vendredi 4 septembre 2009

Message aux lecteurs de DC

Désolé pour ceux qui ne connaissent pas "DC", cela ne devrait toutefois pas les arrêter de lire la suite (j'essaie d'éviter les private jokes autant que possible).

"DC" est de la génération W: il blogue par email. Il a toutefois la courtoisie de ne pas mettre tous ses destinataires en copie ouverte, contrairement à d'autres (ce qui me vaut au passage l'insigne honneur d'avoir mon email publié dans ZF05).

A la lecture de sa dernière lettre, il m'a semblé opportun de dissiper ici les malentendus qu'ont pu engendrer un billet antérieur, interprêté comme une tentative de troll, voire une résurrection de l'analogie éculée entre industrie informatique et industrie automobile (cf. commentaires du susdit billet).

Pourtant mon propos initial était brûlant d'actualité (c'est d'ailleurs le propre d'un blog): il s'agit de l'irruption des Etats dans le domaine de la Sécurité des Systèmes d'Information (Obama en étant le champion).

En effet, jusqu'à présent, on ne peut pas dire que le pouvoir politique ait beaucoup contribué au domaine de la SSI. Aucun homme public n'a signalé (à ma connaissance) s'il était pour ou contre le full disclosure, un sujet qui a pourtant fait circuler beaucoup d'électrons ...

Quant au pouvoir judiciaire, il s'intéresse essentiellement aux crimes et délits "de la vraie vie" ayant parfois un support informatique (vol, chantage, racket, pornographie, etc.). Si vous souhaitez porter plainte pour négligence contre Debian, allez expliquer au juge que vous avez été compromis à cause d'une défaillance dans le générateur d'entropie d'OpenSSL !

L'essentiel de l'action publique visible dans le domaine de la SSI se limite à la certification Critères Communs de quelques systèmes cryptographiques, essentiellement matériels.

Mais l'informatique a un problème de fond, qui s'appelle le COTS.

Car dans tous les domaines numériques, c'est désormais le marché "grand public" qui dicte les choix technologiques. Et les Etats (ce qui inclut l'administration, la police, l'armée, etc.) ne font pas mieux: ils utilisent Windows (ou Linux). Ils ont confiance dans leurs antivirus. Ils utilisent du WiFi, du BlueTooth et du GSM. Ils utilisent BlackBerry. Ils utilisent Internet (voire des Livebox) comme réseau de transport pour les liaisons point à point. Ils ont des sites Web publics (qui ne sont plus éteints la nuit). Même la Chine, qui prétend utiliser son propre système d'exploitation, n'a fait que repackager un FreeBSD.

Bien sûr, il n'y a pas que les Etats qui sont dans cette situation. Toutes les industries, y compris les plus critiques, reposent sur des réseaux Windows (plus ou moins) connectés à Internet. Je ne suis pas spécialiste SCADA, mais je connais un peu le réseau inter-aéroportuaire SITA. Ainsi que le grand usage d'Excel (et de ses macros) dans les banques.

Compte-tenu du coût, de la pauvreté de l'offre de solutions (sérieuses), et de la technicité requise pour assurer un bon niveau de sécurité dans un réseau de technologies COTS, il n'y aucune raison pour que "ce soit mieux ailleurs".

Après tous, un botnet de quelques milliers de machines arrive à éteindre Facebook (on notera là encore l'effet de levier du grand public sur l'informatique professionnelle). Or c'est à la portée de n'importe quel lycéen. Et il n'y a aucune raison pour que impots.gouv.fr soit mieux protégé contre les DDoS que Facebook.

Dans ces conditions, il est évident que la SSI est devenue un enjeu majeur pour les Etats. Mais là, plutôt que de légiférer (intelligement) sur le sujet (une fonction régalienne assez pratique), il semble que la politique actuelle soit plutôt ... de commencer à jouer sur le terrain technique de la SSI !

Il est vrai que voter des lois nationales pour les appliquer à un réseau international (et de fait contrôlé par les acteurs américains du domaine: Microsoft, Cisco, Google, VeriSign, etc.) semble voué à l'échec, sauf à construire un Internet français. Malheureusement, la Chine a été trop critiquée sur le sujet pour qu'on puisse ouvertement mettre en place les mêmes solutions chez nous.

Mais de là à espérer résoudre le problème par une contre-attaque technique ... cela suppose que l'Etat soit le plus fort dans le domaine, ce qui est loin d'être prouvé compte-tenu de la nature asymétrique des menaces numériques: les COTS sont tellement fragiles qu'un petit groupe organisé peut causer des dégâts considérables.

