J'étais cet après-midi au colloque d'inauguration du Data Institute de l'Université Grenoble Alpes, en présence de Mme Geneviève Fioraso, députée, et de mes collègues Lise Dumasy, présidente de l'Université Grenoble Alpes et de Patrick Lévy, président de la COMUE.

Guillaume Poupard, directeur général de l'Agence nationale pour la sécurité des systèmes d'information (ANSSI), a prononcé une allocution et répondu à des questions. Je vais ici tenter de donner un résumé de ses propos ; bien entendu, il est possible que je pèche par omission ou mauvaise compréhension. Guillaume Poupard a notamment tenu par moments à distinguer sa position personnelle de celle tenue à titre officiel par l'ANSSI, et je n'ai pas forcément noté toutes ses précautions oratoires. Toute erreur ou expression malheureuse devra donc être portée à mon compte.

« La sécurité informatique ne se limite pas à la technique. Souvent, d'ailleurs, la technique est connue mais ce qui pèche c'est sa mise en œuvre.

Il y a déjà eu en France de terribles intrusions dans des systèmes de traitement d'informations. Les conditions de sécurité sont souvent abominables. Parfois, les attaquants étaient rentrés dans les systèmes depuis des années avant d'être détectés… avec des conséquences dramatiques.

Encore ne s'agit-il là que de vols de données. Il y a pire : les attaques sur les systèmes critiques — industriels, bancaires, etc. Ceux qui sont capables de les attaquer avec succès attendent l'instant opportun où ils pourront créer des perturbations répondant à leurs buts.

En conséquence, la cybersécurité doit être une préoccupation de gouvernance au plus haut niveau et non pas seulement au niveau des experts en sécurité des systèmes d'information. Sur tous ces sujets, l'ANSSI travaille en bonne intelligence avec la CNIL (Commission nationale de l'informatique et des libertés).

Dans une approche traditionnelle de la sécurité, on considère la question de la sécurité des systèmes de traitement d'informations séparément de la question des traitements qu'ils opèrent et des données qu'ils entreposent : on sépare le contenant du contenu. Une telle approche n'est plus possible lorsque l'on considère le cloud, avec externalisation du traitement de données.

Dans quels cas est-il ou non raisonnable d'utiliser le cloud ? L'ANSSI a un processus de qualification de prestataires. Le recours au cloud peut d'ailleurs améliorer la sécurité, puisque les prestataires spécialisés ont des moyens techniques qui vont au-delà de ce que peuvent faire en la matière la plupart des petites et moyennes entreprises, où souvent les aspects informatiques sont gérés par des personnels dont ce n'est pas le métier dans le temps qu'il leur reste.

L'Internet des objets (IoT, Internet of Things) pose des problèmes nouveaux, notamment pour les objets connectés médicaux. Par exemple, comment appréhender la sécurité d'un pace-maker ? Pour des applications moins critiques, la sécurité est hélas souvent une préoccupation très secondaire des fabricants, qui voient en elle des coûts et des délais supplémentaires — l'objectif est le time-to-market, la présentation à Las Vegas au consumer electronics show.

Les géants du Web, les GAFA (Google Apple Facebook Amazon) échappent de plus en plus aux états — on le voit déjà fiscalement. On parle beaucoup du Big Data, buzzword actuel qui désigne ce que l'on appelait naguère fouille de données ou data mining — et aussi de deep learning, approche actuellement à la mode pour mener à bien le vieux programme de l'intelligence artificielle. Que penser d'un monde où 3 ou 4 « intelligences artificielles » collecteraient les données de toute la planète ?

Des compagnies d'assurance peuvent vouloir proposer des polices moins chères aux personnes en bonne santé qu'à celles en mauvaise santé. On s'émeut de la confidentialité d'informations relatives à des problèmes de santé, mais qui songe à dissimuler sa bonne santé… qui peut s'inférer par recoupement de diverses données.

Le règlement européen sur la protection des données est une avancée. La notion de donnée personnelle n'a longtemps pas été claire ; mais maintenant les juristes considèrent que l'adresse IP en est une. Cela n'est pas sans poser des problèmes pour l'analyse forensique de sécurité : celle-ci s'appuie sur des journaux de connexions comprenant de telles adresses… Et pour des raisons de sécurité on peut vouloir conserver de telles informations 10 ans après une attaque !

Le statut de la donnée est chose complexe. Des données sensibles peuvent, après anonymisation et autres traitements, être utilisées pour produire des données publiques. Par exemple, pour la production de prévisions météorologiques publiques on utilise des données confidentielles défense de certains senseurs.

Dans certains traités commerciaux internationaux en cours de négociation (TAFTA etc.), on évoque la libre transmission des données (free flow of data). Les législations ou réglementations nationales interdisant ou restreignant la transmission de certaines données vers d'autres pays seraient alors considérées comme faussant la concurrence. À ce sujet, il ne faut pas confondre, comme on le fait parfois, la libre transmission des informations, une forme de liberté de parole, avec la libre transmission des données. Le 6 et 7 avril prochain on discutera de ces sujet à l'UNESCO.

On parle parfois de cyberguerre. Dans la guerre à l'ancienne, on se battait pour des territoires. Même si de tels conflits subsistent, on se bat de nos jours plutôt pour des ressources naturelles. Demain, se battra-t-on pour des données ? Le Manuel de Talinn est un guide rédigé par un groupe d’experts mandatés par l’OTAN, qui propose une transposition du droit international aux cyberconflits.

Il ne faut pas opposer sécurité et Open Data, l'accès ouvert aux données notamment publiques. Le réflexe pourrait être de tout garder secret ; il vaut mieux procéder à une analyse de risque. Sur ces sujets, l'ANSSI discute beaucoup avec Henri Verdier, administrateur général des données de l'État.

