Sécurité numérique et risques: enjeux et chances pour les entreprises

Rapports d'office parlementaire

Rapport n° 271 (2014-2015), tome II, déposé le 2 février 2015

Les informations clés

Nature

Rapport de l'OPECST

Structure en charge

Office parlementaire d'évaluation des choix scientifiques et technologiques

RAPPORTEURS

Bruno SIDO
Anne-Yvonne LE DAIN

NOTICE DU DOCUMENT

Voir la notice

NOV'IT

M. Jérôme Notin, président

19 février 2014

Aujourd'hui, en France, les entreprises, les administrations et les particuliers font de plus en plus confiance à des logiciels antivirus étrangers. Nous faisons donc confiance à des logiciels propriétaires et fermés qui sont installés sur les postes de travail et les serveurs et qui ont accès à toutes les données tout en échangeant de manière chiffrée avec l'étranger . Cela, philosophiquement, pose un problème.

Lors de l'élaboration du Livre blanc sur la défense, on parlait beaucoup des problèmes éventuellement causés par les Chinois qui souvent font des choses peu louables. Il s'agit là d'intelligence économique et non de lutte contre le terrorisme Le ministère de la défense et l'ANSSI ont conscience de ce problème depuis longtemps. Les recherches sur la cryptologie permettraient de trouver des solutions sur certains points.

En parallèle, les Américains enregistrent absolument tout et, même s'ils sont incapables de tout déchiffrer aujourd'hui, ils estiment qu'ils pourront y parvenir dans quelques années. Le vrai chiffrement étatique demeure cependant très difficile à déchiffrer. Le type de chiffrement est d'ailleurs effectué en fonction des différents niveaux de classification de l'information.

Il y existe un gros problème de souveraineté, de confiance dans les outils, antivirus ou autres. Par définition, toute l'information conservée sur des machines est concernée, où que ce soit.

Cela fait plus de dix ans que je travaille dans le domaine de la sécurité, avec des recherches et des réflexions sur les innovations. Et il n'y a eu aucune évolution que ce soit sur les matériels ou logiciels, toujours russes ou américains, ou en tout cas pas de vraies solutions opérationnelles pour les entreprises, les administrations et les particuliers.

Un exemple de la domination étrangère et de la perte de souveraineté est donné par les outils de gestion des événements des systèmes d'information . Ce sont de véritables pieuvres qui se mettent au-dessus des antivirus, des routeurs, des pare-feu, des serveurs, de tout ce qui est informatique. Ces outils ont normalement une intelligence leur permettant de corréler des éléments. Ce qui permet, par exemple, de repérer une attaque depuis la Chine, ou, un dimanche, de constater qu'une machine de votre réseau se connecte à d'autres machines et envoie beaucoup d'informations.

Thales propose cela mais avec un outil américain Arcsight financé par le fonds In-Q-Tel , lui-même financé par la CIA .

Heureusement, l'État conduit des réflexions sur ce type d'outils et travaille sur un appel à projet qui a pour objectif principal de disposer de sondes souveraines. Des technologies maîtrisées, ni américaines ou chinoises, seront employées pour développer nos propres outils de surveillance réseau . Ce que l'État a imaginé, en tant qu'outil de supervision de sécurité globale du système, ce sera le but ultime car il sera capable de voir ce que les autres outils ne voient pas.

Un antivirus est là pour protéger mais il ne peut être infaillible. En revanche, ce système global sera au-dessus de toutes les strates d'information.

Le contrat moral que DAVFI (Démonstrateurs d'antivirus français et internationaux) avec l'État est de pouvoir fournir un outil qui va bien plus loin que ce que font aujourd'hui les antivirus . Nous sommes très bien partis pour y parvenir ; les résultats sont très encourageants. La première partie des modules, actuellement testée, permet déjà de faire beaucoup plus que ce que permettaient les antivirus actuels, en particulier sur les capacités de détection de codes inconnus, qui est le vrai défi technique et le vrai besoin opérationnel.

Dans le contexte actuel des communications, n'importe qui peut devenir une cible potentielle et faire l'objet de tentatives de déstabilisation de la part de puissances étrangères. Aujourd'hui, si on ne réussit pas à pénétrer mon téléphone, on aura quand même des informations sur moi par des éléments détournés comme la géolocalisation. Par recoupement, on aura un profilage.

