Si un grand nombre de personnalités et d’acteurs de l’économie numérique se  sont réjouis de la fermeture du site Megaupload, personne ne s’attendait sans  doute à la réaction virulente des Anonymous et de leur opération #OPMegaUpload.

Mais Jérémy d’Hoinne, Directeur produits chez NETASQ , acteur de référence sur le marché de la sécurité informatique , s’interroge « cette fermeture rend elle le monde plus sûr pour autant ? Avons-nous oublié Bittorrent, Kazaa, Edonkey, et tous les autres ? ».

Doit-on craindre les foudres d’Anonymous à grande échelle ? La fermeture de Megaupload va-t-elle freiner le piratage ou l’accentuer ?

Voici déjà quelques éléments de réponse :

Pour lui la réponse est évidement négative puisque les solutions de remplacement sont légions et la « communauté » est déjà passée à autre chose.

On peut donc légitimement s’interroger sur ces stratégies de défense. En effet, pour un site fermé, plusieurs prennent le relais immédiatement.

Au-delà de cette bataille qui semble perdue d’avance, Jérémy d’Hoinne propose de tirer quelques leçons de cette cyber-guerre :

A problème humain, solution humaine

Aucune fermeture de site ne fera changer l’opinion des personnes qui piratent « culturellement », car ils n’acceptent tout simplement pas de payer le prix proposé. Installer un brouilleur dans une salle de classe, en plus d’être illégal, n’empêchera pas un adolescent d’être inattentif en cours. De la même manière, mettre en place un filtrage URL ou bloquer Facebook ne suffira pas à rendre un employé plus productif.

Évidemment, il existe des solutions techniques pour limiter le risque de téléchargement illégal depuis le réseau d’entreprise. Mais si la politique de sécurité s’appuie uniquement sur cette répression à grand renfort de solutions techniques, l’échec est fatalement au bout du chemin. Pire, la tâche au jour le jour sera plus difficile, car il faudra sans cesse lutter contre les nouvelles techniques de contournement des employés. La signature d’une charte, est un préalable nécessaire. L’explication répétée des enjeux est indispensable.

« Les policiers seront-ils plus forts que les voleurs ? »

Cette formule, emprunté à Stephane Soumier qui commentait l’information dans son émission matinale, pousse à réfléchir. Pour faire tomber de nombreux sites, les Anonymous utilisent un outil simple, mais efficace, nommé LOIC. Il suffit de rallier suffisamment d’âmes et de bande passante à la « cause » pour pouvoir saturer le serveur attaqué. Malheureusement, la plupart des recrues ne mesurent pas la peine qu’ils encourent à s’associer à cette démarche. Devant cette facilité à nuire, il est facile de se sentir impuissant. Il est sûr que cette bataille est déséquilibrée, tant la notion de retour sur investissement est étrangère aux personnes qui attaquent, alors qu’elle est un souci quotidien dans le choix des protections. Devant ce défi, il faut constamment élargir le périmètre de la sécurité aux domaines très sensibles de la continuité d’activité et de la gestion de risque.

Risque = danger + effroi

Les auteurs du livre Freakonomics se sont intéressés, parmi une foule de sujet, à la définition du risque. Dans leur interview avec un consultant en risque, ce dernier leur explique cette notion par la somme du danger (réel) et de l’effroi (la peur que l’évocation du risque génère). Cette affaire Megaupload ainsi que la riposte des Anonymous en est un bon exemple. Le danger est réel, même s’il est limité sur le long terme. Par contre, l’effroi est immense. La simple évocation d’un groupe d’anarchistes, capables d’éteindre Internet, donne des sueurs froides à de nombreux responsables d’entreprises.