Sécurité numérique : le Premier ministre plus que jamais en première ligne

Le Premier ministre est le régulateur de la sécurité numérique nationale. Le Conseil constitutionnel a confirmé en février dernier l’étendue de ses prérogatives et des garanties nécessaires en la matière. L’affaire « SolarWinds » appelle de telles garanties du côté des fournisseurs d’informatique en nuage.

Par Christophe Clarenc (photo), avocat, cabinet DTMV & Associés

La « transition numérique » de l’économie et des entreprises s’accompagne d’une démultiplication pandémique des violations et compromissions de sécurité des systèmes d’information (1), avec un flot continu de « fuites » massives de données, une industrialisation (à l’état de l’art) de l’exploitation des « failles » de sécurité, et une explosion des cyberattaques critiques. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) rapporte à cet égard un développement exponentiel à la fois des cyberattaques criminelles par rançongiciels et des menaces d’espionnage, de déstabilisation voire de sabotage à travers les attaques indirectes par rebond dans les chaînes de sous-traitance, d’approvisionnement et de partenariat industriels, dont la propre chaîne des fournisseurs de services d’informatique et d’infogérance en nuage. Le risque systémique d’attaques ciblées et vectorisées par la chaîne d’approvisionnement informatique est plus que confirmé par la campagne de cheval de Troie menée dans et à partir de la plateforme de gestion et de supervision informatique (Orion) du fournisseur américain SolarWinds, détectée en décembre dernier (2).

Chaîne de compromission « SolarWinds »
Par compromission des mises à jour logicielles distribuées par cette plateforme, cette attaque a infiltré et infecté en profondeur les systèmes de près de 18.000 de ses clients-utilisateurs, dont plusieurs départements de l’administration américaine (Pentagone, NSA, Trésor, Justice, Energie), de grands fournisseurs de services informatiques et de cybersécurité comme Microsoft et FireEye, et une série de grands comptes industriels aux Etats-Unis et en Europe. Reçue comme un « Pearl Harbour » de la « Supply Chain Security », cette affaire a soulevé aux Etats-Unis un tourbillon d’interrogations et d’investigations sur l’état des risques, des faiblesses systémiques, notamment réglementaires, et des défaillances individuelles de sécurité dans l’industrie et la chaîne d’approvisionnement « IT » (Information Technology). Microsoft a répondu que ce type de cyberattaque « sera la norme ». Le New York Times a révélé que les mesures et la politique de sécurité de SolarWinds étaient structurellement déficientes, notamment pour satisfaire aux exigences de profitabilité de ses investisseurs. L’agence Moody’s a considéré que l’affaire Continuer la lecture

Indissociable du Web depuis près de 25 ans, Flash – logiciel d’animation vectorielle – tire sa révérence

Le 31 décembre 2020, comme annoncé dès 2017 par la société Adobe qui en fut l’héritière en rachetant Macromedia il y a tout juste quinze ans, le logiciel de lecture d’animations vectorielles Flash Player disparaîtra. Animations, jeux vidéo, publicités ou encore arts graphiques en ont profité.

« Comme les standards ouverts tels que HTML5, WebGL et WebAssembly ont mûri au cours des dernières années, la plupart maintenant fournissent de nombreuses capacités et fonctionnalités que les pionniers des plugins offraient et sont devenus une alternative viable pour le contenu sur le Web » (1), avait expliqué en juillet 2017 la société américaine Adobe Systems, dirigée depuis le début de cette année-là par Shantanu Narayen (photo), pour justifier l’abandon de Flash.

