ÉCOLE SUPÉRIEURE D'INFORMATIQUE ÉLECTRONIQUE AUTOMATIQUE (ESIEA) OUEST
M. Éric Filiol, directeur du laboratoire de cryptologie et de virologie opérationnelles
2 avril 2014
Les récentes révélations de la presse sur l'affaire Snowden n'ont pas fini de nous réserver quelques surprises même si les spécialistes n'ont pas été vraiment étonnés.
Les premiers programmes d'espionnage US - dont Prism n'est qu'une suite - ont été mis en place par les Américains dès la fin des années 1940. La technologie des communications et de l'information s'était déjà révélée comme étant vraiment du domaine militaire et nécessitant un contrôle ; dès cette époque, le général De Gaulle avait décidé que ça devait être une affaire strictement nationale, en particulier tout ce qui touchait au chiffrement des communications souveraines (étatiques). Le problème, c'est que, année après année, la technologie évoluant, elle a envahi nos vies et conduit à une perte quasi totale de souveraineté par des situations de quasi-monopole des États-Unis d'Amérique .
Certes, l'exception culturelle est importante d'autant que, dans la tentative d'assimilation de tous les pays par un seul, la culture est un enjeu important. Elle fait partie du plan consistant à faire adhérer à des normes et à une culture dominante. Le but ultime est le contrôle des populations assimilées via la divulgation permanente de la vie de tous. Face à cela, la France devrait, comme le font les États-Unis d'Amérique, mais en violation des accords internationaux en matière de commerce, considérer que les questions de sécurité doivent être sorties des accords internationaux et imposer que, dans un certain nombre de domaines, les produits soient purement français ou a minima européens (et relevant du droit européen et non plus anglo-saxon).
Un exemple, emblématique, a été cité par M. Jean-Marie Bockel, à savoir les routeurs qui sont des équipements en réseaux que l'on trouve partout, ce sont des gares de triage de l'information. Ils constituent un matériel critique mais facile à produire car ils ne requièrent pas, à l'inverse des processeurs, d'industrie lourde. Pendant longtemps, il y a eu une fourniture française en matière de routeurs grâce à Alcatel ; de ce fait, on était à peu près sûr de savoir ce qui se trouvait, ou non, dans les routeurs. Dans le contexte du commerce international sous domination nord-américaine, on a envie de savoir par qui on est espionné en ayant déjà admis que le seul choix qui nous reste est celui de choisir qui nous espionnera.
Le sénateur Bockel avait, à juste titre, alerté l'opinion sur les routeurs chinois mais les routeurs américains sont tout aussi dangereux. Pour les infrastructures critiques, il faut revenir à une certaine souveraineté, sinon française, du moins européenne, qui serait de nature à créer des marchés.
L'esprit français, assez particulier, l'un des plus innovants de la planète, en ce qu'il est un mélange de Descartes et de l'esprit gaulois, fait que les Français sont capables de produire des choses étonnantes. Technologiquement et par voie de conséquence, économiquement et psychologiquement, la France a vocation à figurer parmi les nations qui comptent mais cela ne sera pas possible si l'on utilise des outils fournis par l'adversaire dont les Chinois. Comment peut-on construire une cyberdéfense rationnelle et indépendante en faisant le choix du tout Microsoft pour nos armées ? La France mériterait mieux que de se borner à choisir par qui elle peut être dominée.
L'évolution technologique a également comme conséquence que, à l'heure actuelle, la désinformation devient de plus en plus compliquée car les organismes de renseignement de pays comme les États-Unis d'Amérique, la Russie, la Chine, leur permettent de dominer beaucoup de choses, notamment dans le domaine mathématique ou informatique, ce qui facilite le repérage d'informations discordantes et rend difficile voire impossible la désinformation.
Autrefois, une image satellite permettait de distinguer un char. Maintenant, avec Google earth et une vision inclinée, des détails bien plus précis sont identifiables et on se demande comment cela peut être autorisé par un État comme la France. Quand la Google car passe dans les rues pour effectuer des relevés, si quelqu'un a sa porte ouverte, c'est comme si on entrait chez lui ; il s'agit là d'un viol des vies privées . Désormais, pour monter un cambriolage, il suffit de rapprocher l'information de Facebook de celle du plan de masse reproduit par Google . En informatisant les informations, on amplifie les possibilités de croisement et de renseignement.
