Désolé pour ceux qui ne connaissent pas "DC", cela ne devrait toutefois pas les arrêter de lire la suite (j'essaie d'éviter les private jokes autant que possible).
"DC" est de la
génération W: il blogue par email. Il a toutefois la courtoisie de ne pas mettre tous ses destinataires en copie ouverte, contrairement à
d'autres (ce qui me vaut au passage l'insigne honneur d'avoir mon email publié dans
ZF05).
A la lecture de sa dernière lettre, il m'a semblé opportun de dissiper ici les malentendus qu'ont pu engendrer un
billet antérieur, interprêté comme une tentative de
troll, voire une résurrection de l'analogie éculée entre industrie informatique et industrie automobile (cf. commentaires du susdit billet).
Pourtant mon propos initial était brûlant d'actualité (c'est d'ailleurs le propre d'un blog): il s'agit de l'irruption des Etats dans le domaine de la Sécurité des Systèmes d'Information (
Obama en étant le champion).
En effet, jusqu'à présent, on ne peut pas dire que le pouvoir politique ait beaucoup contribué au domaine de la SSI. Aucun homme public n'a signalé (à ma connaissance) s'il était pour ou contre le
full disclosure, un sujet qui a pourtant fait circuler beaucoup d'électrons ...
Quant au pouvoir judiciaire, il s'intéresse essentiellement aux crimes et délits "de la vraie vie" ayant parfois un support informatique (vol, chantage, racket, pornographie, etc.). Si vous souhaitez porter plainte pour négligence contre
Debian, allez expliquer au juge que vous avez été compromis à cause d'une défaillance dans le
générateur d'entropie d'OpenSSL !
L'essentiel de l'action publique visible dans le domaine de la SSI se limite à la certification
Critères Communs de quelques systèmes cryptographiques, essentiellement matériels.
Mais l'informatique a un problème de fond, qui s'appelle le
COTS.
Car dans tous les domaines numériques, c'est désormais le marché "grand public" qui dicte les choix technologiques. Et les Etats (ce qui inclut l'administration, la police, l'armée, etc.) ne font pas mieux: ils utilisent Windows (ou
Linux). Ils ont confiance dans leurs antivirus. Ils utilisent du WiFi, du BlueTooth et du GSM. Ils utilisent
BlackBerry. Ils utilisent Internet (voire des Livebox) comme réseau de transport pour les liaisons point à point. Ils ont des sites Web publics (qui ne sont plus éteints la nuit). Même la Chine, qui prétend utiliser
son propre système d'exploitation, n'a fait que
repackager un FreeBSD.
Bien sûr, il n'y a pas que les Etats qui sont dans cette situation. Toutes les industries, y compris les plus critiques, reposent sur des réseaux Windows (plus ou moins) connectés à Internet. Je ne suis pas spécialiste SCADA, mais je connais un peu le réseau inter-aéroportuaire
SITA. Ainsi que le grand usage d'Excel (et de ses macros) dans les banques.
Compte-tenu du coût, de la pauvreté de l'offre de solutions (sérieuses), et de la technicité requise pour assurer un bon niveau de sécurité dans un réseau de technologies COTS, il n'y aucune raison pour que "ce soit mieux ailleurs".
Après tous, un
botnet de quelques milliers de machines arrive à
éteindre Facebook (on notera là encore l'effet de levier du grand public sur l'informatique professionnelle). Or c'est à la portée de n'importe quel
lycéen. Et il n'y a aucune raison pour que
impots.gouv.fr soit mieux
protégé contre les DDoS que Facebook.
Dans ces conditions, il est évident que la SSI est devenue un enjeu majeur pour les Etats. Mais là, plutôt que de légiférer (intelligement) sur le sujet (une fonction régalienne assez pratique), il semble que la politique actuelle soit plutôt ... de commencer à jouer sur le terrain technique de la SSI !
Il est vrai que voter des lois nationales pour les appliquer à un réseau international (et de fait contrôlé par les acteurs américains du domaine: Microsoft, Cisco, Google, VeriSign, etc.) semble voué à l'échec, sauf à construire un Internet français. Malheureusement, la Chine a été trop critiquée sur le sujet pour qu'on puisse ouvertement mettre en place les mêmes solutions chez nous.
