Contribuez à SecuObs en envoyant des bitcoins ou des dogecoins.
Nouveaux articles (fr): 1pwnthhW21zdnQ5WucjmnF3pk9puT5fDF
Amélioration du site: 1hckU85orcGCm8A9hk67391LCy4ECGJca

Contribute to SecuObs by sending bitcoins or dogecoins.



#FIC2014: Entrée en territoire inconnu

Par Ludovic Blin, secuobs.com
Le 04/02/2014


Résumé : L'édition 2014 du forum international de la cybersécurité consacre la rupture du "consensus mou" qui prévalait jusqu'ici. Ainsi nous entrons dans une phase de transition, qui pourrait déboucher (ou pas) sur un nouveau statu quo et une [cyber]paix globale. Une chronique "behind the scene".



Les 20 et 21 janvier, la gendarmerie nationale et le conseil régional nord pas de calais organisaient à Lilles le forum international de la cybersécurité, rassemblant un auditoire varié et plus ou moins hétéroclite de fonctionnaires, enquêteurs, professionnels de la sécurité informatique, étudiants, curieux, hackers, blogueurs, journalistes, consultants en communication et responsables politiques. Les uniformes étaient nombreux, et les médias au rendez-vous.

Il convient tout d'abord de féliciter les gendarmes et l'équipe pour l'organisation sans faille de l'évènement. Si quelques "couacs" ont pu être relevés, l'existence de cette initiative qui a su provoquer un sain débat plus ou moins démocratique les compensent largement.

La fin du virtualisme, et le début d'un nouveau courant politique "humaniste" ?

Lors de ce forum, la distinction entre vrais et faux "experts", qui prévalait jusqu'alors, s'est brutalement estompée. Jusqu'à cette année, les premiers se regroupaient dans des conférences dites "techniques", en général organisées de manière frugale (NDLR: Pour certains les présentations étant notamment un prétexte pour s'entasser ensuite dans un quelconque pub d'une quelconque métropole). Les seconds étaient chargés de présenter un discours intelligible pour le client moyen lors d'évènements "commerciaux" (repris par la "presse mainstream"), tout en puisant dans un éventail d'"éléments de langages" validés par les directions financières, juridiques, marketing, commerciales, politiques, comptable et autres de l'ensemble des partenaires représentés (NDLR: ce qui limite forcément l'entropie de ces éléments de langage). Les premiers fabriquant les produits et services que les seconds vendaient ensuite à leur convenance, tout en redistribuant habituellement quelques miettes du gateau ainsi que deux ou trois goodies aux premiers (NDLR: Les goodies étant l'équivalent pour le geek des verroteries offertes par les conquistadors aux peuples premiers. "Nous venons en paix" disaient-ils ...). Ca, donc, c'était avant...

Ainsi, dès le début du forum, deux courants d'idées (et de rhétorique) auparavant séparés, se sont opposés.

Un général, en ouverture, lançait aux participants: "Personne d'entre vous n'est terroriste ? Alors vous n'avez pas à avoir peur de la surveillance", représentant avec brio l'orientation politique type "patriot act", qui, par un hasard institutionnel typiquement français, arrive dans nos contrées 13 ans après son vote aux USA.

Les idées politiques ainsi défendues mettent en avant comme choix de civilisation une surveillance technologique généralisée dont le contrôle est concentré entre quelques mains (pouvant être en dehors du territoire national). Le même courant de pensée semble mettre en avant également les technologies proactives et autres "infrastructures sans DSI ni RSSI". Il s'inquiète de la possibilité d'un cyber-armageddon, possibilité qui sera d'autant plus réelle que les DSI, RSSI et experts techniques seront supprimés (la boucle est ainsi bouclée).

Face à cette ancienne vision sans cesse plus centralisée, dont les promesses paraissent de plus en plus dystopiques, un nouveau courant politique (et réaliste sur le plan de la défense nationale) a rapidement émergé. Il faut dire que l'affaire Snowden a démontré les liens forts unissants dès l'origine la NSA et le secteur financier américain (Les plus de 1 million de destinataires de l'ensemble des informations classifiées du service de renseignement, dont les noms des agents, sont validés par une filiale d'un fond d'investissement privé).

"With great powers comes great responsability"

Lors de la table ronde sur la gouvernance d'internet, des orateurs comme Jeremy Zimmerman de la Quadrature du Net ou la consultante en sécurité Tris Acatrinei constataient avec éloquence que la NSA avait un pied dans chaque application commerciale, et appelaient de leurs voeux une reprise en main de l'infrastructure par les citoyens. Ils se demandaient également pourquoi les leaders politiques mentent et cachent les vrais débats, invitant sans cesse les mêmes "experts" lors des débats télévisés. Longdi Xu, de l'institut chinois pour les études internationales, plaidait quant à lui pour des principes globaux avec une application locale ("global standards, local applications").