Après les attentats du 11 septembre 2001, il a été établi que les États-Unis avaient eu en leur possession toutes les informations mais n'avaient pas été en mesure de les traiter. Par la suite, d'énormes progrès ont été faits avec la capacité de traiter très rapidement un très grand nombre de données ( data mining appliqué au domaine du big data ). En effet, il existe de nombreux modèles mathématiques qui permettent de se retrouver, dans des données massives , des informations sensibles voire très sensibles (extraction de connaissances) et cela va bien au-delà des techniques proposées par les nuages numériques dont on parle beaucoup.
Finalement, le traitement de données massives peut permettre d'exploiter utilement même une information d'apparence anodine en jugeant de son niveau de confidentialité. Cela va devenir de plus en plus difficile de qualifier le niveau de criticité d'une information.
Si l'on prend le cas du réseau ferroviaire, il suffit de quatre ou cinq personnes pour bloquer pendant quarante-huit ou soixante-douze heures l'ensemble du réseau à condition d'intervenir au bon moment et au bon endroit grâce à l'exploitation de l'information ouverte , qui peut devenir une information opérationnelle pour quelqu'un de malfaisant.
Cependant, même si la cybersécurité a son importance, le danger n'est pas où l'on pourrait croire. Ce n'est pas une attaque informatique qui, à elle seule, va bloquer un pays car les systèmes sont suffisamment variés et bien gérés. Les syndromes de type Tarnac, « hacktivismes » extrêmes sont plus inquiétants. En effet, à partir d'une bonne information, beaucoup de dégâts peuvent être causés par un petit groupe de personnes qui disposent de moyens conventionnels. Par exemple, les infrastructures critiques nord-américaines pourraient être bloquées durablement. En fait, si après une panne d'électricité de quelques minutes, beaucoup de choses se remettent en place, il n'en va pas de même après plusieurs heures d'interruption. C'est ainsi qu'une attaque, dans le sud-ouest de la France, a pu provoquer une panne d'électricité chez les abonnés à partir de seulement quatre armoires électriques qui avaient sauté. Cela a montré qu' il est possible de bloquer relativement durablement Internet, le téléphone, etc .
Ces attaques vont devenir de plus en plus faciles à mettre en oeuvre. La capacité de traitement des informations, notamment par des particuliers, existe désormais et requiert peu de moyens. Elle permet, en quelques jours, d'identifier les points critiques pour des attaques à partir de données uniquement ouvertes. Les informations qui concernent les infrastructures, les personnes, sont soit directement ouvertes soit semi-ouvertes.
Les États-Unis d'Amérique ont avoué avoir exagéré la menace terroriste pour finalement mettre en place une cybersurveillance du monde entier . Quatre-vingts chefs d'État seraient surveillés en permanence. Le côté systématisé et permanent étonne autant que le fait que seuls deux responsables politiques ont réagi ; il s'agit de deux femmes, la présidente du Brésil et la chancelière allemande.
En France, je ne suis pas persuadé que la population et les décideurs aient été indignés outre mesure par l'affaire Snowden. Pourtant, j'avais d'abord été surpris quand l'ancien patron de l'ANSSI avait déclaré que, chez nous, l'affaire Snowden ne changerait probablement rien.
À noter que les Américains eux-mêmes sont également obligés d'acheter des matériels chinois. Dans tous les domaines, la réalité technologique du numérique implique également les Chinois et les Indiens - même si, au départ, le terme Internet, français, a été inventé par le CERN.
Il faut bien distinguer le peuple américain du gouvernement américain qui a une certaine vision hégémonique. C'est pourquoi il est choquant de ne pas réagir quand il pille systématiquement nos entreprises pour maintenir une suprématie qui n'est pas aussi légitime qu'il le croit.
Face aux Américains qui violent constamment les accords de l'organisation mondiale du commerce, la France devrait affirmer qu'elle ne veut pas sous-traiter sa sécurité.
Récemment, Mme Angela Merkel a proposé que soit utilisé un réseau Internet européen, proposition refusée par le chef de l'État français. Le problème est que la France et l'Allemagne ont accepté d'agir pendant de nombreuses années comme sous-traitants de programmes d'espionnage américain, comme le programme Lustre ; l'affaire Orange a montré que cette société coopérait, notamment sur l'affaire des câbles sous-marins, avec le gouvernement américain. Le Service fédéral de renseignement allemand ( BND ) n'est pas tout à fait clair non plus.
