vendredi 24 octobre 2014

Pitié.

J'ai suivi les 2ème Rencontres Parlementaires de la Cybersécurité via Twitter (hashtag #RPCyber). Initialement j'avais l'intention de commenter ou de re-tweeter les messages les plus pertinents ; finalement le volume m'a contraint à un billet de blog – format plus adapté à l'argumentation.

Bien que tout le monde se soit largement congratulé (au moins sur Twitter) pour la qualité de cet événement, j'étais de mon côté atterré par la vision "cyber" (comme on dit maintenant) de nos éminences grises. Florilège.

Le cyber, c'est la guerre

Premier constat: le cyber est aux mains des militaires. La première édition se déroulait au siège de la Gendarmerie, la deuxième édition à l'école militaire. Toute la fine fleur des industriels "de confiance" était là (Thales, Airbus ex-Cassidian, Sogeti, …) au côté des amiraux et des députés. Pas de représentants de la société civile, sauf les sponsors.

Quant au contenu des tables rondes: cyber-criminalité, cyber-guerre, cyber-espionnage (dit APT).

Bref, on n'était pas là pour faire de la philosophie comparée entre le Java et le OCaml, mais plutôt pour dézinguer du cyber-terroriste. Ca va filer droit et sécuriser sec. D'ailleurs …

https://twitter.com/echo_radar/status/525294388675903488

Autokiff

Le moins que l'ont puisse dire, c'est que tout le monde est extrêmement satisfait des progrès réalisés. L'ANSSI recrute, la DGA recrute, les lois sont votées, les décrets vont tomber … bref, on est bientôt "secure".

D'ailleurs, personne n'a encore réussi à m'expliquer ce qu'est le "cyber", mais on a déjà voté plus de lois à ce propos que tous les autres pays dans le monde ! Vive la France !
https://twitter.com/DefStrategie/status/525314242648743936
Et puis il y a déjà 7 thèses en cours sur le sujet, bientôt le bout du tunnel …
https://twitter.com/DefStrategie/status/525296121762304000
Il y a même 60% des gens (dans la salle) qui pensent que le niveau de sécurité s'est amélioré en France ces dernières années ! Bon travail, chef.
https://twitter.com/ISSA_France/status/525224359448031232

Et aussi …

Quelques annonces en vrac: l'Etat à décidé de rebondir après la fermeture de Surcouf. Mme Michu aura donc le droit à un CERT dédié pour nettoyer son PC, accélérer son navigateur et sauvegarder dans le Claude souverain.

https://twitter.com/ericfreyss/status/525264594944929792
Et aussi, une réserve opérationnelle.
https://twitter.com/comptoirsecu/status/525308543927595008
Mais à quoi vont servir ces réservistes ? A manger les bénéfices du principal sponsor de la journée – à savoir Microsoft – en allant réinstaller des Active Directory le week-end après une compromission ! (L'un des principaux gagne-pains de la branche "conseil" chez Microsoft)
https://twitter.com/echo_radar/status/525307690147676160

Le meilleur pour la fin

Alors celui là, je ne sais même pas quel commentaire y apporter. Alors que les instances de l'Etat n'arrivent pas à stimuler la production d'un système Android "souverain", ils veulent attaquer frontalement un marché hyper-fragmenté qui se renouvelle tous les 3 mois, dans lequel aucun industriel français n'est impliqué ?
https://twitter.com/AlexArchambault/status/525263148363055104

Mais en réalité …

https://twitter.com/echo_radar/status/525303357242888192
https://twitter.com/echo_radar/status/525301585334009857
https://twitter.com/lsamain/status/525300659827273728

Plus sérieusement

Trêve de plaisanterie, voici mon point de vue sur les thèmes abordés durant cette journée.

La cyberguerre: il sera temps de la faire quand elle arrivera.

Parce que pour le moment c'est un peu comme l'hiver dans Game of Thrones: on en parle beaucoup mais on ne la voit jamais. A côté de ça les problèmes concrets, moins gratifiants, plus durs, mais certainement beaucoup plus impactant, n'avancent pas. Voter une loi pour rendre illégal la possession d'une version Java pas à jour serait certainement bien plus profitable à l'écosystème que pénaliser la possession d'outils de sécurité, comme c'est le cas actuellement. (Vous rigolez peut-être, mais quand on voit les lois qui s'appliquent aux ascenseurs, la proposition n'est pas inimaginable).

La sensibilisation: ça ne marche pas.

Ok, ça peut marcher si vous faites un épisode de Derrick (c'est quoi les trucs à la mode maintenant ?) sur l'usurpation d'identité. Mais un clip de 30 secondes, ça marchera à peu près aussi bien que les clips sur le tabac ou la sécurité routière. Il n'y a que les taxes et les radars qui peuvent forcer les gens à changer. Oh, il faudrait donc probablement infliger une amende aux gens qui vont sur impots.gouv.fr avec une version Java pas à jour (mais pas sur le site de vote des français à l'étranger, qui impose une version de Java antédiluvienne).

La formation: ça ne marche pas.

Certes il y a un effet d'inertie: les jeunes qui rentrent en cyber-formation maintenant ne seront disponibles que dans quelques années. Et encore, que peut-on attendre de quelqu'un qui n'a aucune expérience de terrain ?

Certes il y a un problème de compétences: comment trouver des professeurs pour former (correctement) les jeunes alors qu'il y a trop peu d'experts en sécurité actuellement ? (Qui l'eût cru d'ailleurs ?)