La NSA croise les communications. Dans le monde du renseignement, plus on a de l'information, plus c'est intéressant même pour les services français. Le renseignement informatique au sens très large aide les services dans leur mission, dans la lutte contre le terrorisme ou dans l'intelligence économique.

Un exemple bien connu, en matière de vente d'avions, dans la concurrence entre Airbus et Boeing . Quand M. Édouard Balladur était Premier ministre, il a pris l'avion pour l'Arabie Saoudite et il n'y avait que deux personnes connaissant le prix qui allait être proposé pour cette vente qui allait être signée. Le Premier ministre a passé une communication téléphonique depuis l'avion avec une des deux personnes en charge de la négociation mentionnant ce prix et, à l'atterrissage, il été constaté qu'une offre financière juste un peu meilleure venait d'être effectuée par Boeing .

À l'époque les communications chiffrées n'existaient pas ou étaient très peu efficaces. Et la NSA avait déjà mis en place Echelon . Maintenant elles existent mais ce n'est pas forcément pour autant que les hommes politiques les utilisent. Teorem existe : ce téléphone sécurisé permet de chiffrer les données, de chiffrer la voix, de tout chiffrer. Mais il reste dans la boîte à gant des voitures des autorités.

L'exploitation du renseignement consiste à chercher une aiguille dans une botte de foin, mais plus on a de moyens plus cela est facile.

Pour revenir à DAVFI, il comprend aujourd'hui cinq entités et, dans le consortium, il y a une vingtaine de personnes. Fin octobre 2014, on arrête le financement dans le cadre du Programme d'investissements d'avenir (PIA) et nous allons initier la commercialisation, tout en continuant la recherche et développement.

Ma formation est commerciale et M. Éric Filiol est docteur en informatique. Des doctorants travaillent au sein du laboratoire. Ce sont des permanents qui se concentrent sur le développement informatique, la sécurité, la cryptologie et la virologie opérationnelles, dans un laboratoire qui comprend en outre une bonne douzaine de semi-étudiants ; il y a également des ingénieurs.

M. Éric Filliol travaille depuis très longtemps dans ce domaine-là, notamment au ministère de la défense. Il casse les antivirus et organise un concours sur ce thème nommé Iawacs (International Alternative Workshop on Aggressive Computing and Security ). Les antivirus sont testés avec des codes malveillants.

Dans DAVFI, le laboratoire travaille également beaucoup sur la protection même et aussi sur les tests d'antivirus pour qu'ils soient résistants aux attaques.

Aujourd'hui, les acheteurs publics ont la tâche difficile lorsqu'il s'agit de choisir des antivirus notamment lorsque le critère du prix prend le pas sur d'autres considérations. L'intérêt est de mettre au point des produits qui détectent toutes les variantes d'un virus et pas seulement le virus stricto sensu .

De nouveau, à propos de la souveraineté numérique , Mme Angela Merkel a très mal pris les écoutes opérées en Allemagne par les Américains. En France, l'État prend de plus en plus conscience de la nécessité d'une protection en matière numérique. C'est le rôle du politique de travailler à l'Europe de la défense en y incluant le numérique.

L'informatique est connue pour bénéficier de découvertes parfois effectuées par des individus solitaires. Apple et Google en ont fait la démonstration.

Des entreprises sensibles injectent dans leurs systèmes des mises à jour de logiciels sans connaître ce qu'il y a dedans. Or, le vrai virus est furtif et des portes dérobées sont mises en place avec le but qu'elles ne soient pas découvertes.

Énormément de données ont été exfiltrées quotidiennement de chez Areva qui ne s'en est aperçu qu'au bout de plus de deux années, probablement grâce à la mise en place d'un système de supervision. Nortel, société canadienne, s'est fait piller pendant des années et a disparu à cause de cela.

Les rôles de la CNIL et de l'ANSSI sont complémentaires. La CNIL a un rôle fondamental à jouer par rapport aux libertés individuelles. Ainsi, l'ANSSI essaie de mettre en place des procédures conformes à l'esprit de la CNIL. Il faut respecter toute leurs préconisations mêmes si cela n'interdit pas d'aller plus loin. La CNIL est très au fait des problématiques du monde de l'entreprise.

