La Marine US sabotée par un ingénieur certifié « conf-def »
La certification d'une entreprise sous-traitante est-elle une garantie d'absolue fiabilité ? La réponse est évidemment « non », et il ne peut exister aucune limite à la suspicion « légitime ». Même le « fortement improbable » est possible. Ainsi cet ingénieur qualifié « confidentiel défense » auprès de la Navy américaine, chargé de maintenir certains ordinateurs de la 6eme flotte basée en Méditerranée. Après une déception professionnelle, cet homme s'est mis à instiller des programmes cachés qui lui auraient permis, à terme, de « faire tomber tout le réseau [...] et rendre aveugle toute la Navy » rapporte Pilote Online. L'attaque n'aurait nécessité que l'accès à 5 machines infectées, mais trois d'entre elles avaient été mises hors service pour des raisons non expliquées par nos confrères américains. L'ingénieur-pirate s'est vu condamné à plus de 35 000 dollars d'amende et de dommages et intérêts, environ un an d'emprisonnement et 3 ans de mise à l'épreuve. Une peine somme toute très légère pour punir un acte de sabotage affectant la défense nationale d'un pays. Ce fait divers prouve à quel point la « confiance » portée aux industriels sous-traitant doit également être prise en compte par les processus d'analyse de sécurité. La « magie technologique » et les mantras récités par des gourous techniques ne sont en aucun cas un gage d'absolue fiabilité. Reste à savoir si l'on peut se passer de cette « magie technologique » et des nouveaux risques qu'elle apporte. Il est peu probable que l'US Navy puisse se passer d'informatique aujourd'hui. Dans d'autres domaines, la remise en cause des fondements du suffrage universel par les machines à voter électronique par exemple, il serait peut-être urgent de se poser ce genre de question, avant qu'il ne soit trop tard.