Quelques exemples d'actualité, dans lesquels l'Etat assume la responsabilité de logiciels COTS oeuvrant dans le domaine de la sécurité:
  • Les "mouchards numériques" imaginés dans LOPPSI 2. Si le mouchard est logiciel, une confrontation inévitable va s'en suivre avec les éditeurs antivirus (et assimilés). Il n'est pas sûr que l'Etat arrive à développer des backdoors indétectables sur le long terme par tous les outils de contrôle d'intégrité du marché.
  • La détection des téléchargements illégaux dans le cadre de la loi HADOPI. La collecte et le traitement des données ont été confiés à une société privée. Quelles conséquences si cette base de données (voire le système en amont chez les FAI) est compromise ?
  • La CSPN. Ce qui au départ devait être une certification administrative de type Critères Communs (tous ceux qui se présentent finissent par l'avoir ... tôt ou tard !) se transforme ni plus ni moins en une collecte de failles d'implémentation dans des produits COTS (un ZDI-like français ? Mais que va faire VUPEN !). Je ne peux pas croire que seuls 3 produits se soient présentés depuis la création de cette certification: l'Etat doit donc disposer d'un sacré stock de "0day" :) Car par expérience: "tout produit qui n'est pas un produit de sécurité, et qui n'a pas été conçu par des gens de la sécurité, est truffé de failles de sécurité" ...
  • L'ANR SEC&SI. Ou comment essayer de régler le problème des malwares sur Internet en proposant à Mme Michu un système ultra-sécurisé, permettant de lire son mail, d'ouvrir des documents (Open)Office et de surfer sur Internet en toute confiance. C'est une lourde responsabilité pour l'éditeur d'une telle solution, comme en ont fait les frais les Chinois avec leur logiciel de filtrage Green Dam. La mission n'est pas totalement impossible, si on oublie tout critère d'ergonomie et de convivialité (laissez tomber Flash) ... mais Windows Seven n'est-il pas déjà assez sécurisé pour ce qu'on fait sur Internet ? ;)
Tous ces projets ont en commun d'impliquer l'Etat à très bas niveau (technique) dans le domaine des technologies "grand public". Imagine-t-on un jour un produit antivirus certifié CSPN et recommandé sur le site de l'ANSSI ? Même si l'objet de la CSPN est différent, on sait ce qui est arrivé à tous les gens qui ont annoncé être unbreakable.

Je ne parlerai pas des projets de cyber-guerre, qui impliquent de doter les services de l'Etat de capacités offensives. Un gradé américain avait quand même proposé que tout bon patriote installe le bot officiel du gouvernement américain sur son poste, pour donner à son pays la capacité de lancer des DDoS ! La sécurité des COTS est dans un état tellement lamentable que l'attaque est plusieurs ordres de magnitude plus facile que la défense, la cyber-guerre devrait donc réussir.

Le vrai problème, et ce sera ma conclusion pour aujourd'hui, ne sont pas les mérites respectifs de l'industrie automobile et de l'industrie informatique. Le vrai problème, c'est que l'Etat semble désormais décidé à vouloir faire régner l'ordre numérique, et choisit pour cela d'oeuvrer dans les domaines techniques de la SSI. Mais s'il est possible de rentrer dans la police sans aucun diplôme, il n'est pas 1% des élèves issus des écoles d'informatique qui n'aient le hacker mind (les autres voulant pour la plupart devenir chef de projet Java ou PHP).

Il reste donc à savoir si l'Etat a les moyens de ses ambitions. Or si le peu de gens brillants et motivés qui restent quittent le pays pour trouver beaucoup mieux ailleurs, comme mon précédent billet s'en faisait l'écho, cela ne me semble pas de bon augure.

On m'objecte souvent que la majorité des excellents professionnels qui oeuvrent en France sont totalement invisibles. Ce qui est probablement exact, car j'ai déjà rencontré des gens dont le nom n'apparait pas une seule fois dans Google et dont les compétences ne peuvent pas être mises en doute. Mais alors, à quoi sont utilisées ces compétences ?

PS. Je ne rentrerai pas dans le débat sur les causes de l'échec de Multics, dont il est aussi question dans le message de "DC" :)

8 commentaires:

Fred a dit…

L'état français n'a pas pour ambition de résoudre tous les problèmes de sécurité de lui même. Les différents projets que tu cites (CSPN, SEC&SI) et bien d'autres encore ont une ambition clairement établie : faire monter en compétence, dans le domaine de la sécurité, les industriels français (grosses boites, PME, labo, etc.).

Cette tentative de faire prendre conscience des enjeux en termes de sécurité est peut être vaine, mais elle a au moins le mérite d'exister, là où le marché n'est pas capable de monter en compétence de lui même.

Anonyme a dit…

Mais qui est DC ??

Anonyme a dit…

j'ai déjà rencontré des gens dont le nom n'apparait pas une seule fois dans Google et dont les compétences ne peuvent pas être mises en doute. Mais alors, à quoi sont utilisées ces compétences ?

quote added successfully

newsoft a dit…

@Fred: tes informations sont-elles fiables ?

Car ce ne sont pas les sociétés qui montent en compétence, mais les individus (si le projet n'est pas une escroquerie à la base, bien sûr).

Et les individus vraiment compétents ont plutôt tendance à partir ailleurs plutôt que de se mettre au service de l'Etat (qui ne demande rien d'ailleurs). Comme Alain Juillet par exemple !

jpgaulier a dit…

Rah. Lopsi 2 = Lopssi. Arrêtez avec ces P. Et puis vive Marvel. Enfin Disney.

newsoft a dit…

@jpg: "LOPPSI 2" = ceinture et bretelles :)

mr potatoe a dit…

Non seulement le marche grand public dicte sa loi aux "pro" mais en plus il s'invite dans les entretiens de recrutement ( pr8v8 joke lol ).

Sinon avant de vouloir balayer devant la porte des autres ils (les mecs qui pensent a securiser les grands de ce monde) devraient balayer devant la leur.

Au hazard je travaille dans une administration qui utilise encore NT4 (ben ouais les caisses de l'etat sont vide :) ) , le reseaux se fait pilonner tous les jours et tous les jours on refait la meme installe de la meme merde :/

Si quelqu'un a des argument plus que choc pour les faire evoluer (les admins carte perforees ).

Anonyme a dit…

Ca me rend fou, j'ai rien compris mais j'ai tenté de lire au moins une dizaine d'articles. Je comprend rien mais ca a l'air passionnant, je t'ai mis dans mes favoris et reviendrais pour essayer de déchiffrer tout ca. En attendant, vais me reposer. Bonne continuation.