07 avril 2015

Conférence "Sécurité des systèmes informatiques : mythes, réalités et perspectives"

© L'Institut.
 Une conférence-débat était organisée à l'initiative de Maurice Nivat et Joseph Sifakis, tous deux de l'Académie des sciences, le mardi 24 mars 2015 à l'Académie. Sur proposition de Cyberland, nous nous y sommes rendu conjointement pour écouter les différents intervenants.

Avant de poursuivre, il est parfaitement entendu que les propos rapportés (ci-dessous) ne sont qu’une transcription de ces communications. Toute erreur ou méprise, tout ajout ou oubli ne saurait être que de la seule responsabilité de l’auteur de ces lignes.

 Maurice Nivat introduisait la conférence par une revue des enjeux de la sécurité de l'information. La fiabilité des systèmes d'information est mise en péril, notamment, par les virus « nombreux et sournois ». Toutefois, sémantiquement, nous évoluons de la peur initiale du virus à celle de la cyberattaque. L'expression de cybersécurité émerge alors. L'académicien d'évoquer, aussi, le livre de Jean-François Gayraud (Le nouveau capitalisme criminel aux éditions Odile Jacob) traitant, entre autre, du trading haute fréquence. Propos invitant à penser la question du temps et de la place prise par les algorithmes pour palier l'incapacité humaine à agir en temps réel dans cette boucle temporel. Entre parenthèses et hors notes, nous pourrions rapprocher cette évolution de l'introduction de l'électronique de combat dans les systèmes anti-aérien, quand l'homme ne réagissait plus assez vite – déjà – face aux menaces aériennes modernes. Parenthèse refermée, Maurice Nivat conclue l'introduction par quelques éléments de réflexion sur les algorithmes. Ils peuvent être « fous » selon les exemples données dans le livre de Gayraud et provoquer des accidents boursiers. Enfin, l'un des moteurs du Big Data serait ce « gouvernement des algorithmes », décidant sur la foi de bases de données immenses.

Le directeur de l'ANSSI (Agence Nationale de Sécurité des Systèmes d'Information) – Guillaume Poupard – intervenait (Cybersécurité: de la souveraineté de l’Etat à la défense du citoyen) à propos de la cybersécurité qui regroupe des « questions transverses ». L'actualité nous presse de considérer cet ensemble de problématiques, notamment les attentats de la semaine du 7 janvier. Ils contiennent aussi des manœuvres offensives et défensives dans le cyberespace : que ce soit des attaques idéologiques ou d'opportunité.

Toutefois, il s'agissait de ne pas céder aux sirènes des nouveaux champs sémantiques puisque, selon monsieur le directeur, la cybersécurité, n'est autre que la sécurité des systèmes d'information. Elle-même prend ses racines dans la cryptographie. Mais surtout, il réaffirmait le fondement essentiel de toutes ces actions : la maîtrise de l'information.

Cette lutte pour protéger l'information ne doit pas offrir prise à la méprise sur les objectifs des actions menées. Il n'est pas question de se défendre contre l'émergence du numérique mais bien de sécuriser le développement des enjeux et opportunités du numérique.

Le directeur de l'ANSSI revenait sur la problématique des logiciels SCADA (Supervisory Control And Data Acquisition). Bon exemple des problématiques actuels de cybersécurité. Ces logiciels voient leur degré de complexité augmenter. Ils sont placés sous les feux de l'actualité car ils peuvent faire l'objet de plus en plus souvent d'attaque à distance (depuis 1983 propose l'auteur de ces lignes?). En corollaire, les industriels ne maîtrisent plus l'intégralité de ces logiciels mais une partie seulement des briques constitutives. Il y a là un défi pressent à relever car les attaquants semblent plus au fait de