En outre, il faut voir au-delà des faits bruts. Jusqu'en 1995, deux sociétés suisses avaient la quasi-suprématie sur le marché des machines à chiffrer pour usage gouvernemental . En réalité, dès la fin des années 1950, les Américains avaient infiltré une de ces sociétés suisses et fait en sorte que toutes les machines vendues par cette société à des postes diplomatiques, par exemple, soient accessibles aux Américains comme des livres ouverts . En 1995, un commercial de premier rang de cette société a été retenu en Iran car il y avait eu des fuites dans la presse qui prouvaient que les occidentaux décryptaient les messages iraniens. Toutes les machines vendues à l'export étaient trafiquées. Néanmoins, si le travail avait été organisé aux États-Unis, les gouvernements allemand, avec Siemens , suédois avec Ericsson et Transvertex, et hongrois étaient impliqués. Cela montrait que les Européens n'étaient pas forcément opposés à ce genre de pratique.
Les prochaines révélations de Snowden vont être passionnantes mais il n'est pas certain qu'elles ne ciblent pas la France. Et il faut s'attendre prochainement à l'apparition d'autres Snowden.
Actuellement, les Russes sont très méfiants vis-à-vis de la technologie occidentale et envisagent de mettre en place une normalisation autonome permettant la protection de toute la société russe.
Dans ce contexte, il semble impossible de rester sans réagir, notamment au moyen du chiffrement pour lequel la France est bien armée notamment du fait de son école de mathématiques. Mais l'esprit des chercheurs a malheureusement été pollué par la règle « publier ou périr ». Ceux qui font le choix d'aller travailler à la direction générale de l'armement à Bruz produisent de brillants algorithmes mais, de plus en plus, malheureusement, depuis que la France a réintégré le commandement militaire de l'OTAN, on devra utiliser des algorithmes américains. Les pays, notamment pour leurs armées, ont basculé massivement sur Windows et dépendent d'un contrat avec Cisco .
Un produit militaire va peut-être devenir un produit standard de chiffrement pour l'Europe : c'est le logiciel de chiffrement Acid mis au point par des mathématiciens français de la DGA. Mais, dans l'utilisation européenne de ce chiffrement par blocs, on sera obligé d'intégrer le standard AES fourni gratuitement par les États-Unis d'Amérique, ce qui constitue un diktat de fait. Actuellement, nous sommes victimes des normes américaines ou chinoises (comme le classement de Shanghai).
Comme l'a mentionné le sénateur Jean-Marie Bockel, il existe une frange importante de jeunes hackers qui constituent des ressources de premier ordre. Ils sont loin d'être des autistes et il serait intéressant de les écouter. La France possède l'avantage majeur d'avoir de nombreux jeunes brillants dans le domaine du numérique même s'ils ne sont pas les plus diplômés. Malheureusement, Google et d'autres sociétés étrangères sont actuellement en train de piller ce vivier de jeunes. Un sursaut national s'impose pour tirer parti de ces savoir-faire et de ces bonnes volontés. À l'étranger, les États-Unis d'Amérique ou Singapour les accueillent à bras ouverts.
Avant, le chiffrement supposait d'intercepter la transmission. L'arrivée de l'informatique a révolutionné cela. Snowden a révélé que c'étaient moins les algorithmes qui protégeaient, comme des sortes de portes blindées de systèmes informatiques, que la solidité des murs autour des portes, trop souvent aujourd'hui les équivalents de murs en carton. Dès lors, plutôt que de s'attaquer à la porte blindée, il est plus facile de découper le mur à l'aide d'un cutter . La plupart du temps, les normes américaines permettent d'extraire ce qui est sur l'ordinateur au moyen, par exemple, d'une porte cachée ( backdoor ) située sur le disque dur ou dans le système d'exploitation ( firmware) . Il faut donc avoir une vision globale de la sécurité incluant les portes et les murs.
Or, comme nous n'avons ni la maîtrise de l'informatique ni la maîtrise des systèmes d'exploitation fournis par l'adversaire, quand Microsoft fournit un antivirus, il peut faire ce qu'il veut, quand il le veut, sur nos systèmes.
