Les lois françaises favorisent-elles l’insécurité informatique ?

Un système mécanique, par exemple dans une voiture, est relativement facile à sécuriser :

  • Le nombre de pièces et leurs interactions est relativement limité donc le risque de panne aussi ;
  • On peut calculer la résistance de chaque pièce mécanique et prévoir sa fiabilité (MTBF), quelles que soient les paramètres : efforts mécaniques exercés sur la pièce, fatigue et usure, vibrations, chaleur, réactions chimiques, corrosion ;
  • On a accès à chaque pièce pour faire un diagnostic ou une expertise et prévoir une panne ou en connaître les causes.

Un système électronique est déjà beaucoup plus difficile à sécuriser :

  • Le nombre de pièces (plusieurs milliards de composants dans les derniers microprocesseurs) et leurs interactions est extrêmement élevé donc le risque de panne aussi ;
  • On peut calculer globalement la résistance d’un système électronique et prévoir sa fiabilité mais elles sont généralement plus faibles que celles d’un système mécanique. Les systèmes électroniques sont plus sensibles aux paramètres extérieurs : perturbations électromagnétiques, chaleur, surtensions…
  • On n’a pas accès à chaque composant, les diagnostics sont plus difficiles, on se contente simplement de changer tout un bloc.

Un système informatique est extrêmement difficile à sécuriser :

  • Le nombre d’instructions dans un code informatique complexe (plusieurs millions de lignes de code dans le noyau Linux) et leurs interactions est très élevé.
  • Il est difficile de mesurer la sécurité d’un système informatique, chaque instruction et chaque donnée extérieure traitée par le système pouvant être un paramètre.
  • On n’a généralement pas accès au code source des logiciels, ce qui rend difficile leur étude et les corrections des failles de sécurité.
  • La mise en réseau des systèmes informatiques les mets instantanément à la portée de tous les malfrats du monde (mondialisation des risques).

Lorsqu’on ajoute de l’électronique dans un système mécanique, sa sécurisation devient compliquée. Lorsqu’on y ajoute aussi de l’informatique, cela devient un véritable défi. Et ce défi va devoir être relevé de plus en plus souvent avec l’arrivée massive des objets connectés, la collecte de nos données privées (Big Data), leur transmission et leur stockage, surtout dans le domaine médical.

La sécurité informatique induit une durée de conception plus longue et plus coûteuse, des frais supplémentaires et imprévisibles lorsque des défauts de sécurité sont découverts, elle nécessite d’embaucher du personnel plus qualifié.
Les fabricants ne veulent pas payer ce surcoût et préfèrent pratiquer la sécurité par l’obscurité. Il est plus économique de cacher la poussière sous le tapis. Le code source des logiciels n’est pas rendu public afin qu’on n’en voit pas les horreurs de conception et les publicités vantent une parfaite sécurité des systèmes, à grand renfort de termes techniques incompréhensibles pour les profanes. Et si quelqu’un de sérieux découvre des failles de sécurité et demande à ce qu’elles soient corrigées, les fabricants ont a leur disposition les lois nécessaires pour le réduire au silence et dissuader d’autres personnes de faire de même. Peut-être arriverez-vous à vous en sortir en essayant de prouver que vous agissiez pour un motif légitime de recherche ou de sécurité informatique ? Bon courage !

Pour les technologies utilisées dans les secteurs sensibles (défense nationale, énergie), la gestion de la sécurité informatique est encore plus problématique. Des enjeux plus grands et le culte du secret rendent les utilisateurs des systèmes informatiques complètement paranoïaques, empêchent toute discussion ou remise en question. Et la lecture du Code de la Défense dissuade définitivement quiconque de s’intéresser à la sécurité des systèmes utilisés dans ces secteurs. Cela est pourtant indispensable si on veut suivre l’évolution des risques et prendre conscience de ses défauts. C’est une des raisons pour lesquelles le choc a été aussi violent lors des révélations d’Edward SNOWDEN.

En 2011, nous étions invités à faire une conférence sur la sécurité informatique dans les PME. Lors des échanges préparatoires et peu de temps après l’attaque du ver Stuxnet, j’avais demandé si l’utilisation de systèmes GNU/Linux et de logiciels libres était à l’étude dans des lieux sensibles comme les centrales nucléaires. C’est ce qu’à fait la gendarmerie, rendant ainsi son système d’information indépendant, mieux sécurisé et plus économique. La réponse m’a frappé : il ne fallait pas aborder ce sujet pour ne pas avoir d’ennuis.

Si les codes sources des logiciels ne sont pas rendus publics et si lois ne sont pas modifiées dans les années à venir pour favoriser les tests des systèmes et pour protéger les hackers qui veulent les améliorer, le combat est perdu d’avance. L’Allemagne semble un peu plus avancée que la France dans ce domaine.

En attendant, on peut saluer le déblocage d’une enveloppe d’un million d’euros dans le cadre d’un projet pilote visant à organiser l’audit des logiciels Open Source utilisés par les institutions européennes, obtenu par les députés européens Julia REDA (Parti Pirate) et Max ANDERSSON (Parti Vert).

Un décret impose que l’ANSSI et des centres d’évaluation agréés aient accès sans restriction au code source des produits de sécurité mis en œuvre chez les fournisseurs d’accès à internet et dans les entreprises « d’importance stratégique ». Cela ne signifie pas que le code source sera diffusé sous licence libre mais c’est un premier pas vers un peu plus de transparence et donc de sécurité.
http://www.numerama.com/magazine/32632-cyberdefense-chez-les-fai-des-produits-de-securite-qualifies-par-l-etat.html

Vus : 530
Publié par InfoLibre : 14