Les lois françaises favorisent-elles l’insécurité informatique ?

Un système mécanique, par exemple dans une voiture, est relativement facile à sécuriser :

  • Le nombre de pièces et leurs interactions est relativement limité donc le risque de panne aussi ;
  • On peut calculer la résistance de chaque pièce mécanique et prévoir sa fiabilité (MTBF), quelles que soient les paramètres : efforts mécaniques exercés sur la pièce, fatigue et usure, vibrations, chaleur, réactions chimiques, corrosion ;
  • On a accès à chaque pièce pour faire un diagnostic ou une expertise et prévoir une panne ou en connaître les causes.

Un système électronique est déjà beaucoup plus difficile à sécuriser :

  • Le nombre de pièces (plusieurs milliards de composants dans les derniers microprocesseurs) et leurs interactions est extrêmement élevé donc le risque de panne aussi ;
  • On peut calculer globalement la résistance d’un système électronique et prévoir sa fiabilité mais elles sont généralement plus faibles que celles d’un système mécanique. Les systèmes électroniques sont plus sensibles aux paramètres extérieurs : perturbations électromagnétiques, chaleur, surtensions…
  • On n’a pas accès à chaque composant, les diagnostics sont plus difficiles, on se contente simplement de changer tout un bloc.

Un système informatique est extrêmement difficile à sécuriser :

  • Le nombre d’instructions dans un code informatique complexe (plusieurs millions de lignes de code dans le noyau Linux) et leurs interactions est très élevé.
  • Il est difficile de mesurer la sécurité d’un système informatique, chaque instruction et chaque donnée extérieure traitée par le système pouvant être un paramètre.
  • On n’a généralement pas accès au code source des logiciels, ce qui rend difficile leur étude et les corrections des failles de sécurité.
  • La mise en réseau des systèmes informatiques les mets instantanément à la portée de tous les malfrats du monde (mondialisation des risques).

Lorsqu’on ajoute de l’électronique dans un système mécanique, sa sécurisation devient compliquée. Lorsqu’on y ajoute aussi de l’informatique, cela devient un véritable défi. Et ce défi va devoir être relevé de plus en plus souvent avec l’arrivée massive des objets connectés, la collecte de nos données privées (Big Data), leur transmission et leur stockage, surtout dans le domaine médical.

La sécurité informatique induit une durée de conception plus longue et plus coûteuse, elle nécessite d’embaucher du personnel plus qualifié et elle induit des frais supplémentaires et imprévisibles lorsque des défauts de sécurité sont découverts, pendant toute la durée de vie des systèmes.
Les fabricants ne veulent pas payer ce surcoût et préfèrent pratiquer la sécurité par l’obscurité. Il est plus économique de cacher la poussière sous le tapis. Le code source des logiciels n’est pas rendu public afin qu’on n’en voit pas les horreurs de conception et les publicités vantent une parfaite sécurité des systèmes, à grand renfort de termes techniques incompréhensibles pour les profanes. Et si quelqu’un de sérieux découvre des failles de sécurité et demande à ce qu’elles soient corrigées, les fabricants ont a leur disposition les lois nécessaires pour le réduire au silence et dissuader d’autres personnes de faire de même. Peut-être arriverez-vous à vous en sortir en essayant de prouver que vous agissiez pour un motif légitime de recherche ou de sécurité informatique ? Bon courage !

Pour les technologies utilisées dans les secteurs sensibles (défense nationale, énergie), la gestion de la sécurité informatique est encore plus problématique. Des enjeux plus grands et le culte du secret rendent les utilisateurs des systèmes informatiques complètement paranoïaques, empêchent toute discussion ou remise en question. Et la lecture du Code de la Défense dissuade définitivement quiconque de s’intéresser à la sécurité des systèmes utilisés dans ces secteurs. Cela est pourtant indispensable si on veut suivre l’évolution des risques et prendre conscience de ses défauts. C’est sans doute une des raisons pour lesquelles le choc a été aussi violent lors des révélations d’Edward SNOWDEN.

En 2011, nous étions invités à faire une conférence sur la sécurité informatique dans les PME. Lors des échanges préparatoires et peu de temps après l’attaque du ver Stuxnet, j’avais demandé si l’utilisation de systèmes GNU/Linux et de logiciels libres était à l’étude dans des lieux sensibles comme les centrales nucléaires. C’est ce qu’à fait la gendarmerie, rendant ainsi son système d’information indépendant, mieux sécurisé et plus économique. La réponse m’a frappé : les courriels et le téléphone étaient sur écoute à la préfecture et il ne fallait pas aborder ce sujet pour ne pas avoir d’ennuis. Je n’ai pas insisté, ayant l’impression d’être à ce moment-là en Corée du Nord ou en Chine.

Si les codes sources des logiciels ne sont pas rendus publics et si lois ne sont pas modifiées dans les années à venir pour favoriser les tests des systèmes et pour protéger les hackers qui veulent les améliorer, le combat est perdu d’avance. L’Allemagne semble un peu plus avancée que la France dans ce domaine.

En attendant, on peut saluer le déblocage d’une enveloppe d’un million d’euros dans le cadre d’un projet pilote visant à organiser l’audit des logiciels Open Source utilisés par les institutions européennes, obtenu par les députés européens Julia REDA (Parti Pirate) et Max ANDERSSON (Parti Vert).

David VANTYGHEM

  1. L’exemple de la voiture est très mauvais. Je vous rappelle qu’il y a plus de 3000 morts sur les routes en France chaque année ! La voiture, et pire la moto, sont des engins excessivement difficile à sécuriser, bien plus que le ferroviaire qui est conçu dès le début en sécurité intrinsèque, mais tout cela a un coût !

    • Vous avez raison mais les accidents de voiture sont en majorité dus à des fautes de conduite, à l’ivresse, la drogue, la fatigue. Ils sont rarement dus à une défaillance du véhicule, surtout s’il est correctement entretenu. Par contre, les pannes dus à l’électronique et à l’informatique vont être de plus en plus courantes. Or confier la conduite à ces systèmes (voiture sans conducteur) nécessite une sécurité sans faille.

  2. Confier aussi la santé à des système informatiques, comme des opérations chirurgicales à distance, ça va être fun.
    Des experts pourront toujours pérorer de la sécurité dans ce domaine ou un autre, comme d’autres experts l’ont fait avant, il y a aura toujours statistiquement des pauvres malheureux pour en faire les frais tôt ou tard.

  3. Un décret vient de sortir, imposant que l’ANSSI et des centres d’évaluation agréés aient accès sans restriction au code source des produits de sécurité mis en œuvre chez les fournisseurs d’accès à internet et dans les entreprises « d’importance stratégique ». Cela ne signifie pas que le code source sera diffusé sous licence libre mais c’est un premier pas vers un peu plus de transparence et donc de sécurité.
    http://www.numerama.com/magazine/32632-cyberdefense-chez-les-fai-des-produits-de-securite-qualifies-par-l-etat.html

Laisser un commentaire

↓