Les processeurs contiennent des portes dérobées. Il faut savoir que leurs codes peuvent être changés à la volée, c'est ce que l'on appelle le microcode. La procédure même de sa mise à jour est opaque et non documentée. Pour l'essentiel, les processeurs sont de marque Intel . Les seuls processeurs, pas très puissants encore, mais sur lesquels on peut intervenir sont des processeurs ARM fondés sur des architectures RISC ( Reduced Instruction Set Computer, microprocesseur à jeu d'instructions réduit) et développés par la société ARM Ltd .
À noter que le cryptage est une condition nécessaire mais non suffisante . Quand les ordinateurs sont commandés à des entreprises américaines, Snowden a révélé qu'ils pouvaient être piégés par la NSA (programme la section TAO - Tailored Access Operations - de la NSA ).
La réglementation interministérielle (IGI 900) dit bien que, si l'on veut faire un système de sécurité rationnel, c'est un triptyque qui doit comprendre le chiffrement (la porte blindée), la sécurité informatique - la solidité du mur, la lutte contre les signaux parasites compromettants - c'est-à-dire que, si vous travaillez sur un ordinateur et que vous ne chiffrez pas vos informations, le matériel va rayonner et, en captant ce signal, on va pouvoir le traiter mathématiquement, à 150 m en propagation par air et jusqu'à 500 m par conduction. Si l'on travaille sur un ordinateur, on peut capter ses ondes grâce à un canal électrique ou à une conduite de chauffage ou de téléphone ; à ce moment-là des personnes peuvent récupérer l'information, par exemple, dans la chaufferie.
Les techniques sécurisées sont utilisées par les grands corps de l'État, qui savent que la cryptographie seule ne suffit pas , et comprennent la sécurité informatique au centre et autour incluant la gestion des personnels et des matériels. Le problème, c'est que tout est occulté sauf la partie cryptographie sur laquelle on se focalise. C'est très simple de mettre un virus dans un ordinateur ou de l'avoir fabriqué en y mettant des fonctions non renseignées ou non documentées dans le système d'exploitation ; au moment où vous saisissez la clé, on pourra la récupérer.
Le cryptage quantique pour l'instant se limite à la transmission sécurisée de clés aussi longue que le message et pas vraiment au chiffrement. On combine un masque de bruit à des données en clair à travers une transmission de données par flot. L'inviolabilité peut être garantie grâce à ce système, comme le protocole Brassard-Bennett . Le chiffrement quantique n'est pas encore tout à fait au point. Mais on peut garantir qu'il n'y a pas eu d'écoute. C'est ce que font les banques suisses qui ont beaucoup investi : elles ont été capables de faire des transmissions à faible débit jusqu'à environ 60 km.
Un problème d'implémentation se pose pour la transmission quantique. Or, des chercheurs norvégiens ont montré que, en éblouissant des photons, on pouvait faire des choix en termes d'attaque. Cela est un gain théorique important et très coûteux mais les débits ne sont pas encore au rendez-vous. Cette technologie est donc prometteuse mais entourée de beaucoup d'incertitudes.
Se pose la question de savoir si ce champ de recherche n'a pas été suggéré et favorisé par les Américains pour inciter les autres à engager des dépenses extraordinaires au détriment d'autres domaines de recherche prometteurs comme la cryptographie, sont à favoriser. La France a tous les mathématiciens pour le faire tout en accroissant l'incertitude chez l'adversaire. Il faut faire en sorte que les interceptions coûtent beaucoup plus cher aux États-Unis que la valeur du renseignement retiré. Le quantique serait le meilleur moyen d'épuiser les fonds en matière de recherche et d'empêcher d'aller explorer des champs finalement pas si prometteurs que cela.
Il faut acquérir à nouveau une indépendance conceptuelle en termes de mathématiques et ne plus dépendre de standards étrangers (comme l' AES ). C'est le choix fait par les Russes avec l'algorithme GOST . Une vision plus large que celle de l'outil s'impose.
Il faudrait se trouver à nouveau dans la situation où sont actuellement les Américains, c'est-à-dire être à même d'imposer des normes - cela était la vision du Général de Gaulle. En effet, à travers ces normes, vous standardisez la pensée en obligeant à choisir un système dont on ne peut être sûr . Pour beaucoup de standards, l'absence de preuves d'insécurité est devenue une preuve de sécurité en soi, ce qui est particulièrement gênant .