L'affaire Snowden a aussi pour conséquence de changer le jeu de la surveillance. En effet, jusqu'à présent, le régime de la surveillance secrète prévalait. Or dans un tel régime, la composante la plus importante est le secret. On se souviendra notamment de l'exploitation par les alliés des interceptions enigma. En préservant le secret de leur interception, ceux-ci ont pu préserver ce précieux canal d'information. Maintenant que la population a admis que la surveillance globale existait, elle agit en conséquence, rendant cette surveillance moins utile, en particulier pour des objectifs de type "lutte contre le terrorisme" (NDLR: On imagine aisément quelle fine équipe il faudrait pour discuter de tels plans sur internet en 2014). D'ailleurs cette même surveillance n'a pas encore prouvé son utilité pour empêcher des attentats.

La nomination de Patrick Pailloux comme directeur du service technique de la DGSE, intervenue en milieu de forum, semble donner des gages à la population, de la part de la présidence de la République, garantissant que cette arme puissante sera utilisée de manière éthique et responsable. En effet, même si par rapport aux américains, la taille de l'arsenal numérique français est plus de dimension "tactique" (par opposition à une dimension "stratégique" globale), il est indispensable qu'il soit ne employé que pour de justes causes. (NDLR: Et comme le dit Peter Parker: "With great powers comes great responsability")

Son successeur à la tête de l'ANSSI aura la difficile mission d'arriver à concilier décideurs politiques, économiques et administratifs, mais aussi équipes techniques, dans un secteur ou les ressources humaines sont particulièrement importantes. Le rôle de pompier de cette administration lui impose en effet de recruter des spécialistes de niveau mondial pour pouvoir protéger efficacement l'état et les OIV.

Les PME, acteurs clefs de la chaîne de confiance

Des responsables politiques ont également fait le déplacement jusqu'au FIC, et notamment le ministre de l'intérieur, et celui de la défense. Le premier annonçait une opération de communication à destination des écoliers dénommée "permis internet" (NDLR: On imagine déjà les écoliers en train de rooter le téléphone androïd de l'examinateur), et faisait part en des termes choisis de l'inimitié de certains par rapport au second. Qui, lui, annonçait une enveloppe budgétaire de 1 milliard d'euros destinée à augmenter le niveau de la cybersécurité nationale. Pour éviter que cette somme conséquente ne soit dilapidée, comme cela à pu être le cas récemment avec le projet Louvois, qui non seulement à coûté très cher (500 millions d'euros), mais en plus n'a aboutit qu'à démoraliser les troupes, l'administration se tournera probablement vers les nombreuses et compétentes PME françaises qui étaient largement représentées lors du forum.

Les entreprises de petite taille ont en effet en général la réputation d'attirer plus facilement les spécialistes reconnus. Des regroupements de structures peuvent de plus offrir un large éventail de "briques" de sécurité informatique. C'est par exemple le cas d'Hexatrust, un club destiné à promouvoir le savoir faire et l'expertise de PME françaises du secteur de la cybersécurité, qui compte parmi ses membres Deny All ou encore Wallix. D'autres PME françaises dotées de technologies uniques, comme par exemple 6cure, spécialisée dans la lutte contre les attaques DDoS et disposant d'une expérience intéressante sur le sujet, ou encore Arxsys, éditeur de DFF, le "metasploit" du forensics, étaient également présentes. A leurs coté les acteurs "traditionnels" du domaine, comme par exemple Sogeti, Thales ou Orange, disposent d'une main d'oeuvre plus importante (mais souvent moins qualifiée que les "petits" acteurs). La sécurité informatique est souvent également inversement proportionnelle à la taille des entreprises, comme le montre la récente fuite de données de l'ancien opérateur national (concernant tout de même 800 000 clients). Enfin certains acteurs étrangers, comme Microsoft avec son quasi-inamovible contrat "open bar", ont su se faire une place de choix dans la cyberdéfense française. (le gouvernement britannique, prenant le contre pied, a quant à lui décidé d'une migration vers des technologies libres).

Les pièges du proactif

Pour en revenir aux débats, ceux-ci portaient donc également sur le caractère "proactif" ou non de la (cyber)défense. Ce thème, s'il est intéressant, n'est pas dénué d'embûches.

Ainsi au même moment, les lecteurs du site spécialisé dans la finance ZeroHedge, s'alarmaient de la propension récente de plusieurs banquiers à faire des chutes fatales (voir sur ZeroHedge: lien ). A la suite de cet article recensant plus de 100 000 vues, les commentateurs les moins enclins à la "théorie du complot" s'étonnent que la police se soit empressée de n'établir aucun lien et d'écarter toute piste criminelle, un média qualifiant même un de ces drames d'"incident". Les plus paranoïaques y voient une manifestation extrême d'une politique de défense "proactive" menée par les leaders d'un système financier en déroute, miné par des scandales en voie de révélation. Or, l'affaire Snowden (encore une fois) a prouvé à la population que certains des plus paranoïaques avaient raison.

