Le monde que nous leur laisserons

Avons-nous encore raison d’être natalistes ?

L’invité du club

Hervé Le Bras

Démographe, Hervé Le Bras est intervenu, mardi 21 février, sur le thème : Démographie : changement de donne

Points clés

Pourquoi ?

Patrimoines en danger

En finir avec "l'économie de la triche"

La nécessaire éthique du libéralisme

Rompre avec un enseignement trop orthodoxe

Cyberguerre, le retard français

Les enjeux du Grand Paris

Où vont les entreprises ?

Faire fructifier le capital humain

Pour en finir avec le "Too Big to Fail"

En finir avec le scandale de la faim dans le monde

Reprofessionnaliser pour lutter contre le mal-être au travail

Renforcer la culture du risque en France

Vigilance et simplexité : servir de catalyseur à l'action

Pénaliser les rémunérations indécentes

Valoriser les potentiels plutôt que compenser les échecs

Attaquer le cancer des paradis fiscaux

Promouvoir le désarmement nucléaire

Favoriser la multiappartenance

Mobiliser l'Eglise catholique

En finir avec le mal logement

Immuniser les dépôts bancaires

Commentaires récents

Catégories

Archives

RSS Le blog IE des Echos

Cyberguerre, le retard français

9 septembre 2011 7:56 Eric Filiol Economie, Société, Technologie

Post to Twitter Publier sur Twitter Post to Facebook Publier sur Facebook Post to LinkedIn Publier sur LinkedIn

Aujourd’hui l’informatique est partout et les systèmes qui contrôlent nos moindres faits et gestes omniprésents. L’explosion des réseaux ne concerne plus seulement les ordinateurs.

Elle touche à tous les aspects de la vie comme les « objets » embarqués dans nos poches et demain probablement – les industriels y travaillent déjà – les appareils médicaux embarqués communicants comme par exemple le pacemaker connectable à Internet.

C’est une mutation sans précédent. La société numérique est en marche et nul retour en arrière n’est possible ni même envisageable. La sécurité des infrastructures pose de ce fait un défi majeur. Tant pour les Etats et les administrations que pour les entreprises. D’autant que, quoiqu’en disent les décideurs, en particulier en France, les spécialistes en sécurité sont devenus une denrée rare et courtisés au niveau mondial. Le retard de notre pays dans ce domaine est patent.

Prenons le secteur hautement stratégique qu’est la Défense du pays. Les besoins sont estimés à 250 ingénieurs par an pendant 5 ans rien que pour le Ministère de la Défense, et l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). 1 250 spécialistes, c’est bien plus que la capacité actuelle de formation de l’ensemble des écoles d’informatique ! Or, cette situation de pénurie ne va pas s’améliorer pour au moins deux raisons. La première tient à ce que d’autres ministères, notamment le Ministère de la Santé, mais aussi des entreprises commencent à prendre sérieusement conscience de l’enjeu de la sécurité informatique. La seconde à l’intrusion des grandes sociétés américaines, telles que Google, Apple…, qui commencent à chasser et à piller des sociétés – on peut citer HSC Consulting ou Sogeti – incapables de rivaliser avec les salaires proposés. D’où une hémorragie inquiétante de ressources rares et tout cela dans un environnement où les attaques vont croissant et gagnent en sophistication. C’est le cas, en particulier, depuis la fin de l’année 2009. Elles ont visé des Etats (Estonie, Zimbabwe, Iran, France…), des organismes supranationaux (OTAN, Communauté Européenne, organisation du G-20…), des sociétés importantes (Siemens, Maersk, MasterCard…) et, pour certaines d’entre elles travaillant dans le domaine des hautes technologies liées à la sécurité (RSA Labs, HB Gary, RealTek, Comodo…). C’est bien de mettre de l’informatique et des réseaux partout (même là où ils n’ont rien à faire) mais encore faut-il avoir des gens compétents et de confiance pour faire tourner tout cela.

Que faire pour pallier la pénurie et  sécuriser nos systèmes d’information ?

En allant chercher les ressources là où elles sont. Chez les hackers qu’on a tendance à diaboliser à l’excès. Pourquoi ? Parce qu’on ne les comprend pas. Il est donc essentiel de rappeler ce que le terme « hacker » recouvre. Contrairement à l’idée reçue et malheureusement véhiculée – surtout en Europe – ce terme ne désigne en aucun cas une personne dotée de mauvaises intentions, contrairement au pirate informatique. Le terme de hacker désigne toute personne capable d’analyser en profondeur un système – que ce système soit technique comme un ordinateur ou un téléphone, mais également humain, social, législatif – de sorte à en comprendre les mécanismes les plus intimes, en privilégiant le résultat sur la méthode (contrairement souvent à l’approche académique).