La fonction géolocalisation est très utilisée par Google ; elle est juste déclarative mais, sur une application, si vous répondez que vous refusez la géolocalisation, l'application peut ne pas fonctionner. Certaines applications sont considérées comme saines et utiles ; en revanche, il est possible d'envoyer une fausse localisation, par exemple l'adresse de la NSA ou d'autres : c'est ce que nous avons fait dans notre solution de mobilité sécurisée Uhuru Mobile .

La quantité d'informations recueillies par les services alliés n'a plus rien à voir avec celles recueillies il y a encore dix ans ; cela permet des recoupements sur plusieurs années.

Dans beaucoup d'applications fournies par Google figure la géolocalisation. En général, les gens ne sont pas choqués par cela.

Notre rôle est un rôle de protection, par exemple grâce aux antivirus sur le poste de travail. Pour la partie téléphonie, une véritable protection des données peut être obtenue grâce au chiffrement des données, de la voix, des SMS .

Les ministères de l'intérieur et la défense imposent des normes et des outils au sein de leurs services. On a relevé énormément le niveau de sécurité en France. Il y a quelques domaines d'excellence dont la cryptologie au ministère de la défense.

Les Américains imposent de fait les standards et les normes et, assez rapidement, dans deux ou trois ans, ils seront capables de casser les codes et déchiffreront les informations stockées par eux.

La NSA a volontairement réduit le système de chiffrement de la société privée RSA .

Le nuage informatique , qui existe depuis une dizaine d'années, devrait permettre globalement de faire baisser la consommation d'énergie puisque la puissance de calcul est déportée dans les centres de données.

À propos de variantes de l'obsolescence programmée , il est totalement anormal, par exemple, qu' Apple ne permette pas de changer la batterie sur un téléphone.

Chaque fois que Microsoft sort une nouvelle version, cela crée un besoin absurde, très dommageable puisque cela contraint à utiliser de nouvelles applications. GNU/Linux aurait pu être une solution.

La Gendarmerie nationale a l'intelligence, très particulière au sein du système français, de vouloir comprendre et maîtriser l'informatique et les nouvelles technologies en général. Elle a donc adopté le logiciel libre.

Le monde industriel est toujours en retard pour la sécurité des produits informatiques par rapport aux usages. Quand les iPhones sont arrivés, ces téléphones personnels ont été utilisés au lieu de ceux de l'entreprise qui étaient d'ancienne génération. Les entreprises n'avaient à l'époque pas les moyens de sécuriser le système et ces nouveaux usages. Sur le téléphone, la récupération de toutes les informations peut causer de vraies difficultés aux entreprises en cas de perte ou de vol. Il y a des solutions mais il faut offrir des téléphones aux collaborateurs pour être dans un monde maîtrisé. Cela peut permettre d'accéder aux applications personnelles mais les gens n'ont pas conscience des problématiques de sécurité au sens très large .

La sécurité, ça coûte cher, c'est pénible, ce sont des contraintes. Mais quand vous êtes Areva ou Nortel cela coûte encore plus cher de ne pas avoir de sécurité . Au sens très large, la sécurité informatique peut être comparée à la sécurité incendie où, financièrement, certains hésitaient à franchir le pas. C'est pourquoi on a prévu des contrôles obligatoires en matière d'incendie pour sortir du « Tant qu'il n'y a pas de pépin, tout va bien ». Pour le numérique, les pompiers seraient l'ANSSI et les extincteurs seraient les antivirus ou les pieuvres ( SIEM ) déjà évoquées précédemment.

Dans le cadre européen , la défense du patrimoine européen risque vite d'être taxée de protectionnisme. Surtout, le principe de libre concurrence risque de faire accuser de favoritisme les sociétés européennes. On sait toutefois très bien que les États-Unis d'Amérique ou la Chine sont parmi les pays les plus protectionnistes.

Un État européen est en avance en matière de cyberdéfense : l'Estonie . Déjà en avance en matière de numérique, elle l'est encore plus après avoir été attaquée massivement en 2008. Beaucoup de délégations françaises, dont l'ANSSI, sont allées en Estonie. Le centre de Tallinn est très connu. Les Anglais sont également en avance dans ce domaine par rapport à la France.