Nous glissons doucement vers la défense du citoyen puisque nous évoluons dans un environnement numérique dominé par les entreprises fonctionnant à la manière du GAFA (Google Apple, Facebook et Amazon). Elles constituent des bases de données par la numérisation de notre quotidien, donc via nos données personnelles qu'elles récoltent en échanges de services « gratuit ». Cette capacité de nous suivre à la trace doit interpeller la notion de « souveraineté individuelle ». Elle est potentiellement remise en cause car l'espionnage, car il s'agit bien de cela, atteint une dimension incroyable. Nouvelle parenthèse : Viktor Mayer-Schonberger et Kunneth Cukier citent (dans Big Data - La révolution des données en marche aux éditions Robert Laffont) le cas de l'Allemagne de l'Est. Les services de la RDA pouvait ficher toute la population mais pas suivre leurs faits et gestes au quotidien malgré 100 000 fonctionnaires dédiés à ces tâches.

Monsieur le directeur de basculer à nouveau du côté de la souveraineté étatique en présentant un troisième type de menaces : le sabotage. Des « manœuvres » sont observées dans le cyberespace. Il n'est pas clair de déterminer quels sont les objectifs de ces intrusions dans des systèmes où rien n'est altéré, pillé ou détruit. Peut-être est-ce là un moyen pour diffuser latéralement une attaque ? Sont-ce des agents dormants ? Des armes numériques utilisées au cas où ? Nous le saurions pas aujourd'hui. Parenthèses supplémentaires : faut-il y voir là une expression d'une éventuelle cyberdissuasion ?

Dernière partie de l'intervention, M. Poupard aborde les questions plus précises sur les moyens et infrastructures à sécuriser dans les couches physique et logique (voir Introduction à la Cyberstratégie d'Olivier Kempf aux éditions Economica). C'est l'art et la manière de programmer en intégrant les enjeux de sécurité. C'est le fatalisme au sujet des systèmes d'exploitation alors qu'un tel système domestique fiable et sécurisé est un défi réaliste. Il y a aussi des pistes pour sécuriser et réguler la récolte des données et les usages des Big Data. Aussi, il y a lieu de déplorer la légèreté dont font preuve certaines entreprises dans la maîtrise de leurs informations.

Ce qui amène à considérer le rapport de la société à la maîtrise de l'information, à la souveraineté individuelle. Il y a une culture à faire émerger sur les pratiques personnelles dans les entreprises et administrations. Car, ne l'oublions pas, les attaques par ingénierie sociale montrent que le maillon le plus faible de la chaîne demeure l'être humain. Le traité de libre-échange transatlantique comprend lui aussi ces enjeux.

Cyberland demandait l'avis de monsieur le directeur à propos de la multiplication des chaires universitaires dédiées à la cyberstratégie et/ou à la cybersécurité. M. Poupard est plutôt satisfait de voir la multiplication de ces chaires qui peuvent répondre à des besoins pressants de cybersécurité ou permettre de mieux défricher certains pans théoriques.

Seconde question de ma composition : faut-il, par le prisme de la cybersécurité (ou de maîtrise de l'information), repenser la défense de l'Etat et la défense citoyenne via l'ordonnance de 1959 ? Celle-ci reposait sur un paradigme différent de l'actuel où la défense nationale était l'affaire non pas de quelques ministères mais de tous les ministères. Action qui s'inscrivait par des mesures de coordination, des personnels dédiés, etc. Monsieur le directeur de répondre que la cybersécurité est un sujet transverse à tous les secteurs par définition. L'action est forcément interministériel concernant l'Etat. C'est pourquoi l'ANSSI est placée sous la tutelle du SGDSN.

Claude Kirchener (Cyber-sécurité: problématique et défis scientifiques, technologiques et sociétaux) passait en revue quelques actualités liées au thème de la conférence dont les déclarations d'un ancien directeur de la NSA et celles de l'actuel à propos des très nombreuses attaques contre les entreprises américaines. Il passait aussi en revue les accusations contre Kapersky - qui travaillerait avec les services russes -, l'affaire des pirates Rex Mundi, l'avis de la CNIL sur la nouvelle loi sur le renseignement, etc. Mais surtout, retenons l'évolution de la démographie mondiale qu'il cite. En 2030, deux tiers de l'humanité habitera dans des zones urbanisées. Les risques cyber contre les villes seront énormes, qu'elles soient peu ou beaucoup « intelligentes » car les services de base reposent sur une informatique, même minimale (eau, transport, signalisation, etc.).