Les industries culturelles « flashées »
Sur le Web, et ses contenus plus ou moins culturels tels que les jeux vidéo, les animations, les vidéos, la publicité ou encore les arts graphiques, le lecteur multimédia Flash a connu son heure de gloire jusqu’au milieu des années 2000. Ce standard d’animation vectorielle est utilisé par YouTube dès sa création en 2005. Disney fait même partie des nombreuses entreprises qui étaient devenues des adeptes du « f ». Son extension « Stage3D » en 2011 a donné une troisième dimension aux images, jusque sur Android (Google) and iOS (Apple). Les navigateurs web – Internet Explorer de Microsoft, Firefox de Mozilla, Chrome de Google ou encore Safari d’Apple – ont tous adopté Flash Player pour permettre à des milliards d’internautes de lire des quantités de contenus multimédias. C’est l’entreprise Macromedia qui fut à l’origine du succès planétaire de Flash. Après avoir racheté en novembre 1996 à la start-up FutureWave le logiciel « FutureSplash Animator » de dessins vectoriels et d’animations frame-by-frame, ce dernier fut rebaptisé « Macromedia Flash 1.0 » avec, d’un côté, un éditeur de graphiques et d’animations (Macromedia Flash) et, de l’autre, un lecteur multimédia (Macromedia Flash Player). En le proposant gratuitement en téléchargement et comme plugin pour les navigateurs web, le Flash Player s’est propagé dans le cyberespace pour devenir un lecteur quasi-universel. En 2005, année du rachat de l’entreprise par Adobe, il était installé sur environ 3 milliards de terminaux – soit sur bien plus de « machines » que ne l’était tout autre format média (2).
Mais face à la montée en puissance créative du HTML historique, notamment avec l’avènement des « feuilles de style en cascade » (3), les sites web construits entièrement sur Flash sont rapidement tombés en disgrâce, reléguant ce format de design au rang de simple plugin vidéo ou interactif. Avec le lancement de l’iPhone en 2007 et l’apparition du développement web Dynamic HTML (adopté par Netscape) et la norme HTML5 (du W3C), plus adaptés à l’interactivité et à la vidéo, le support Flash commence à ne plus être assuré. Steve Jobs a sonné la fin de la récrée dans une « lettre ouverte » publiée le 15 avril 2010 et intitulée « Thoughts on Flash », où le cofondateur christique et gourou de la marque à la pomme détaille sur plus de trois pages (4) les six raisons justifiant son rejet de Flash : ses principaux griefs sont que la plateforme Flash d’Adobe est « propriétaire », comprenez non-ouverte, et qu’elle soulève des problèmes de sécurité. Un extrait de cette open letter résume à elle seule les enjeux réels du bras de fer entre les deux entreprises américaines : « Adobe a déclaré à plusieurs reprises que les appareils mobiles d’Apple ne peuvent pas accéder au “Web complet” parce que 75 % des vidéos sur le Web sont en Flash. Ce qu’ils ne disent pas, c’est que presque toute ces vidéos sont également disponibles dans un format plus moderne, H.264, et visible sur les iPhone, iPod et iPad. YouTube, avec [il y a dix ans, ndlr] environ 40 % de la vidéo du Web, brille dans une application groupée sur tous [nos terminaux] ».
Shantanu Narayen, PDG d’Adobe (5), lui oppose AIR – anciennement Apollo (6) – qui permet aux développeurs de créer sans problèmes des applications et des jeux multiplateformes pour iOS, Android, Windows et Mac OS. Adobe aura même gain de cause en justice pour forcer l’écosystème fermé (lui-aussi) d’Apple d’accepter d’autres environnements de développement que le sien (7). Adobe fait de « Adobe Animate » son nouvel environnement de création Flash, mais en l’ouvrant sur HTML5… ouvrant la boîte de Pandore. Finalement, le 25 juillet 2017, Adobe annonçait le « End-Of- Life » (8) de Flash et de son Flash Player. Des développeurs ont bien résisté, en vain, avec notamment une pétition en faveur d’un Flash ouvert (9).

Navigateurs web et Adobe désactivent
Mais les navigateurs web, à commencer par Chrome de Google et Firefox de Mozilla, vont alors désactiver par défaut Flash dans leurs mises à jour (10). Edge de Microsoft a suivi. En janvier 2021, tous le bloqueront. Et Abobe prendra part à cette mise à mort en désactivant, à partir de l’an prochain, les installations existantes. Les nostalgiques de Flash, eux, n’ont plus qu’à se rendre par exemple sur Internet Archive (11) qui, depuis près d’un quart de siècle, sauvegarde le Web. Un émulateur et une librairie Flash (12) ont été mis en place. @

Charles de Laubier