Ajouter un commentaire

Par :
Eric Filiol

mar, 20/09/2011 - 13:29

Aujourd’hui l’informatique est partout et les systèmes qui contrôlent nos moindres faits et gestes omniprésents. L’explosion des réseaux ne concerne plus seulement les ordinateurs.

Elle touche à tous les aspects de la vie comme les « objets » embarqués dans nos poches et demain probablement – les industriels y travaillent déjà – les appareils médicaux embarqués communicants comme par exemple le pacemaker connectable à Internet.

C’est une mutation sans précédent. La société numérique est en marche et nul retour en arrière n’est possible ni même envisageable. La sécurité des infrastructures pose de ce fait un défi majeur. Tant pour les Etats et les administrations que pour les entreprises. D’autant que, quoiqu’en disent les décideurs, en particulier en France, les spécialistes en sécurité sont devenus une denrée rare et courtisés au niveau mondial. Le retard de notre pays dans ce domaine est patent. Par Eric Filiol, Directeur de la recherche à l’ESIEA.

Prenons le secteur hautement stratégique qu’est la Défense du pays. Les besoins sont estimés à 250 ingénieurs par an pendant 5 ans rien que pour le Ministère de la Défense, et l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). 1 250 spécialistes, c’est bien plus que la capacité actuelle de formation de l’ensemble des écoles d’informatique ! Or, cette situation de pénurie ne va pas s’améliorer pour au moins deux raisons. La première tient à ce que d’autres ministères, notamment le Ministère de la Santé, mais aussi des entreprises commencent à prendre sérieusement conscience de l’enjeu de la sécurité informatique. La seconde à l’intrusion des grandes sociétés américaines, telles que Google, Apple…, qui commencent à chasser et à piller des sociétés – on peut citer HSC Consulting ou Sogeti – incapables de rivaliser avec les salaires proposés. D’où une hémorragie inquiétante de ressources rares et tout cela dans un environnement où les attaques vont croissant et gagnent en sophistication. C’est le cas, en particulier, depuis la fin de l’année 2009. Elles ont visé des Etats (Estonie, Zimbabwe, Iran, France…), des organismes supranationaux (OTAN, Communauté Européenne, organisation du G-20…), des sociétés importantes (Siemens, Maersk, MasterCard…) et, pour certaines d’entre elles travaillant dans le domaine des hautes technologies liées à la sécurité (RSA Labs, HB Gary, RealTek, Comodo…). C’est bien de mettre de l’informatique et des réseaux partout (même là où ils n’ont rien à faire) mais encore faut-il avoir des gens compétents et de confiance pour faire tourner tout cela.

Que faire pour pallier la pénurie et sécuriser nos systèmes d’information ?

En allant chercher les ressources là où elles sont. Chez les hackers qu’on a tendance à diaboliser à l’excès. Pourquoi ? Parce qu’on ne les comprend pas. Il est donc essentiel de rappeler ce que le terme « hacker » recouvre. Contrairement à l’idée reçue et malheureusement véhiculée – surtout en Europe – ce terme ne désigne en aucun cas une personne dotée de mauvaises intentions, contrairement au pirate informatique. Le terme de hacker désigne toute personne capable d’analyser en profondeur un système – que ce système soit technique comme un ordinateur ou un téléphone, mais également humain, social, législatif – de sorte à en comprendre les mécanismes les plus intimes, en privilégiant le résultat sur la méthode (contrairement souvent à l’approche académique).

Un hacker, par définition, n’hésite pas à s’écarter de toute forme d’orthodoxie en particulier technique et scientifique pour parvenir à ses fins. C’est principalement ce trait de caractère – généralement couplé à un certain anticonformisme, un soupçon d’autisme et d’esprit quelquefois perçu, à tort, comme asocial – qui dans l’opinion générale fait du hacker une personne peu recommandable. C’est une profonde méconnaissance de ce qu’est le mouvement et l’esprit hacker.

Cette méconnaissance est toutefois à moduler selon les pays et les cultures. Le monde anglo-saxon, contrairement au monde latin, a toujours manifesté un intérêt pragmatique vis-à-vis des hackers. C’est également le cas de l’Allemagne qui a, depuis les années 80, su intelligemment s’appuyer sur la communauté des hackers allemands et qui, dans le domaine de l’informatique, a su mieux ou moins mal anticiper la pénurie gravissime qui s’annonce. Mais ils ont su aussi ne pas sacrifier à la compétence, les valeurs fondamentales qu’exigent les métiers de la sécurité informatique : éthique et loyauté. Cela passe entre autres choses par une gestion humaine et managériale dans les deux sens : si les hackers ont des droits, et notamment celui de la reconnaissance, ils ont aussi des devoirs. Or cela la France ne sait pas le faire : la politique de la main de fer dans un gant de velours lui est totalement étrangère.

A cet égard, la France dont la réponse au mouvement des hackers a été d’empiler les textes – la célèbre loi Godfrain, devenue plus tard l’article 323 du Code Pénal, agrémenté depuis 2003 de nombreux autres textes, tous aussi subtilement inappropriés ayant pour nom LSQ, LCEN… - accuse un retard catastrophique que l’on peut évaluer à au moins 20 ans (par exemple par rapport à l’Allemagne).

D’où l’absence d’un mouvement hacker digne de ce nom – à part l’historique mais très actif /tmp/lab et quelques résurgences ici et là du groupe 2600. Ce n’est que très récemment (depuis 2009) et encore timidement que la France voit l’organisation de conférences de hacking comme iAWACS, HES, HIP… mais toujours avec une extrême prudence car on ne sait jamais comment l’article 323 du Code Pénal sera appliqué au final.

A l’étranger les plus grandes conférences de hacking – comme les plus petites, et le terme n’est pas péjoratif – sont sponsorisées par les très grosses sociétés de logiciels ou de services (Google, Microsoft, Oracle…) et, quelquefois, avec le soutien des Etats (par exemple la célèbre conférence Hack.lu au Luxembourg). Elles sont tout autant fréquentées majoritairement par les services gouvernementaux et les industriels/sociétés.

C’est la preuve – s’il en fallait une – que les évolutions majeures se font, aujourd’hui, dans ces conférences et nulle part ailleurs. Phénomène très significatif : depuis quatre ans les avancées majeures en matière de cryptanalyse ne sont plus publiées dans les conférences académiques mais dans les conférences de hacking et en particulier lors de la conférence du CCC (Chaos Computer Club) à Berlin.

En France, on est encore, hélas, dans un monde d’anciens qui administrent mais ne comprennent rien à la technique et les jeunes hackers qui maîtrisent mais n’administrent pas. Cette fracture n’est plus tenable. Sinon, ce qui a commencé comme un mouvement d’humeur risque de se muer en une réelle colère contre les décideurs dont ni les institutions, ni les entreprises ne sortiront indemnes. Et les victimes seront le pays tout entier, y compris les hackers qui ne peuvent espérer qu’une victoire à la Pyrrhus.

Eric Filiol, Directeur de la recherche à l’ESIEA

A propos de l'auteur

Eric Filiol

Filtered HTML

Plain text

CAPTCHA
Cette question permet de vérifier que vous n'êtes pas un robot spammeur :-)
 FFFF  U   U  DDD   BBBB    QQQ   
F U U D D B B Q Q
FFF U U D D BBBB Q Q
F U U D D B B Q QQ
F UUU DDD BBBB QQQQ
Q