EDR, Sécurité, Surveillance – 02/06/2024

Et voilà, je suis encore énervé… Il y a quelques jours, je suis tombé sur une discussion sur la mise en place d’EDR dans les labos de recherche. Ça avait failli me tomber dessus à une époque…

D’après Wikipedia, un Endpoint detection and response (EDR) désigne une technologie logicielle émergente de détection des menaces de sécurité informatique sur les équipements numériques (ordinateurs, serveurs, tablettes, objets connectés, etc.). Les EDR sont une évolution de l’antivirus, de l’IDS et du pare-feu. Le terme « endpoint » désigne communément les serveurs, ordinateurs personnels et telephones mobiles d’entreprise. Ce sont donc des logiciels de sécurité, assez intrusifs (au sens où ils analysent beaucoup d’éléments), et qui s’exécutent côté poste utilisateur.

Et là, sans crier gare, par une incroyable coïncidence totalement imprévisible, on en arriverait à ça (extrait de cette présentation mentionnée dans le fil) :

Les “comportements malveillants” détectés par l’EDR sont donc :

• des personnes qui jouent
• des scripts internes type “faire bouger la souris automatiquement”
• des outils d’accès à distance a priori légitimes ici
• des ajouts de comptes, des captures réseaux, bref, des opération d’admin/troubleshoot a priori légitimes également ici

On en est au point où, déjà, une telle liste peut paraître positive (youhou on a détecté des trucs, sans intérêt certes, mais on a vu des trucs donc ça marche [sic]). Mais, surtout :

• On a clairement augmenté le niveau d’espionnage de l’usage des postes de travail (détection de type d’appli, détection de fausse activité) sous couvert de sécurité
• On s’autorise à traiter ces usages, qui ont plus à voir avec des pratiques de (non-)travail que d’attaque, de malveillants

Et voilà, sous couvert d’annoncer protéger des secrets stratégiques des cyber-villains du pays de votre choix, on se satisfait en fait d’espionner (et restreindre) l’intimité et les usages des utilisateurices (employés qui, ici, ne sont pas des attaquants internes).

Évidemment, rien de réellement surprenant. C’est un mouvement de fond, et je râlais même déjà en 2017. La sécurité était un mouvement alter, elle est devenue un outil au service de la surveillance. La sécurité dans le monde physique est depuis longtemps (toujours ?) associée à un certain niveau de surveillance, bien avant déjà que l’on parle de vidéo-surveillance par exemple. Une dose de surveillance semble inévitable (?) pour cette sécurité du monde physique, sans (du tout) défendre la surenchère actuelle de caméras et de traitements automatisés ensuite.

Cependant, le monde numérique a pris une telle place dans nos échanges qu’il est indispensable de s’émouvoir de cette surveillance encore accrue (les EDR ici, mais aussi Chatcontrol ou le futur Recall de Microsoft). L’espionnage de notre intimité numérique, vue la place du numérique dans nos vies, a un impact majeur sur nos activités, nos décisions, ce que nous nous autorisons à faire ou investiguer. Il y a toujours eu des comportements hors des clous, sciemment ou pas, et leur détection était soit coûteuse soit irréaliste. Là, on réduit le coût de quelques ordres de grandeur.

Sur un terrain plus personnel, c’est le genre “d’avancées en matière de sécurité” qui m’ont fait comprendre que mes valeurs étaient du côté du libre/des communs et non de la sécurité numérique en général, qui en grande partie n’a de cesse de pousser des mécanismes de surveillance sous couvert d’ajouter de l’observabilité (motivation légitime, mais impactante). Leurs valeurs convergeaient relativement à une époque, ce n’est plus le cas aujourd’hui. Le libre a également des problématiques et des propositions en matière de sécurité, mais qui sont intrinsèquement assez incompatibles avec l’augmentation du niveau de surveillance : c’est un bien meilleur terrain ;).

Pour en discuter sur le fediverse, c’est ici.