mardi 28 mai 2013

Les lasagnes de M. Pailloux

Note: ceci est la version originale de la tribune que j'ai écrite pour 01net, ce qui explique sa brièveté. Plusieurs personnes ont remarqué que l'article mis en ligne avait été édité et ne correspondait pas à mon style habituel. Félicitations aux fidèles lecteurs ! ;)

Les lasagnes de M. Pailloux

"Patrick Pailloux a regretté que le secteur de la sécurité informatique ne se soit pas créé ses propres labels comme l'alimentaire avait su le faire."
Cette phrase ô combien prémonitoire, on a pu l'entendre lors d'un évènement sécurité qui s'est joué à guichet fermé début février à Paris. Prémonitoire, car à l'époque tout le monde vantait les mérites de la traçabilité mise en place pour parer au scandale précédent: celui de la "vache folle". On ne savait pas encore que 13% des produits alimentaires testés en France contiendraient de la viande frauduleuse …

Dans quel contexte cette phrase a-t-elle été prononcée ? Il s'agissait de savoir si l'ANSSI devait labelliser toujours plus afin de réguler le marché de la sécurité informatique en France (aussi bien celui des logiciels de sécurité que celui des prestations intellectuelles).

Les "labels" délivrés par l'Etat dans le domaine de la sécurité informatique sont déjà multiples: Critères Communs (CC), Certification Sécurité de Premier Niveau (CSPN), Prestataire d'Audit des Systèmes de Sécurité de l'Information (PASSI), sans compter les labels sectoriels comme ceux de l'ARJEL.

Et le moins que l'on puisse dire, c'est que l'expérience n'est pas concluante. Malgré leurs 30 ans d'expérience, les critères communs n'ont jamais réussi à produire de la confiance au-delà des cartes à puce et de quelques implémentations cryptographiques. Certes Windows NT4 est certifié au niveau EAL4+, mais les conditions de validité d'une telle certification sont assez difficiles à obtenir en pratique (à savoir: pas de réseau ni de lecteur de disquette) …

La CSPN, plus "agile" et plus opérationnelle, devait rendre la certification accessible à tous. Las ! Après 5 années d'existence, force est de constater qu'on trouve très peu de produits "utiles" dans la liste à la Prévert publiée par l'ANSSI. Les produits les plus certifiés restent … les outils de signature et les coffres forts logiciels, pour lesquels la demande est soutenue artificiellement par le RGS et l'ARJEL.

Et là encore, le périmètre de certification a son importance. Que penser d'une carte à puce logicielle dont l'hypothèse de mise en œuvre est l'absence de tout code malveillant sur le poste de travail ? D'un logiciel de sécurité qui présente une faille exploitable à distance sans authentification dans un composant impossible à désactiver, mais "hors périmètre" de certification ? Enfin, pourquoi les logiciels développés par l'administration (tels que SecDroid ou TrustedBird) ne font pas eux-mêmes l'objet d'une certification en bonne et due forme ?

Il est vrai que selon le site de l'ANSSI, 53 produits étaient entrés en évaluation au 1er septembre 2011. Depuis, seules 14 certifications ont été délivrées. On aimerait bien savoir où sont passés les autres …
On pourrait également aborder le sujet de la certification PCI/DSS ou celle des centrales nucléaires … mais la vérité, c'est qu'aucun label dans lequel l'audité est partie prenante – que ce soit dans l'alimentaire ou dans l'informatique – ne peut délivrer de résultat objectif. Les seuls labels qui ont de la valeur sont ceux qu'on ne peut acheter.

Un exemple récent ? L'ARJEL vient de retirer son agrément à un site de jeux en ligne. Car les labels décernés par l'ARJEL ne sont pas là pour "réguler" le marché, mais bien pour s'assurer que l'argent des jeux rentre dans les caisses de l'Etat. Et là, ça rigole moins.