Cybersécurité au cinéma : la fiction est-elle à la hauteur de la réalité ?

Risk management et cybersécurité

    Publié le

    Extrait du synopsis du film Firewall : « Cadre supérieur d’une grande banque de Seattle, il a mis au point un « pare-feu » ultrasophistiqué, qu’aucun hacker n’a jamais réussi à pénétrer. Depuis plusieurs mois, sa famille est espionnée à son insu par un chef de bande aussi ingénieux que déterminé. »

     

    Sceptique ? Votre banquier n’a pas les mêmes capacités qu’Harrison Ford ? Entre mythe et réalité, revue des concepts de la cybersécurité au cinéma.

    L’image du hacker : cool et sexy

    Tapant plus vite que son ombre et utilisant un maximum de termes techniques dans la même phrase (un savant mélange de « chiffrement », « pare-feu » et « adresse IP »), le hacker est un personnage type du cinéma défini par un certain nombre de caractéristiques : un anti-héros intelligent, solitaire et en décalage avec la réalité, contrastant avec les gros bras musclés du cinéma des années 80 (imaginez Clint Eastwood ranger son Magnum pour pianoter sur son clavier d’ordinateur).

    Néo, personnage principal de Matrix, en est le parfait exemple : programmeur de jour, hacker de nuit, reconnu pour ses talents au point de se faire remarquer par Morpheus. Dans un style plus punk, et amplifiant par un autre cliché la caractéristique antisociale du hacker, Lisbeth Salander dans Millenium est un archétype du personnage : elle survit grâce à ses talents en piratage informatique. Une enfance chaotique, une vie sociale inexistante en dehors de son ordinateur et une certaine aversion pour la violence.

    Si on retire l’image caricaturale du hacker, Hollywood dépeint surtout le côté hacktiviste du hacker, qui milite pour ses idéaux au travers d’actions visibles et politisées. Et notons d’ailleurs que les hacktivistes lui renvoient l’ascenseur : le symbole des hacktivistes est clairement inspiré du film V pour Vendetta (le masque est tout de même plus joli que celui de Zorro). Clairement, les attaquants aux cibles purement lucratives  (vols de données personnelles, vols de cartes bancaires… à l’image des attaques subies par Target aux États-Unis ou encore Orange en France) sont beaucoup moins représentés à l’écran

    Le cinéma a donc une vision idéaliste, et avouons-le beaucoup plus « sexy » du hacker, plus proche du héros hollywoodien se battant pour ses idées que d’une bande organisée utilisant ses talents informatiques dans un objectif de gain.

    Cyberguerre, terrorisme, impacts majeurs… le cinéma dans la surenchère !

    Première règle d’un film Hollywoodien : il faut que ça « explose de partout ». Les attaques cybercriminelles au cinéma ne font pas exception à la règle : « une ligne de code peut être dévastatrice », pourrait en résumer la bande annonce. Cependant, même si ces attaques sont clairement amplifiées par la magie des effets spéciaux, Hollywood n’est finalement pas si éloigné que ça des attaques réelles.

    Prenons Die Hard 4 où les dangers du tout connecté sont mis en scène quand un virus contamine le système d’information national des États-Unis (communications, transports, énergies, etc.). Vague de chaos sur le pays, et une fois de plus seul Bruce Willis est en mesure de sauver le pays (en explosant une voiture sur un hélicoptère. certes). Sabotages, attaques de systèmes industriels, pollution du programme nucléaire… Stuxnet ou Havex n’auraient-ils finalement pas eu leur place dans le film ? Clairement les attaques réelles montrent à quel point une attaque informatique peut désormais avoir des impacts et des répercussions économiques et industrielles importantes, et la réalité n’est pas si éloignée de la fiction.

    Et si on continuait dans la surenchère ? Autant s’attaquer directement aux institutions gouvernementales ! Et à ce sujet, comment ne pas citer James Bond et Jack Bauer ? Rappelez-vous : dans Skyfall, le siège du MI6 explose à la suite d’une intrusion dans le système d’information des services secrets, et dans la dernière saison de 24, des drones militaires sont détournés suite à une attaque informatique. Si de telles attaques n’ont heureusement jamais eu lieu en réalité, les attaques réelles n’épargnent pas vraiment les institutions ! L’Élysée n’a t-il pas été victime d’attaques informatiques à plusieurs reprises ?

    Espérons à ce stade que le cinéma n’est pas totalement visionnaire… comme il le fut pour l’affaire Snowden ! En effet, Ennemi d’État racontait dès 1998 la traque d’un homme en possession de documents confidentiels de la NSA. 15 ans plus tard, la réalité a clairement dépassé la fiction, et les moyens d’espionnage utilisés par la NSA dans le film sont finalement très crédibles.

    L’humain au cœur de la cybercriminalité

    Les techniques d’attaques sont  probablement un des sujets casse-tête des réalisateurs. Un personnage écrivant des lignes de code sur son ordinateur risque rapidement de faire fuir les téléspectateurs. Et c’est pourquoi, mis à part quelques rares exceptions (comment ne pas évoquer nmap utilisé plusieurs fois dans Matrix), le cinéma préfère clairement se focaliser sur les personnages à l’origine des attaques et non sur la technique.

    Dès 1995, Hackers (cultissime !) illustrait parfaitement l’exploitation du facteur humain dans les attaques informatiques. Dans ce film, une poignée de protagonistes se faisaient passer pour des réparateurs informatiques afin de s’introduire dans le système d’information d’une entreprise. Le réalisateur pourrait exiger des copyrights : en 2013, cette technique d’ingénierie sociale a été utilisée par des cybercriminels se faisant passer pour des membres du support informatique pour infiltrer la banque Barclays et détourner près de 1,25 millions de livres. Et si vous recherchez une définition précise de l’ingénierie sociale, inutile d’ouvrir un dictionnaire, visionnez plutôt Catch Me If You Can, un vrai film de hacker … sans aucune attaque informatique !

    Continuons sur l’importance du facteur humain à Hollywood. En cherchant bien, on peut même trouver un enseignement dans Jurassic Park. En effet, le point de départ de l’intrigue est la désactivation du système de sécurité par un programmeur du parc pour s’emparer d’un échantillon d’ADN et le revendre. Certes, avec moins de dinosaures mais autant d’argent, les exemples d’attaques dont l’origine provient d’un employé malveillant, frustré ou appâté par le gain sont multiples. Maîtriser les comptes à privilèges, n’est-ce pas une des bases de la cybersécurité ?

    En conclusion

    Le hacker reste au cinéma un héros hollywoodien comme un autre : il ne doit pas être proche de la réalité, seulement correspondre à la représentation collective admise. Et il faut du spectacle et du suspense : une intrusion dans un système d’information pour voler des informations est moins distrayante qu’une attaque explosive sur tout Manhattan. Les films sur la cybersécurité respectent les codes du cinéma. Inutile de chercher trop d’enseignement dans ces films, même si certaines situations nous rappellent aujourd’hui clairement que la réalité rattrape la fiction.

    Après le cinéma, c’est désormais au tour de la télévision et des jeux vidéos de sortir leurs blockbusters cybersécurité. Impossible en effet de conclure cet article sans évoquer le phénomène Watchdogs, ou l’arrivée prochaine de la nouvelle série Les Experts-Cyber, qui risque de nous fournir encore quelques belles répliques. « Je vais la distraire. Ping son adresse IP pour la localiser ».