Un hacker, par définition, n’hésite pas à s’écarter de toute forme d’orthodoxie en particulier technique et scientifique pour parvenir à ses fins. C’est principalement ce trait de caractère – généralement couplé à un certain anticonformisme, un soupçon d’autisme et d’esprit quelquefois perçu, à tort, comme asocial – qui dans l’opinion générale fait du hacker une personne peu recommandable. C’est une profonde méconnaissance de ce qu’est le mouvement et l’esprit hacker.

Cette méconnaissance est toutefois à moduler selon les pays et les cultures. Le monde anglo-saxon, contrairement au monde latin, a toujours manifesté un intérêt pragmatique vis-à-vis des hackers. C’est également le cas de l’Allemagne qui a, depuis les années 80, su intelligemment s’appuyer sur la communauté des hackers allemands et qui, dans le domaine de l’informatique, a su mieux ou moins mal anticiper la pénurie gravissime qui s’annonce. Mais ils ont su aussi ne pas sacrifier à la compétence, les valeurs fondamentales qu’exigent les métiers de la sécurité informatique : éthique et loyauté. Cela passe entre autres choses par une gestion humaine et managériale dans les deux sens : si les hackers ont des droits, et notamment celui de la reconnaissance, ils ont aussi des devoirs. Or cela la France ne sait pas le faire : la politique de la main de fer dans un gant de velours lui est totalement étrangère.

A cet égard, la France dont la réponse au mouvement des hackers a été d’empiler les textes – la célèbre loi Godfrain, devenue plus tard l’article 323 du Code Pénal, agrémenté depuis 2003 de nombreux autres textes, tous aussi subtilement inappropriés ayant pour nom LSQ, LCEN… -  accuse un retard catastrophique que l’on peut évaluer à au moins 20 ans (par exemple par rapport à l’Allemagne).

D’où l’absence d’un mouvement hacker digne de ce nom – à part l’historique mais très actif /tmp/lab et quelques résurgences ici et là du groupe 2600. Ce n’est que très récemment (depuis 2009) et encore timidement que la France voit l’organisation de conférences de hacking comme iAWACS, HES, HIP… mais toujours avec une extrême prudence car on ne sait jamais comment l’article 323 du Code Pénal sera appliqué au final.

A l’étranger les plus grandes conférences de hacking – comme les plus petites, et le terme n’est pas péjoratif – sont sponsorisées par les très grosses sociétés de logiciels ou de services (Google, Microsoft, Oracle…) et, quelquefois, avec le soutien des Etats (par exemple la célèbre conférence Hack.lu au Luxembourg). Elles sont tout autant fréquentées majoritairement par les services gouvernementaux et les industriels/sociétés.

C’est la preuve – s’il en fallait une – que les évolutions majeures se font, aujourd’hui, dans ces conférences et nulle part ailleurs. Phénomène très significatif : depuis quatre ans les avancées majeures en matière de cryptanalyse ne sont plus publiées dans les conférences académiques mais dans les conférences de hacking et en particulier lors de la conférence du CCC (Chaos Computer Club) à Berlin.

En France, on est encore, hélas, dans un monde d’anciens qui administrent mais ne comprennent rien à la technique et les jeunes hackers qui maîtrisent mais n’administrent pas. Cette fracture n’est plus tenable. Sinon, ce qui a commencé comme un mouvement d’humeur risque de se muer en une réelle colère contre les décideurs dont ni les institutions, ni les entreprises ne sortiront indemnes. Et les victimes seront le pays tout entier, y compris les hackers qui ne peuvent espérer qu’une victoire à la Pyrrhus.

Eric Filiol est Directeur de la recherche de l’Ecole Supérieure, d’Informatique, Electronique, Automatique (ESIEA).