Mais de là à espérer résoudre le problème par une contre-attaque technique ... cela suppose que l'Etat soit le plus fort dans le domaine, ce qui est loin d'être prouvé compte-tenu de la nature asymétrique des menaces numériques: les COTS sont tellement fragiles qu'un petit groupe organisé peut causer des dégâts considérables.
Quelques exemples d'actualité, dans lesquels l'Etat assume la responsabilité de logiciels COTS oeuvrant dans le domaine de la sécurité:
- Les "mouchards numériques" imaginés dans LOPPSI 2. Si le mouchard est logiciel, une confrontation inévitable va s'en suivre avec les éditeurs antivirus (et assimilés). Il n'est pas sûr que l'Etat arrive à développer des backdoors indétectables sur le long terme par tous les outils de contrôle d'intégrité du marché.
- La détection des téléchargements illégaux dans le cadre de la loi HADOPI. La collecte et le traitement des données ont été confiés à une société privée. Quelles conséquences si cette base de données (voire le système en amont chez les FAI) est compromise ?
- La CSPN. Ce qui au départ devait être une certification administrative de type Critères Communs (tous ceux qui se présentent finissent par l'avoir ... tôt ou tard !) se transforme ni plus ni moins en une collecte de failles d'implémentation dans des produits COTS (un ZDI-like français ? Mais que va faire VUPEN !). Je ne peux pas croire que seuls 3 produits se soient présentés depuis la création de cette certification: l'Etat doit donc disposer d'un sacré stock de "0day" :) Car par expérience: "tout produit qui n'est pas un produit de sécurité, et qui n'a pas été conçu par des gens de la sécurité, est truffé de failles de sécurité" ...
- L'ANR SEC&SI. Ou comment essayer de régler le problème des malwares sur Internet en proposant à Mme Michu un système ultra-sécurisé, permettant de lire son mail, d'ouvrir des documents (Open)Office et de surfer sur Internet en toute confiance. C'est une lourde responsabilité pour l'éditeur d'une telle solution, comme en ont fait les frais les Chinois avec leur logiciel de filtrage Green Dam. La mission n'est pas totalement impossible, si on oublie tout critère d'ergonomie et de convivialité (laissez tomber Flash) ... mais Windows Seven n'est-il pas déjà assez sécurisé pour ce qu'on fait sur Internet ? ;)
Tous ces projets ont en commun d'impliquer l'Etat à très bas niveau (technique) dans le domaine des technologies "grand public". Imagine-t-on un jour un produit antivirus certifié CSPN et recommandé sur le site de l'
ANSSI ? Même si l'objet de la CSPN est différent, on sait ce qui est arrivé à tous les gens qui ont annoncé être
unbreakable.
Je ne parlerai pas des projets de cyber-guerre, qui impliquent de doter les services de l'Etat de capacités
offensives. Un gradé américain avait
quand même proposé que tout bon patriote installe le
bot officiel du gouvernement américain sur son poste, pour donner à son pays la capacité de lancer des DDoS ! La sécurité des COTS est dans un état tellement lamentable que l'attaque est plusieurs ordres de magnitude plus facile que la défense, la cyber-guerre devrait donc réussir.
Le vrai problème, et ce sera ma conclusion pour aujourd'hui, ne sont pas les mérites respectifs de l'industrie automobile et de l'industrie informatique. Le vrai problème, c'est que l'Etat semble désormais décidé à vouloir faire régner l'ordre numérique, et choisit pour cela d'oeuvrer dans les domaines techniques de la SSI. Mais s'il est possible de rentrer dans la police
sans aucun diplôme, il n'est pas 1% des élèves issus des écoles d'informatique qui n'aient le
hacker mind (les autres voulant pour la plupart devenir chef de projet Java ou PHP).
Il reste donc à savoir si l'Etat a les moyens de ses ambitions. Or si le peu de gens brillants et motivés qui restent quittent le pays pour trouver beaucoup mieux ailleurs, comme
mon précédent billet s'en faisait l'écho, cela ne me semble pas de bon augure.
On m'objecte souvent que la majorité des excellents professionnels qui oeuvrent en France sont totalement invisibles. Ce qui est probablement exact, car j'ai déjà rencontré des gens dont le nom n'apparait pas une seule fois dans Google et dont les compétences ne peuvent pas être mises en doute. Mais alors, à quoi sont utilisées ces compétences ?
PS. Je ne rentrerai pas dans le débat sur les causes de l'échec de Multics, dont il est aussi question dans le message de "DC" :)