"C'est toujours un compromis"

Monsieur Capkun, vous avez récemment déclaré dans une interview : "Un peu de paranoïa ne fait pas de mal en matière de sécurité informatique". Dans l'idéal, à quel point devrait-on être paranoïaque ?
En matière de sécurité informatique, il est effectivement bon d'être un peu paranoïaque et de remettre sans cesse la technique en question. Mais la question se pose alors immédiatement : que fait-on avec ? La sécurité totale n'existe que si l'on renonce à de nombreux avantages. Il s'agit donc de trouver le bon équilibre entre fonctionnalité et sécurité.

La remise en question suppose toutefois d'avoir une certaine connaissance des systèmes informatiques.
C'est la base, oui. C'est aussi valable pour les attaquants : si on veut manipuler une voiture, un drone ou une centrale nucléaire, il faut comprendre exactement comment les systèmes fonctionnent. La question est : que veulent les agresseurs ? Ont-ils un objectif précis ou veulent-ils simplement semer le chaos ?

En tant qu'expert en sécurité, vous devez donc toujours prendre en compte les intérêts des attaquants ?
Oui, il faut anticiper. Les possibilités du défenseur sont toujours limitées. Prenez un téléphone portable : comment le rendre sûr ? Les puces de cet appareil, le système d'exploitation, les applications - tout cela a été fabriqué par différentes entreprises que vous ne pouvez pas contrôler. Il est très difficile de rendre l'appareil vraiment sûr sans modifier le système d'exploitation ou le matériel.

La manière dont les systèmes sont attaqués a-t-elle changé au cours des dernières années ?
Un nouveau développement est ce que l'on appelle le ransomware. Il permet de crypter des données et de faire ensuite chanter les victimes. De telles attaques existent déjà depuis longtemps. Ce qui est nouveau, c'est qu'avec des monnaies virtuelles comme le bitcoin, les maîtres chanteurs ont la possibilité de ne pas être reconnus s'ils se font verser la rançon de manière anonyme. Sans cela, de tels chantages ne fonctionneraient pas.

Quels appareils sont particulièrement faciles à pirater ?
L'éventail des appareils attaqués est large, car de nombreux appareils sont mal protégés. Cela est souvent lié au prix. Celui qui veut produire une caméra Wifi bon marché ne peut pas investir beaucoup d'argent dans la sécurité. C'est ainsi que des failles apparaissent.

Vous faites vous-même des recherches, entre autres, sur la protection des appareils médicaux. Dans quelle mesure nos hôpitaux sont-ils protégés contre les attaques ?
La situation est complexe. Dans le cas d'un stimulateur cardiaque, par exemple, le logiciel de commande ne peut être crypté que de manière limitée. La question se pose donc : qui détient la clé de ce logiciel ? Le médecin ? Que se passe-t-il s'il est en vacances ? Et quel est le niveau de protection des appareils avec lesquels on programme le stimulateur cardiaque ? Nous étudions actuellement de telles questions dans le cadre de nos recherches.

Il y a quelques mois, plusieurs hôpitaux ont été attaqués par des pirates informatiques, surtout en Angleterre. Quel était le problème ?
Dans de nombreux hôpitaux, il y a des appareils médicaux avec des systèmes d'exploitation obsolètes, parfois même avec Windows 98, bien que celui-ci ne soit plus supporté depuis des années. Si l'on veut actualiser le logiciel, il se pourrait que les appareils ne fonctionnent plus correctement, par exemple parce que le matériel et le logiciel ne sont plus compatibles. Il faut donc un développement logiciel coûteux et les appareils doivent être à nouveau certifiés. Ces deux éléments coûtent du temps et de l'argent. Et remplacer simplement les appareils par de nouveaux n'est souvent pas une solution.

Il faut donc trouver un compromis ?
La complexité apparaît lorsqu'on procède à une évaluation des risques. Dans quelle mesure est-il délicat, par exemple, qu'un scanner tombe entre de mauvaises mains ? Cela dépend - entre autres - de la manière dont le système de santé est réglementé. Encore une fois, protéger un hôpital contre les attaques de pirates informatiques est certes une tâche technique, mais pas seulement.

Un autre sujet qui intéresse beaucoup le public en ce moment est la question de savoir si les cyberattaques sapent notre démocratie. Comment évaluez-vous la situation ?
Le problème n'est pas seulement que les élections pourraient être manipulées, mais aussi que les gens pourraient perdre confiance dans les processus démocratiques. La Poste développe actuellement un système de vote électronique pour la Suisse. On peut certes montrer que ce système est sûr sur le plan cryptographique. Mais que peut faire une personne qui n'est pas familiarisée avec la cryptographie avec cette information ? Comment convaincre les gens que tout s'est déroulé correctement lors d'un vote ou d'une élection ? C'est un sujet passionnant sur lequel je réfléchis beaucoup en ce moment.

Récemment, l'ETH Zurich a accueilli le Cybersécurité Summit, organisé par le Zurich Information Security and Privacy Center (ZISC). Quelle est votre conclusion ?
Je suis ravie que nous ayons rencontré un tel écho. L'événement a également confirmé que nous sommes forts dans ce domaine à l'ETH, non seulement dans la recherche, mais aussi que notre enseignement a un grand impact. Beaucoup de nos étudiants créent leur propre entreprise. Nous devrions en être fiers, car cela montre que l'ETH fait beaucoup de choses correctement.

Comment le CISC va-t-il se développer dans les prochaines années ?
Nous voulons développer le centre. Récemment, nous avons pu gagner de nouveaux partenaires, par exemple la Poste, la Banque cantonale de Zurich ou la compagnie d'assurance Zurich. Ce qui est remarquable, c'est que nous pouvons aussi réaliser des projets passionnants avec des entreprises actives dans un domaine d'activité traditionnel. En effet, ces entreprises connaissent elles aussi des changements rapides en raison de la digitalisation - avec les nouveaux défis correspondants dans le domaine de la sécurité de l'information.

La recherche au CSSI est donc fortement orientée vers des problèmes concrets ?
Pas seulement. Nous faisons aussi de la recherche fondamentale, en essayant des choses par curiosité, sans savoir à l'avance si cela va fonctionner. Cette partie est très importante pour nous.