San Francisco (Californie) - France USA Media

L’affaire de Google victime d’une intrusion informatique vient de remettre le sujet de l’espionnage économique sur le devant de la scène. Si on a beaucoup écrit que les pirates chinois cherchaient à lire les emails de défenseurs des droits de l’homme, il est presque certain qu’ils ont aussi dérobé des informations relevant de la propriété intellectuelle du moteur de recherche, la « sauce secrète » qui fait son succès. Mais ne comptez pas sur Google pour révéler publiquement la nature de ses pertes.

Les entreprises victimes d’espionnage n’aiment pas étaler leur problème au grand jour. « Mes 20 ans d’expérience m’ont montré que la plus grande faiblesse des sociétés face à l’espionnage économique était la culture des conseils d’administration », affirme Richard Power. Cet expert en sécurité devrait savoir. Il a été directeur éditorial au Computer Security Institute, a mis sur pied un département dédié à la sécurité chez Deloitte et il est aujourd’hui membre de CyLab, un institut de recherche dédié à la cyber sécurité à l’université Carnegie Mellon. Pour compléter ce CV, il est aussi co-auteur avec un ancien membre de la CIA de « Secrets Stolen, Fortunes Lost: Preventing Economic Espionage & Intellectual Property Theft in the 21st Century ».

“Au plus haut niveau des entreprises, on ne prend pas la sécurité au sérieux. Les dirigeants préfèrent penser que ça n’arrive que dans les films. Ils sont uniquement guidés par le profit à court terme », explique Richard Power. « Pour les mêmes raisons, on ne peut pas mesurer les pertes car ils n’ont pas envie de faire l’addition. » Aucun chiffre - on avance souvent une perte annuelle de 250 milliards de dollars causée par le vol de secrets de fabrication  - n’est fiable. Entre autre parce qu’il est difficile de calculer le manque à gagner associé à un code source volé.

Signe des temps, les espions opèrent aujourd’hui au cœur des systèmes informatiques grâce à des malwares qui ramènent à leurs auteurs des informations sensibles. « Pourquoi prendre le risque d’utiliser quelqu’un en interne quand on peut récupérer l’information assis devant un ordinateur dans un autre pays ? », avance Richard Power. « Quand l’entreprise réalise ce qui s’est passé, c’est trop tard. Même si on réussit à condamner quelqu’un, cela ne change rien. »

Les experts en sécurité attirent l’attention sur la vulnérabilité de nombreux logiciels commerciaux, y compris ceux de Microsoft dont le navigateur Internet Explorer est soupçonné d’avoir permis l’attaque contre Google. « Les systèmes financiers sont aujourd’hui moins sécurisés qu’il y a dix ans parce qu’ils utilisent des logiciels commerciaux qui sont vulnérables aux attaques. Les écoles n’enseignent pas sérieusement la sécurité aux développeurs », explique Richard Power. « Nous devons repenser la sécurité autrement. Il n’y a plus d’architecture et de porte. »

Les gouvernements se mobilisent

« On compte 13 pays dans le monde qui pratiquent l’espionnage économique même si aucun ne l’avoue. Il y a plusieurs cas de figures, nations contre nations, nations contre entreprises, entreprises contre nations, mercenaires, employés motivés par l’argent ou l’avancement », décrit l’expert en sécurité. « Avec la globalisation, les choses deviennent plus complexes. Si une firme de consultant occidentale fusionne avec une agence chinoise pour travailler ensemble en Asie, où sont les murs qui protègent les données ? Car il y a des chances que l’agence ait des liens avec l’état chinois et puisse compromettre des informations. »

En 1996, les Etats-Unis se sont dotés d’un Economic Espionnage Act pour poursuivre ces actes contre les intérêts commerciaux américains. Mais 14 ans plus tard, rares sont les cas de condamnations. « La cyber sécurité avait beaucoup d’élan dans le gouvernement Clinton et le Economic Espionage Act était puissant. Mais après le 11 septembre, nos priorités ont changé. Dans le monde de la sécurité, on parle de la décennie perdue », avoue Richard Power.

Les experts estiment que la sécurité, y compris la protection des intérêts commerciaux, est aujourd’hui une priorité du gouvernement américain et d’autres états comme l’Allemagne et la Russie. Aux Etats-Unis, la nomination d’un cyber czar, Howard Schmidt, en décembre dernier est un signe dans la bonne direction même si la coordination des différentes agences ne sera pas chose facile.