Article rédigé en collaboration avec Meriem Sidhoum Delahaye

Post to Twitter Publier sur Twitter Post to Facebook Publier sur Facebook Post to LinkedIn Publier sur LinkedIn
14 commentaires

  1. Sky :

    Date: septembre 16, 2011 @ 12 h 19 min

    J’attire votre attention, (du moins j’essaye)… sur : http://en.wikipedia.org/wiki/Protecting_Cyberspace_as_a_National_Asset_Act

    et sur : http://www.dhs.gov/xabout/structure/gc_1185202475883.shtm

    Il serait intéressant d’avoir la réaction d’EF sur les 2 liens précédents, Les hackers sont inquiet et à raison !

    Sky

  2. Eric Filiol :

    Date: septembre 16, 2011 @ 14 h 17 min

    Bonjour Sky

    Vous avez raison, ces deux liens illustrent bien toute la problématique évoquée dans l’article. Les hackers sont inquiets et ils ont raison.
    Dans le cas du premier lien, on voit bien comment les décideurs américains (mais plus généralement les décideurs) envisagent Internet et la technologie : comme un simple appareil avec un bouton marche/arrêt. Sans penser aux conséquences pour eux-mêmes. Cela me fait penser à l’armée américaine qui en Irak, il y a quelques années, pensait paralyser les forces loyales de Saddam Hussein en bombardant les principaux centres de fourniture d’électricité… avant de faire machine arrière (et grâce aux services de renseignements anglais) parce que les forces américaines elles-mêmes en dépendaient. Idem en Afghanistan avec les réseaux de téléphonie mobile. Tout cela parce qu’ils n’ont pas compris que l’on ne peut plus faire machine arrière et nous sommes tous (inter)dépendants. La ressource critique n’est pas seulement Internet. Ce sont surtout ceux qui lui ont donné naissance, ceux participent chaque jour à sa sécurité, comprennent ce qu’est cette réalité, une réalité que nos apprentis sorciers de décideurs ont choisi de mettre partout et n’ importe où et qui ne la comprennent pas (il parait même qu’une adresse IP c’est aussi fiable que des empreintes digitales – ). Autrement dit précisément les hackers. La situation est telle que sans les hackers point de salut. Encore faut-il avoir la bonne définition de ce terme et leur tendre la main.
    Le second lien est un peu plus encourageant car il se place plus dans la gestion au mieux d’une éventuelle crise et constitue de fait une approche plus constructive. Mais je suis sidéré par cette vision USA-centrique qui pense en terme de bunker et ignore le reste du monde et qui ne se place pas dans un contexte de coopération internationale. Et qui voit dans Internet juste un espace de souveraineté et un lieu d’éventuels combats. Là encore du fait d’une profonde méconnaissance de ce qu’est Internet et plus largement la technologie informatique.
    Dans le cas de ces deux liens, il est clair que l’informatique et les réseaux sont envisagés dans un contexte de puissance et que le but est d’asseoir cette dernière. Et qu’une vision éclairée – celles de ceux qui comprennent véritablement la technologie — ne peut que contribuer à révéler, détecter et contrarier des visées d’hégémonie ou de contrôle qu’ils soient à des fins économiques, militaires ou idéologique. Ils sont donc gênants et il faut sinon les diaboliser du moins les marginaliser. Il est nécessaire d’avoir une vision plus humaniste de la technologie et de l’informatique.
    Alors oui, les hackers sont inquiets et à juste titre mais nous devrions être tous inquiets avec eux.

    Cordialement

    Eric Filiol

  3. Sky :

    Date: septembre 17, 2011 @ 9 h 56 min

    Merci pour la réponse ;)
    Au passage une petit link au cas ou, même si je ne cautionne pas l’intégralité de ce papier… , en revanche je salue l’idee de faire phosphorer ses neurones sur la question.
    http://internetactu.blog.lemonde.fr/2011/09/14/nous-avons-besoin-d%E2%80%99une-critique-serieuse-de-l%E2%80%99activisme-sur-le-net/

    @mities.
    Sky

  4. Eric Filiol :

    Date: septembre 19, 2011 @ 15 h 12 min

    Salut Sky

    L’article est effectivement assez décapant mais je suis d’accord avec toi que certaines idées sont pas forcément à retenir. Mais au moins cela lance le débat d’une manière constructive. Puisse t-il y en avoir beaucoup d’autres ?
    Cordialement
    Eric

  5. QuicheLorraine :

    Date: septembre 21, 2011 @ 19 h 21 min

    … Le jour ou le pays subira une attaque en règle mettant à genou certains services critiques, on réfléchira à des solutions d’urgences et des bouts de ficelles pour remettre tout ça en état…
    C’est bien dommage cette mentalité, car nombreux sont ceux qui pourraient aider et participer. Cela existe dans de nombreux pays voisins…

