membre de l’Ugict-CGT.
L'Éducation nationale, La Poste, les agences régionales de santé, la chaîne de salles de sport Basic-Fit…: les cyberattaques semblent de plus en plus fréquentes en France. Qui en sont les auteurs ?
Il faut distinguer deux choses. D'une part, il y a des hackers [pirates informatiques, NDLR] isolés, souvent basés à l'étranger, qui attaquent au hasard. Ça peut tomber sur une collectivité, un hôpital ou un particulier, mais ils ne les ciblent pas délibérément. Leur but est de collecter des données pour les revendre sur le dark web [partie cachée d'Internet], à des fins commerciales ou pour demander une rançon à la victime. C'est un vrai marché qui rapporte beaucoup d'argent et le risque pénal est assez faible, il est plutôt difficile de retrouver les coupables.
D'autre part, il y a des États qui mènent une guerre cyber. Là, les administrations ou les services publics sont délibérément ciblés à des fins de menaces. Ce sont des appareils étatiques qui attaquent, ou qui sous-traitent les attaques, à des groupes de hackers performants. L'objectif est principalement de montrer leur puissance et de déstabiliser leur adversaire. D'ailleurs, la France le fait aussi, depuis le centre de cyberdéfense à Rennes. Un exemple célèbre est le ver Stuxnet, découvert en 2010, développé conjointement par les États-Unis et Israël, qui a réussi à infecter durablement les programmes des centrifugeuses d'enrichissement d'uranium iraniennes. Aujourd'hui, dans le conflit actuel au Moyen-Orient, le cyber est assurément une arme. On est dans une forme de guerre hybride généralisée.
Il y a aussi eu des attaques récentes contre des syndicats, comme la CFDT et FO. Dans quel but ?
Ça peut être le hasard ou bien de l'intimidation. S'emparer d'informations sensibles sur les militants ou des données sur des potentiels lanceurs d'alerte peut être un moyen d'exercer une pression politique de la part d'un adversaire. Ce qu'il faut comprendre, c'est que le cyber prolonge les conflits qui ont déjà lieu dans la vraie vie. À ce titre, personne n'est à l'abri. Les services très sensibles comme l'armée ou l'aérospatiale ont des protocoles de sécurité avancés. Mais pour le reste de la société, et on l'a vu avec l'Éducation nationale, par exemple, ou un certain nombre de mairies, il y a encore trop de failles.
Comment s'en prémunir ?
On a tendance à pointer la responsabilité des usagers, mais ce type d'argument vise à ne culpabiliser que le dernier maillon de la chaîne, c'est caricatural. Oui, il faut avoir une bonne hygiène numérique, mais qu'est-ce que veut dire « changer ses mots de passe » quand 40 millions de comptes français ont été piratés en 2025 ? En moyenne, on a tous été piratés plusieurs fois. Il faudrait plutôt créer de vrais postes de directeurs des systèmes d'information au sein des organisations, qu'elles soient publiques, privées ou syndicales. Développer des services compétents et structurés, parce que la cybersécurité est un vrai métier, qui va devenir de plus en plus important alors que la quantité de données produites sur Terre explose. En 2025, c'est 175 zettaoctets [un zettaoctet équivaut à un billion de gigaoctets]. Et construire cette sécurité demande de l'investissement public et de la volonté politique. Le système actuel, qui laisse le marché faire ce qu'il souhaite, est trop permissif.
C'est donc un problème économique ?
Oui, en partie. À cause des pratiques d'un certain Microsoft et d'un certain Apple, qui se battent au niveau commercial pour sortir des logiciels, non pas à la version la plus aboutie, mais le plus rapidement possible. Les programmeurs sortent précipitamment une version bêta [phase de test], sans vraie garantie de sécurité, pour être les premiers sur le marché, c'est la doctrine des Gafam [acronyme de Google, Apple, Facebook, Amazon, Microsoft], et autres grands éditeurs de logiciels…, quitte à compléter ultérieurement par des patchs de sécurité. C'est une des raisons pour lesquelles il faut mettre régulièrement à jour ses logiciels. Dans l'entreprise où je travaillais, Thales, on a toujours refusé les nouvelles versions Windows. On attendait plusieurs années avant de les implémenter, pour qu'elles soient plus sûres. La gendarmerie nationale découvre en moyenne soixante nouvelles failles par semaine, chez tous les grands éditeurs comme Windows ou Oracle. Et là, le petit jeu des hackers, c'est de trouver la faille qui n'a pas été encore réparée par l'éditeur, qu'on appelle des failles Zero Day, pour les revendre à prix d'or sur le dark web, car les connaître permet la diffusion des virus et autres chevaux de Troie.
Quel est impact de l'intelligence artificielle (IA) sur la cybersécurité ?
Ça va poser un gros problème. L'intelligence artificielle a toujours un problème de fiabilité, car elle cherche ses infos dans une masse gigantesque de sources, qu'elle n'est pas toujours capable de bien discerner. Elle a du mal, par exemple, à saisir si un texte est écrit au second degré. En parallèle, l'IA va aussi pouvoir produire des quantités de nouvelles informations fausses, à très grande vitesse. Donc, on aura des informations fausses diffusées par IA, générées par d'autres IA. Au fond, plutôt que de nous remplacer, l'intelligence artificielle va devoir nous forcer à muscler notre jeu et à être de plus en plus alertes. Notamment à cause de la pratique du vibe-coding, qui consiste à déléguer la programmation des logiciels à de l'IA.
