Les lasagnes de M. Pailloux
Note: ceci est la version originale de la tribune que j'ai écrite pour 01net, ce qui explique sa brièveté. Plusieurs personnes ont remarqué que l'article mis en ligne avait été édité et ne correspondait pas à mon style habituel. Félicitations aux fidèles lecteurs ! ;)
Les lasagnes de M. Pailloux
"Patrick Pailloux a regretté que le secteur de la sécurité informatique ne se soit pas créé ses propres labels comme l'alimentaire avait su le faire."
Cette phrase ô combien prémonitoire, on a pu l'entendre lors
d'un évènement sécurité qui s'est joué à guichet fermé début février à Paris.
Prémonitoire, car à l'époque tout le monde vantait les mérites de la
traçabilité mise en place pour parer au scandale précédent: celui de la
"vache folle". On ne savait pas encore que 13% des produits
alimentaires testés en France contiendraient de la viande frauduleuse …
Dans quel contexte cette phrase a-t-elle été prononcée ? Il
s'agissait de savoir si l'ANSSI devait labelliser toujours plus afin de réguler
le marché de la sécurité informatique en France (aussi bien celui des logiciels
de sécurité que celui des prestations intellectuelles).
Les "labels" délivrés par l'Etat dans le domaine
de la sécurité informatique sont déjà multiples: Critères Communs (CC),
Certification Sécurité de Premier Niveau (CSPN), Prestataire d'Audit des
Systèmes de Sécurité de l'Information (PASSI), sans compter les labels
sectoriels comme ceux de l'ARJEL.
Et le moins que l'on puisse dire, c'est que l'expérience
n'est pas concluante. Malgré leurs 30 ans d'expérience, les critères communs
n'ont jamais réussi à produire de la confiance au-delà des cartes à puce et de
quelques implémentations cryptographiques. Certes Windows NT4 est certifié au
niveau EAL4+, mais les conditions de validité d'une telle certification sont
assez difficiles à obtenir en pratique (à savoir: pas de réseau ni de lecteur
de disquette) …
La CSPN, plus "agile" et plus opérationnelle,
devait rendre la certification accessible à tous. Las ! Après 5 années
d'existence, force est de constater qu'on trouve très peu de produits
"utiles" dans la liste à la Prévert publiée par l'ANSSI.
Les produits les plus certifiés restent … les outils de signature et les
coffres forts logiciels, pour lesquels la demande est soutenue artificiellement
par le RGS et l'ARJEL.
Et là encore, le périmètre de certification a son
importance. Que penser d'une carte à puce logicielle dont l'hypothèse de mise
en œuvre est l'absence de tout code malveillant sur le poste de travail ? D'un
logiciel de sécurité qui présente une faille exploitable à distance sans
authentification dans un composant impossible à désactiver, mais "hors
périmètre" de certification ? Enfin, pourquoi les logiciels développés par
l'administration (tels que SecDroid ou TrustedBird) ne font
pas eux-mêmes l'objet d'une certification en bonne et due forme ?
Il est vrai que selon le site de l'ANSSI, 53 produits
étaient entrés en évaluation au 1er septembre 2011. Depuis, seules
14 certifications ont été délivrées. On aimerait bien savoir où sont passés les
autres …
On pourrait également aborder le sujet de la certification
PCI/DSS ou celle des centrales nucléaires … mais la vérité, c'est qu'aucun
label dans lequel l'audité est partie prenante – que ce soit dans l'alimentaire
ou dans l'informatique – ne peut délivrer de résultat objectif. Les seuls
labels qui ont de la valeur sont ceux qu'on ne peut acheter.
Un exemple récent ? L'ARJEL vient de retirer son agrément à
un site de jeux en ligne.
Car les labels décernés par l'ARJEL ne sont pas là pour "réguler" le
marché, mais bien pour s'assurer que l'argent des jeux rentre dans les caisses
de l'Etat. Et là, ça rigole moins.
3 commentaires:
La différence entre le nombre de produits entrés dans le processus de certification et les produits effectivement certifiés correspond peut-être à des produits d'origine chinoise !
Par exemple Huawei, malgré tout ses efforts (même si c'est difficile d'obtenir des informations de la part des développeurs chinois) n'a jamais réussit à certifier un seul produit.
Faux, Huawei a bien fait certifier CC des produits comme ses eNodeB et M2000, mais pas en France (par un labo espagnol smmeb)
Pour SecDroid, la réponse est simple : il est mort et bientôt enterré.
TrustedBird bouge encore mis pour combien de temps ?
Sur le fond, tout label "auto-décerné" est une farce, car il n'y a pas de tiers de confiance dans le processus. Il me semble cependant que l'ISSA a tenté une expérience de ce type aux US.
Enregistrer un commentaire