Les noms de domaine ne sont pas le plus gros problème. Il existe des protocoles libres et des associations qui pourraient être utilisés mais constitueraient potentiellement une déclaration de guerre. Aujourd'hui, Internet ne peut plus être contrôlé par un État mais doit l'être par une organisation internationale pour ce qui relève des noms de domaines.

En revanche, il est parfois dangereux de se voir imposer des normes pour l'Internet ou des « standards » comme l' Unified Extensible Firmware Interface ( UEFI ). Tous les États participent à la définition des normes dans des réunions internationales où 80 % des présents sont des Américains. Ils y défendent en premier lieu leur intérêt économique qui va parfois à l'opposé de celui des États tiers ou des utilisateurs du réseau .

Le monde du logiciel libre a de très fortes inquiétudes parce que, potentiellement, avec le système qui va être mis en place par l' UEFI , il ne sera très difficile voire impossible d'intervenir sur un ordinateur pour changer le système d'exploitation.

Il existe des moteurs de recherche DuckDuckGo ou Qwant, très performants, qui n'enregistrent rien de vos requêtes. Qwant est d'ailleurs français.

Un standard est quelque chose que tout le monde utilise ; une norme fixe des règles d'utilisation.

On ne peut pas s'inspirer de solutions adoptées dans autres États car elles sont souvent obsolètes ou faites pour leur propre intérêt. Évidemment, les sociétés doivent gagner de l'argent mais il faut avoir des systèmes de protection globaux et jouer un rôle face aux citoyens.

Il existe un logiciel libre à adapter sur des systèmes mobiles, conçu à partir d'une base Linux permettant d'améliorer la protection assurée par les antivirus qui ne peuvent pas protéger totalement les entreprises. Plusieurs couches de protection sont nécessaires : la première, la deuxième, la troisième, etc., et, au-dessus, un outil de supervision . Même avec le meilleur des antivirus, le système d'information n'est pas totalement protégé.

Dans le domaine de l'informatique industrielle , une prise de conscience est nécessaire au niveau des systèmes, SCADA, informatiques industriels . Il s'agit de logiciels particuliers, des systèmes de contrôle maintenant interconnectés et parfois directement reliés à Internet. Il s'agit de systèmes fermés pour lesquels on n'a pas toujours pris en compte le concept de sécurité, la mutualisation des réseaux induisant ainsi une certaine fragilité. C'est ainsi que, aux États-Unis d'Amérique, un jeune de seize ans a réussi à couper le système de climatisation d'un hôpital puis a essayé de rançonner cet hôpital. Il est anormal que l'interruption de la climatisation d'un hôpital soit possible depuis Internet.

Pour des raisons de coût, les mêmes protocoles et infrastructures sont utilisés mais c'est au détriment de la sécurité.

À Paris, il existe le système des valves électriques qui va alimenter en eau la ville de Paris, le système des pompiers, celui du service des espaces verts, etc. ; cinquante réseaux municipaux ont été identifiés et de nouveaux usages vont encore apparaître. Le génie civil coûte très cher. Le système nucléaire possède son propre réseau mais l'armée, pour l'usage courant, utilise les réseaux publics. D'où la nécessité du recours à la cryptographie, ce qu'elle fait très bien.

Il faut espérer que les compteurs électriques intelligents soient sécurisés mais, aujourd'hui, ce n'est pas le cas. À travers eux, il est possible de savoir quand les personnes sont là, à quelle heure elles arrivent, quand elles allument la lumière, le four, etc. Les Allemands auraient même été capables, à partir des fréquences, de déterminer la chaîne de télévision regardée. Toutes ces données ne sont pas ou mal sécurisées et passent par les fils électriques.

C'est un faux progrès. On va donner ces informations à des entreprises privées qui vont les revendre à d'autres entreprises privées. La technologie permettra de savoir exactement ce que vous consommez, de connaître vos habitudes. Il s'agit là de la protection des citoyens et de la vie privée.

De même, dès que vous jouez sur un téléphone, vous êtes localisés. Il y a eu un scandale récemment avec le jeu Angry Birds , qui permettait à la NSA de vous localiser si vous aviez installé ce jeu.

Les thèmes associés à ce dossier

Page mise à jour le 3 avril 2023

Partager cette page