Dans la même idée, en un peu moins extrême, on notera les récentes déclarations du Director of National Intelligence aux Etats Unis, semblant considérer les journalistes traitant de l'affaire Snowden comme des "complices" de ce dernier. Peu de temps après, en France, la DCRI, recherchait sur twitter les sources de journalistes sur la mouvance Anonymous ( lien ). Une peine de deux mois de prison avec sursis et 2000 euros d'amende était également requise, en se basant sur la récente LOPPSI, à l'encontre des auteurs d'un livre révélant selon leur avocat de "graves dysfonctionnements" au sein du service de renseignement. La notion de "secret défense" se voit ainsi mise en opposition avec l'amélioration ou même la bonne marche des institutions.

La DCRI, service de police destiné au contre espionnage, créé par le regroupement de la DST et des RG, a été installé dans un nouveau siège à Levallois-Perret en 2008. On notera que ce dernier, n'étant pas souterrain, peut être vulnérable à nombre de pratiques d'espionnage répertoriées dans les documents Snowden. Certaines de ces pratiques, utilisées entre autre contre les représentations diplomatiques, et notamment les "illuminations radars", pourraient d'ailleurs être cancérigènes. (NDLR: Il pourrait cependant être interdit de révéler ce fait)

Comme le rappelle une avocate, "nul ne peut se faire justice soi-même". La cyber légitime défense n'apparaît donc pas non plus au programme de la proactivité. Hors atteintes aux libertés fondamentales, la proactivité dans le domaine de la sécurité informatique s'analyse ainsi en prévention par la diffusion des connaissances, ainsi qu'en suivi des fichiers journaux et des réseaux, une tache nécessitant obligatoirement des compétences humaines et des "security operation centers" pour détecter rapidement une nouvelle intrusion.

Un point a également été effectué sur l'identité numérique. Ou en est la France de son projet de carte nationale d'identité numérique ? Il semblerait que quelqu'un conserve un espoir mais que par contre plus personne ne comprend le processus déployé par notre pays. Ainsi un intervenant déclarait simplement, l'air las: "I don't understand the french process". La loi qui était prévue a en effet été largement censurée et rendue inopérante par le conseil constitutionnel en 2012, le projet étant depuis dans une zone indéterminée d'un point de vue législatif et réglementaire. A l'inverse, en Estonie, en Albanie, ou même en Belgique l'identité nationale numérique est en place depuis un moment. En Albanie, les appels d'offres sont même complètement dématérialisés et liés à cette identité numérique nationale. Identité qui a même une dimension européenne: ainsi, un citoyen belge peut créer une société en Estonie avec sa CNI numérique.

Géopolitique, cybercrime et croisière en mer de Chine

Autre affaire largement évoquée durant ces deux jours de forum, la sécurité des cartes bancaires, qui a connu plusieurs alertes ces derniers mois. Ainsi des vols massifs de numéros de cartes bancaires ont été observées aux Etats Unis (groupe Target) et en Corée du Sud. Pour ces deux pays, la quantité correspond à un pourcentage non négligeable, sinon 100% des cartes bancaires en circulation. Les attaquants disposent donc la éventuellement d'une cyber-arme de portée stratégique, en pouvant créer des dysfonctionnement à l'échelle d'un pays. Cela intervient d'ailleurs au même moment que les JO de Sotchi, sur lesquels reposent de nombreuses menaces, ainsi qu'au moment d'une concentration de forces militaires en mer de Chine autour d'un chapelet d'îles dont l'appartenance au Japon est contestée par la Chine et la Corée du Sud (et ayant été occupées par l'armée japonaise jusqu'à la fin de la deuxième guerre mondiale). Les technologies de type 3DSecure permettent cependant de réduire la portée d'une telle attaque. Par contre, 17% des paiements 3DSecure n'aboutissent pas, un chiffre non négligeable pour les commerçants.