De plus, si quelqu'un arrive à décrypter les algorithmes, opérationnellement un algorithme ou un standard de chiffrement, il n'ira pas publier sa découverte. Ce que savent faire les gens n'est pas forcément révélé dans ce domaine. Dans le domaine informatique, l'absence de preuve doit être prise avec beaucoup de précautions. L'école française de mathématiques devrait se demander s'il ne faut pas emprunter d'autres pistes en matière de recherche mais, au niveau international, il faut publier selon les thèmes qui ne sont jamais choisis par les Français . Je l'ai vécu en tant que chercheur : dans certains comités de programmes, dans certains domaines très sensibles, comme les fonctions booléennes ou la combinatoire des systèmes de chiffrement, on ne veut pas qu'il y ait des publications et tout le monde est amené à conduire des recherches selon l'orthodoxie américaine. À cet égard, un papier très intéressant a été publié par une Autrichienne, dans le domaine des mathématiques, modélisant les boites de substitution du Data Encryption Standard ( DES ), algorithme de chiffrement symétrique ou par blocs, mais on n'a plus jamais entendu parler d'elle. Or, un tel article était de nature à susciter beaucoup d'interrogations et de recherches. Les thèses différentes ou en rupture d'orthodoxie scientifique n'ont pas droit de cité.
Les Américains maîtrisent les revues internationales, les organismes d'indexation de celles-ci, d'évaluation ou de notation . C'est un jeu pervers qui concerne le contrôle des esprits. Un jeune chercheur doit publier pour exister, aller dans le sens de l'orthodoxie ; cela entraîne, peu à peu, le formatage des esprits ainsi qu'une orientation de la recherche .
À ce jour, pour un chercheur, accepter de mener des travaux de thèse classifiés (impliquant de ne pas publier) est un risque pour une future carrière universitaire.
L'industrie comprend un peu cette problématique, en particulier via le dispositif des thèses CIFRE (Conventions industrielles de formation par la recherche). À l'époque, j'avais proposé de mettre en place un vrai mécanisme de reconnaissance des études classifiées évaluées in fine par des ingénieurs de l'armement, en précisant que tel sujet était classifié mais que l'ANSSI pourrait néanmoins attester de la qualité du travail qui pourrait alors être reconnu comme valant telle publication de bon niveau ou dépôt de brevet ; ce certificat permettrait de dire qu'il s'agit d'un travail académique, scientifique de tout premier plan et donc de valoriser un dossier académique. À l'heure actuelle, ce mécanisme manque alors qu'il pourrait inciter les jeunes à choisir des sujets beaucoup plus intéressants tout en renonçant à publier.
Aux États-Unis d'Amérique, la politique de recrutement est complètement différente. La NSA fait passer une thèse en interne, ce qui est très pragmatique. Dans une conférence de hacking , les personnes appartenant à la NSA n'ont pas peur de porter un badge , de même que celles du NCIS, du FBI car l'esprit patriotique a une signification aux États-Unis. De la même manière, les personnes passées par la NSA ne craindront pas de le faire apparaître dans leur curriculum vitae .
En 2003, j'étais militaire et m'occupais de conférences consacrées à la sécurité, dont une sur les techniques de désassemblage, c'est-à-dire sur la manière de pénétrer les secrets d'un système informatique ou de programmes et j'avais repéré un jeune tout à fait brillant mais ne possédant « qu'un BTS ». Il était donc souhaitable que ce jeune demeure sous la tutelle de l'État, y fasse carrière, mais le niveau de salaire ridicule proposé - sur la base de son diplôme officiel et non de son potentiel - fait qu'il a été engagé par une société américaine et que, maintenant, il est dans une société russe. S'il avait été possible de lui procurer un salaire décent, il serait resté au sein de l'administration française. Des jeunes brillants comme lui existent en grand nombre dans notre pays.
Autre exemple, j'avais trois jeunes étudiants dans mon laboratoire qui ont mené, sous ma direction, une recherche dans un domaine de sécurité très pointu. Ce travail a rendu un grand service au Secrétariat général du Gouvernement (SGG) à propos de choix technologiques importants. Il était donc normal de récompenser ces étudiants par un moyen quelconque, comme une décoration. On pourrait imaginer une décoration spécifique pour cette catégorie de chercheurs ou, à tout le moins, de leur adresser des lettres de félicitations adaptées auxquelles ils seraient très sensibles. Tous les jeunes ne recherchent pas forcément la richesse mais une reconnaissance juste et méritée. Il faut restaurer le goût et la fierté de servir l'État chez les jeunes et ce, sans distinction de critères.