  6. Sky :

    Date: septembre 22, 2011 @ 12 h 36 min

    @ QuicheLorraine (ça c’est du Aka qu’on aime ! )
    Pour faire écho aux fameux bout de ficelles je vais te donner un « tip », Tu sais nous on a les « journées du patrimoine », balade toi un dimanche dans le bureau d’un ministre de ton choix et tu trouveras  » l’arme absolue  » contre les attaques en règle… mais shuuuuttt c’est secret défense ;-) http://fr.wikipedia.org/wiki/Minitel

    Sky

  7. Eric Filiol :

    Date: septembre 23, 2011 @ 8 h 53 min

    Bonjour
    Le principal problème tient au fait que tout le monde (y compris les décideurs) :
    - que la technologie informatique est encore une réalité indépendante de notre vie de tous les jours (et qu’il suffit d’éteindre le bazar avec un bouton). Or l’informatique contrôle maintenant notre vie dans ses moindres aspects
    – que les autres pays sont encore des ennemis potentiels systématiques en oubliant que la menace est maintenant transfrontière et nous concerne tous. Apres les nuages radio-actifs, les attaques informatiques…

    En gros, la prochaine crise ne sera pas financière, elle sera technologique mais avec un impact beaucoup plus fort.

    Eric

  8. Counselling London :

    Date: septembre 28, 2011 @ 8 h 57 min

    Au passage une petit link au cas ou, même si je ne cautionne pas l’intégralité de ce papier…

  9. Benjamin :

    Date: septembre 28, 2011 @ 18 h 36 min

    « En France, on est encore, hélas, dans un monde d’anciens qui administrent mais ne comprennent rien à la technique et les jeunes hackers qui maîtrisent mais n’administrent pas. »

    Et que penser alors de nos « stratèges penseurs » qui tentent de mettre en lumière les enjeux du cyberespace alors que certains n’ont aucune connaissances informatique (type O. Kempf qui après un BT SHS est passé par science po). Ce sont eux qui vont décider pour la défense dans quelques années.
    Voir « Stratégie dans le cyberespace »: http://alliancegeostrategique.org/2011/09/22/cahiers-dags-n%C2%B02-strategies-dans-le-cyberespace-resume-des-articles/#more-9808

  10. Sky :

    Date: septembre 29, 2011 @ 21 h 49 min

    @Benjamin +1

  11. Sky :

    Date: octobre 24, 2011 @ 14 h 43 min

    http://pro.01net.com/editorial/544024/des-chercheurs-francais-cassent-le-reseau-danonymisation-tor/%20

    Mauvaise nouvelle pour les cyberdissidents du monde entier. Le réseau Tor – qui permet à nombre d’entre eux de chiffrer et d’anonymiser leurs communications – n’est pas si sécurisé qu’on l’imaginait. Un groupe de chercheurs français, mené par Eric Filiol, directeur du laboratoire de cryptologie et virologie opérationnelles à l’Esiea, vient de démontrer qu’il est possible de prendre le contrôle de ce réseau et de lire la totalité des messages qui y circulent. Cette attaque, brillante, s’effectue en plusieurs phases. Avant de rentrer dans les détails, voici quelques rappels.

  12. sacramento lawyers :

    Date: décembre 10, 2011 @ 14 h 15 min

    Nice post.Thank you for taking the time to publish this information very useful! I think this post is very usefull for people who interest in this problem! I’m still waiting for some interesting thoughts from your side in your next post thanks

  13. Sky :

    Date: décembre 12, 2011 @ 12 h 35 min

    @ EF and Sacramento lawyers

    http://www.dailymotion.com/video/xmwv8m_anonymous-message-concernant-la-loi-sur-la-detention-l-arrestation-et-l-assassinat-de-citoyens-ameri_news#from=embediframe

    So sade..

    Sky

  14. Sky :

    Date: décembre 30, 2011 @ 12 h 56 min

    Meilleurs voeux pour 2012 !

    http://www.youtube.com/watch?feature=player_embedded&v=_Mer_nclC60

    http://www.youtube.com/watch?feature=endscreen&NR=1&v=coGIG8jNcZk

    Sky

Laisser un commentaire

Votre commentaire

Vous pouvez utilisez les tags suivant: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>