S'ensuit le cœur de l'intervention. La cybersécurité est une trame complexe entre bien des systèmes différents. L'intervenant de proposer la modélisation du « triangle sécuritaire » : sûreté, sécurité et autonomisation soit, respectivement, le fonctionnement normal, le fonctionnement normal malgré une attaque et la capacité à réagir contre une attaque.

Il donne l'exemple des protocoles de sécurité. Ce sont de courts programmes qui servent, notamment, à rendre les communication sûres dans un environnement hostile (à l'exemple du HTTPS). En particulier, le cas de TLS (de 1994 à 2015) illustre bien les enjeux d'un protocole cryptographique. Les premières versions de celui-ci sont alors partagées entre deux catégories, celles réservées à l'usage étasunien et les autres, destinées à l'exportation, mais à la robustesse bien plus faible. Depuis, cette discrimination a disparu. Cependant, toutes les versions n'ont pas été mise à jour et il existerait encore dans le monde 25% de « version export ».

Kirchener termine par deux mises en relation. Entre la cybersécurité et la cybersûreté, l'intervenant cite l'exemple des systèmes embarqués. Par exemple, une faille dans de tels systèmes du groupe automobile BMX obligea celui-ci à de nombreux rappels dans le monde. Entre cybersécurité et géostratégie, la doctrine américaine de l' « information dominance » est sans équivoque sur ses objectifs.

David Naccache (Défis de recherche récents en cryptologie et en sécurité de l'information) propose de considérer la sécurité comme un processus s'appuyant sur cinq directions : device (where?), network (with who ?), systems (what?), programs (how?) et information and knowlegde.

La sécurité informatique n'est qu'une technologie supportant un échiquier où des être humains s'affrontent. Le chercheur prouvait à l'assemblée par une démonstration mathématique fort esthétique d'Alan Turing que la sécurité absolue était impossible. C'est pourquoi il considère que la navigation dans le cyberespace est plus un art qu'une discipline.

Il citait aussi le général George Patton - « Fixed fortifications are monument to man's stupidity » - pour mieux illustrer combien les failles de conception sont critiques face à des éléments dynamiques.

Pour terminer, il proposait quelques défis en matière de cybersécurité à son auditoire. Pour la sécurité physique, il avançait l'exemple de la cybersécurité d'une centrale nucléaire, impérativement nécessaire, alors qu'aucune expérience ne peut être faite en la matière. Il faudra aussi sécuriser « la chose » : un site regroupant toute ou partie de nos documents importants (exemple des sites de services publics). Enfin, il proposait des couches d'isolation entre l'ordinateur et ses périphériques via un boitier chiffrant les communications.

Jacques Printz (La sécurité des grands systèmes informatisés) était le dernier intervenant à s'exprimer. Il matérialiser son propos, avec schémas et graphiques, par l'organisation des systèmes de commandement (C4I, etc.) nécessaires à l'action des forces armes françaises. Ces systèmes de systèmes imposent de sécuriser leur fonctionnement, leur intégrité en temps réel. Ce qui suppose de contrôler également certains composants comme les chips, ceux-là pouvant se voir implanter un émetteur-récepteur en leur sein.

Nous retenons de son intervention l'effort consenti dans certains systèmes. Par exemple, le logiciel Word repose sur environ 250 000 lignes de codes. Le système de combat du porte-avions Charles de Gaulle fonctionne sur 5 millions de lignes de code. Et de rappeler que 4000 lignes de code nécessitent le travail d'un ingénieur pendant une année en France, ce qui permet de mesurer certains efforts.

La conférence s'achevait par un débat avec la salle.

Aucun commentaire:

Enregistrer un commentaire