Comme on le voit les tensions géopolitiques rejaillissent sur la sécurité informatique bancaire, à moins que ce ne soit l'inverse. L'un des seuls "couacs" du FIC à été d'ailleurs provoqué par une table ronde sur les monnaies virtuelles. Pour ce sujet qui pourtant intéresse le public, et est au carrefour de nombreux thèmes liés à la cybersécurité (de la cryptographie à l'authentification, en passant par les "darknets"), seuls des intervenants ayant des opinions uniquement "contre" (dans le sens "anti-innovation") avaient été invités. Ils ont tenu un discours reposant essentiellement sur la peur du changement, le public paraissant finalement disposer de plus de connaissances que les présentateurs. Pour disposer d'informations sur les monnaies virtuelles, il est donc conseillé de se reporter à l'audition organisée par le Sénat (voir notre article: lien )

Internet est un bien commun et la neutralité sa pierre angulaire

De la même manière, on a pu remarquer qu'une table ronde était intitulée "neutralité du net: un mythe ?". La plupart des intervenants, dont Stéphane Bortzmeyer de l'AFNIC, ont rappelé que ce concept était à la base d'internet, que ce n'est donc pas un mythe mais une pierre angulaire. La table ronde était ainsi dotée d'un mauvais intitulé (ce qui peut être fait dans le but d'une manipulation de l'opinion). D'ailleurs peu de temps après un journaliste s'empressait de reprendre ce même intitulé dans le titre de son article.

Comme le déclaraient haut et fort les intervenants de cette table ronde, internet est un bien commun, qui appartient à tous. Signalons que même le pape (pontifex) semble avoir entendu ce message, puisqu'il déclarait peu de temps après que l'internet était un "don de dieu", et appelait de ses voeux un "réseau d'humains et pas seulement de cables" ( lien ).

Enfin, on aura remarqué que le système de diffusion des tweets sur l'écran de la salle plénière, lors des présentations, s'il partait d'un bon sentiment, était filtré par rapport au contenu des tweets. Ainsi un tweet se plaignant de l'absence de sécurité avait semble-t-il plus de chance de passer à l'écran qu'un tweet proposant une nouvelle idée.

On regrettera également l'annulation de la présentation de Christopher Tarbell du FBI sur l'opération Silk Road. Malheureusement, celle-ci a été remplacée au dernier moment par une allocution de la DCRI.

Signalons cependant la mise en place d'un challenge de sécurité informatique, spécialisé en "forensic" (recueil de preuves numériques), dont le prix a été remis par l'amiral Coustillière. Plusieurs tables rondes étaient en anglais, et dotées d'une traduction simultanée, et leur niveau technique était signalé en deux catégories.

Au final ce forum aura été l'occasion de réaliser l'émergence d'une réelle nouvelle distinction politique entre "progressistes" et "anti-progrès surtout financier", chacun des deux camps étant représentés dans le public ou parmi les intervenants. Le point principal de différentiation semblant être que les uns sont prêt à abandonner les libertés publiques (voire à "casser" l'internet) pour préserver le mode de fonctionnement actuel du système financier et son hyper-centralisation, et les autres non. Notons que si les opinions type "anti-progrès financiers" sont très représentées parmi les médias et les composantes politiques centrales, c'est plutôt l'inverse en ce qui concerne la population et les composantes politiques locales. Cela est également très visible sur le dossier des négociations européennes sur le sauvetage (éventuel) du système financier. Si ces négociations sont très peu présentes dans les médias mainstream (qui se tournent plus de nos jours vers des sujets "people"), des informations circulent largement depuis plusieurs mois via les réseaux sociaux sur les mécanismes prévus pour le "bail-in" des banques. (NDLR: c'était l'inverse auparavant).

Le lieu était d'ailleurs prédestiné, en temps que carrefour international entre acteurs publics, privés, et population sur le thème de la sécurité, fonction régalienne par excellence de l'état.

Le moment actuel est décisif, et les populations se trouvent face à un choix de civilisation qui aura un impact dans le monde virtuel comme dans le réel. D'un coté la centralisation du pouvoir médiatico-politique, le contrôle technologique, et l'absence de liberté. De l'autre la coopération, le partage, l'open data et la construction d'une nouvelle paix globale. D'un coté une armée de clones organisée hiérarchiquement, mise en musique par le pouvoir de l'argent pour diviser la population et détruire peu à peu les institutions, au bénéfice d'un nombre sans cesse plus réduit d'individus. De l'autre une nuée d'indépendants bénévoles animée par des idées communes qui les rassemblent et au service de l'intérêt public. Au milieu, un "système" en plein changement, et l'espoir d'une période de "paix" propice à un nouvel espoir pour l'humanité.

Cette vision est bien sur réductrice, mais elle peut aider à clarifier les enjeux actuels.

On nous avait promis des jetpacks. On en est encore loin, mais pour les participants du FIC cette année, reste le sentiment d'avoir ramené une petite parcelle d'histoire: La bataille pour la paix vient de commencer ...


Le consens mou n'existe plus: lien

FIC2014 L'année du changement: lien

Hexatrust: lien

Deny All: lien

Wallix: lien

6cure: lien

Arxsys: lien

ZeroHedge: lien

Le FIC: lien

Hacker's Republic: lien

Bortzmeyer: lien

DNI/journalistes: lien

Le challenge FIC: lien

Target: lien

Corée du Sud: lien

Situation en mer de Chine: lien

Contrat "open bar" sur le site de l'April: lien