Mais le fond du problème, c'est que "la cyber" n'intéresse personne. Au lieu de se retrouver contractuel dans l'administration ou consultant en SSII/ESN/whatever à réinstaller des postes compromis pendant ses week-ends, le jeune qui maitrise un minimum son sujet va plutôt monter un réseau social ou un site de rencontres (c'est pareil) et le revendre dans la Silicon Valley.

Le peu de gens qui se sont quand même lancés dans la cyber-aventure se sont vite lassés … absence de reconnaissance morale et financière, structures étouffantes, impact nul (refaire le même pentest année après année pour le même client, avec les mêmes résultats ?), absence de perspectives à moyen terme … certains de nos meilleurs experts ont fini dans des trous à rat d'où ils attendent la retraite, les autres sont partis faire autre chose.

Quelques-uns s'acharnent et continuent en freelance (lors de mon dernier pointage, il existait plus de 200 sociétés françaises qui réalisent de la prestation de services en sécurité informatique). Mais la labellisation des prestataires dans tous les domaines, imposée par l'ANSSI, va achever les quelques "anomalies" du secteur. Il ne restera bientôt plus que des mastodontes chez qui personne ne veut aller se vendre.

Pas étonnant que la plupart des sponsors de la journée aient autant de mal à recruter …

Les PME innovantes en cyber-sécurité: ça n'a aucun intérêt.

Il ne sert strictement à rien de continuer à stimuler l'innovation en cyber-sécurité, voire d'imposer des PME dans les achats publics. Une PME qui vit exclusivement d'un produit de sécurité informatique va mourir. Certes on pourra la maintenir sous perfusion un certain temps en forçant les ministères ou les grandes entreprises à payer une soulte, mais que d'argent dépensé en pure perte !

La clé du succès, c'est d'avoir un écosystème informatique performant (éditeurs de logiciels et de services en ligne). La sécurité ne représente que 3% à 5% d'un budget informatique, donc rien (surtout à l'échelle de la France). La stratégie des PME en sécurité informatique est de se diversifier, ou de se faire racheter par un éditeur qui dispose d'une gamme plus large dans laquelle il peut intégrer des outils de sécurité. On peut penser à Mandiant-FireEye, Intel-McAfee ou RSA-EMC.

C'est aussi la tendance en France avec les rachats annoncés ou à venir: il n'y aura bientôt plus de "Pure Player" de la sécurité en dehors des micro-cabinets de consulting. Sauf qu'il n'existe chez nous aucun éditeur logiciel sérieux (à quelques exceptions près, comme Dassault Systèmes – qui a dû se coltiner le rachat d'Exalead du coup).

Le fond du problème, c'est donc le statut du développeur logiciel: grouillot boutonneux en France, star dans la Silicon Valley. Une fois que le logiciel et les services en ligne fonctionneront sans subventions en France, l'intendance suivra.

Et pour cela, il faut que l'informatique trouve la place qu'elle mérite dans les entreprises … et dans le cœur des gens.
https://twitter.com/BoeufNoix/status/525212041284702208

Les problèmes: ils sont devant nous, et personne n'y a encore touché.

J'ai du mal à partager l'optimisme général sur les progrès fabuleux réalisés dans le domaine de la sécurité informatique, sans vouloir minorer le volontarisme de l'Etat.

Vu de l'extérieur de la cyber-bulle, rien n'a changé: les gens se font voler leur mot de passe et parfois même leur identité numérique, les fraudes sont de plus en plus nombreuses, les entreprises se font pirater et racketter en masse (la fraude au président connaît un succès qui ne se dément pas – tout comme les APT), le dépôt de plainte relève du chemin de croix, les enquêtes ne débouchent sur rien, personne n'est responsable de la situation.

Ah si, ce qui a changé c'est le rythme des catastrophes: failles #HeartBleed, Rosetta Flash, #ShellShock et POODLE ; vol de données bancaires en masse dans toutes les enseignes de grande distribution américaines ; piratage des banques américaines (J. P. Morgan et consorts) ; etc.

Bref, la situation est hors de contrôle, et la plupart des entreprises stratégiques continuent à dépendre de feuilles Excel 97. Malgré tous les cyber-séminaires et cyber-thèses consacrés au sujet.

Le cyber: ça n'existe pas.

Pour conclure, je crois qu'il faut arrêter avec le (ou la ? Peut-être The) cyber.

Utiliser un iPhone pour téléphoner à son pote le dealer n'est pas une cyber-attaque.

( Au passage, il me semble pas justifié d'invoquer des lois "anti-terroristes" pour casser les sécurités légitimement mises en place par les fabricants qui veulent protéger leurs utilisateurs du vol, de la perte ou du piratage de leur équipement.

Certes cela serait parfois bien pratique de tout backdoorer. Certes l'apparition de nouveaux moyens de communication pourrait permettre aux Etats d'espionner massivement leurs administrés et de traquer le Crime partout où il se cache. Mais comment faisait-on à l'époque des combinés en bakélite, quand les malfrats téléphonaient depuis une cabine ? On se débrouillait autrement. Et le crime n'était pas plus élevé qu'aujourd'hui.

La technologie ne doit pas servir de paravent à la baisse des crédits et/ou de la motivation de la police à réaliser des filatures et des enquêtes de terrain. Fin de la parenthèse. )

La "cybernétique", c'est la science du gouvernement, devenue la science des systèmes complexes. Un mot déjà désuet à l'époque d'Ampère.

Le reste c'est de la délinquance, de l'espionnage ou de la guerre - pratiqué avec des outils modernes.

Stop the Cyber. Par pitié.