Quels risques entraîne cette pratique ?
Des néophytes vont programmer sans compréhension globale des alertes, des problèmes et des potentielles failles de sécurité. Quand on conduit une voiture, si l'application de navigation indique qu'il faut prendre un chemin exigu, on anticipe, connaissant la taille de notre voiture, qu'elle ne va pas passer. Les personnes qui font du vibe-coding n'ont pas ces connaissances pratiques. C'est un poison, parce que, de l'autre côté, les hackers utilisent ce genre de programmation extrêmement faible, extrêmement peu robuste, pour finalement infecter des programmes qui seraient écrits par vibe-coding. Les hackers sont plutôt très bons et très intelligents, qu'ils soient éthiques ou pas. Et ils savent mettre à profit leur intelligence.
Pourquoi est-ce que le secteur de la santé semble particulièrement visé ?
Je ne sais pas si vous vous rendez compte combien un Américain moyen, ou même un Américain de classe supérieure, paye pour sa santé. Il y a très peu d'entreprises qui prennent en charge les frais de santé aux États-Unis. Certes, les salaires ont tendance à être plus élevés que chez nous, mais il n'y a aucune couverture sociale. Donc, la santé est un business énorme, tout est payant. Pour les hackers, avoir la réelle connaissance du risque médical aux États-Unis, c'est très intéressant. Et cela a des répercussions en France, puisque les fonds américains investissent partout. Il ne faut pas oublier qu'Emmanuel Macron avait décidé de confier le Hub santé [une plateforme sécurisée d'échange de données médicales] à un serveur détenu par Microsoft, qui aurait donc reçu des données issues de l'Assurance maladie concernant dix millions de Français. Face aux protestations, le gouvernement a fait machine arrière et les données devraient rejoindre un cloud [réseau de serveurs distants] souverain d'ici à la fin de l'année.
Outre le logiciel, est-ce que le matériel informatique compte dans la cybersécurité ?
Bien sûr, c'est même un point critique. À partir du moment où on ne conçoit ni ne produit un processeur, on n'a aucune garantie que le concepteur ou le producteur final n'a pas introduit une porte dérobée ou backdoor [un accès caché permettant de passer outre les systèmes de sécurité] sous commande de sa tutelle, qu'elle soit américaine, chinoise ou autre. Cela faisait partie des révélations d'Edward Snowden*, et ce n'est pas un mythe. Autant dans les années 1970, on comptait 10 000 transistors dans un processeur : avec un microscope, on pouvait regarder si le schéma correspondait bien à la fonction définie et détecter de potentielles portes dérobées. Mais quand on arrive à 100 000 transistors dans les années 1980, un million dans les années 1990, et aujourd'hui, 20 milliards, on n'a aucune chance de détecter s'il y a une ou plusieurs fonctions cachées dans son processeur. Pour le savoir, il faut être le concepteur et le fabricant. Aujourd'hui, les concepteurs, c'est Intel, ce sont les Gafam, qui donnent leurs cahiers des charges. Et le fabricant, c'est TSMC, à Taïwan qui est l'usine du monde et qui réalise 60 % de la production mondiale des processeurs.
Pourquoi n'y a-t-il pas d'alternative européenne viable ?
Il reste des entreprises en Europe, comme les fabricants de processeurs STMicroelectronics à Grenoble ou le graveur ASML en Hollande, un leader mondial. Le problème, c'est qu'aujourd'hui, nos fabricants sont en retard. En termes de course automobile, je dirais qu'ils courent en Formule 3, là où les Gafam seraient la Formule 1. Pourquoi ? Les libéraux rechignent à toute programmation ou planification en les dénonçant comme idéologiques, mais en vérité, les États-Unis ont construit leur industrie informatique, aujourd'hui presque hégémonique, grâce à une politique volontariste du pouvoir. Que ce soit Obama, Biden, Trump 1 ou Trump 2, chacun a mis le paquet en investissement sur la guerre des semi-conducteurs. En plus, ils commencent à réinternaliser : petit à petit, Intel reconstruit des usines aux États-Unis, et le gouvernement essaye de faire venir Nvidia ou TSMC.
Une solution pour la cybersécurité serait donc une politique d'investissement nationale ou européenne ?
Nous, c'est ce que l'on demande à la CGT. Quand on parle du numérique, il faut commencer par les fondements, qui sont industriels. Il n'y a pas de numérique sans composants ni mémoires. Or, STMicroelectronics, issue de la fusion de Thomson et SGS Microelettronica, deux entités publiques respectivement française et italienne, a aujourd'hui une gestion strictement financière. Quand l'entreprise fait des superbénéfices, comme en 2020 au moment du Covid, elle ne réinvestit pas. Elle distribue des dividendes. Si on veut une vraie cybersécurité, il faut maîtriser la chaîne de production de bout en bout. J'aime utiliser cette image d'un château fort qui peut être très bien construit, avec des hautes fortifications et des tours imprenables, mais s'il est construit sur du sable, il reste vulnérable.
* En 2013, le lanceur d'alerte avait fourni la première preuve de l'existence de programmes mondiaux de surveillance de masse.
Économiste au Centre d’études prospectives et d’informations internationales (CEPII), cofondatrice de l’Observatoire des emplois menacés et émergents (OEM), Axelle... Lire la suite
La mobilisation syndicale a fait reculer le gouvernement sur le projet de loi élargissant le travail le 1er-Mai, jour hautement symbolique qui restera férié et chômé. Si la... Lire la suite