Sur tous ces sujets, l'ANSSI travaille. La moitié des travaux de ses chercheurs sont publics, l'autre moitié confidentielle. Elle collabore actuellement avec le monde universitaire et de la recherche surtout dans les domaines techniques ; il s'agit d'étendre ces collaborations à d'autres domaines.

Abordons maintenant la question des données relatives aux attaques informatiques. Bien entendu, ces données sont précieuses pour les chercheurs et les développeurs de moyens de sécurisation et il est souhaitable qu'elles soient disponibles. On ne peut pourtant pas aveuglément disséminer les informations relatives aux entreprises attaquées. Il ne faut pas perdre de vue qu'il s'agit là de victimes, qui attendent que leurs problèmes soient traités confidentiellement afin de ne pas souffrir de la publicité négative. Une solution est d'extraire et de diffuser des marqueurs et signatures des attaques ; mais ceci demande un travail important.

[Note personnelle : il existe le même problème en matière de vérification automatique de sûreté de fonctionnement des logiciels. Les industriels attendent des solutions qui fonctionnent bien sur leurs cas d'espèce, mais refusent de communiquer ceux-ci aux chercheurs, qui ne peuvent donc pas adapter leurs méthodes et leurs outils en fonction. In fine, tout le monde est mécontent : les industriels trouvent que les outils sont inadaptés à leurs besoins, les chercheurs prennent des exemples artificiels.]

On évoque les pratiques des services douaniers de certains pays (États-Unis), qui ordonnent aux voyageurs de donner accès à leur ordinateur ou téléphone, de communiquer des mots de passe, etc., sous peine d'être renvoyés par le prochain vol. Une suggestion, à titre personnel, serait d'appliquer les mêmes méthodes par réciprocité aux voyageurs de ces pays entrant en France et en Europe. On a vu par le passé l'efficacité de cette mesure, par exemple quand le Brésil a imposé la prise des empreintes d'identité des voyageurs américains.

La situation de l'ANSSI comme service du premier ministre (et non comme autorité indépendante comme la CNIL) est adaptée. En cas de crise majeure, il faut être en mesure de prévenir rapidement président et premier ministre.

D'autres pays ont fait le choix de regrouper au sein du même service les activités d'espionnage et celles de protection contre les intrusions (les États-Unis au sein de la NSA, le Royaume-Uni au sein du GCHQ). Ce n'est pas le choix de la France ; il s'agit de deux métiers distincts, même si des contacts peuvent et doivent exister. L'ANSSI est donc parfois informée d'intrusions par des services secrets étrangers.

La suppression de la possibilité de voter par voie électronique aux élections législatives pour les Français de l'étranger a suscité la polémique. Malheureusement, malgré des travaux de sécurisation y compris ces derniers mois, la plate-forme utilisée n'était pas robuste et au niveau des menaces.

En matière de vote électronique, il existe des études théoriques très avancées. Le problème là encore est plus dans la mise en œuvre.

Il faut également rappeler l'actualité de ces derniers mois. Le comité national du Parti démocratique américain (DNC) a fait l'objet d'une attaque informatique qui a donné lieu à des divulgations d'informations — il y a d'ailleurs certaines similarités avec l'attaque sur TV5 Monde. Cela a-t-il déstabilisé le processus démocratique au point d'en changer le résultat ? Nous ne le saurons jamais.

À ce sujet, notons qu'en cas de révélations massives de courriers électroniques et autres données, il est aisé de rajouter au milieu d'informations véritables des fausses informations. Des campagnes de désinformation peuvent ainsi être menées.

Outre ces aspects, les élections posent bien sûr des problèmes classiques de sécurité informatique en ce qui concerne les systèmes de collation des résultats. »

Mme Fioraso a demandé ce que l'on entend par « darknet » et s'il est possible pour une agence comme l'ANSSI d'y recruter des experts.

« Le Dark Net est une expression de journaliste. Il s'agit, en bref, de services Internet non indexés par les moteurs de recherche et mis en place par des gens qui veulent y traiter à l'abri des autorités. On y propose un grand nombre de produits et de services illicites. Le Dark Net donne lieu à bon nombre de fantasmes, mais il ne s'agit pas que de cela.

L'ANSSI recrute des hackers au sens originel du terme, c'est-à-dire des personnes qui aiment la technique, des « bidouilleurs » mais sans connotation péjorative. Elle ne recrute pas de pirates. Ses personnels sont habilités au confidentiel défense, elle ne peut se permettre de recruter des individus peu fiables ou délinquants.

On nous demande si des terroristes pourraient mener des cyberattaques.

Il existe actuellement des groupes mafieux aux bénéfices importants — on parle de milliards — tirés d'attaques informatiques, par exemple du blocage et chiffrement des données dans des ordinateurs avec exigence de rançon pour leur déchiffrement.

Ces groupes mafieux, opérant pour leur profit, peuvent fort bien vendre leurs services à des pays ou groupes hostiles qui n'auraient pas sinon les compétences et capacités de mener eux-mêmes des attaques. Il n'y a d'ailleurs même pas besoin que commanditaires et commandités se rencontrent physiquement. Il y a déjà eu des attaques inhabituelles qui pourraient relever de ce genre d'arrangements.

À plus petite échelle, on trouve sur le Dark Net des prestataires d'attaques à la demande. On peut ainsi acheter une certaine durée d'attaque en déni de service, par exemple contre une entreprise concurrente. »

[Note : Une attaque en déni de service est une attaque informatique saturant un système informatique pour l'empêcher de rendre le service attendu. Par exemple, on pourra saturer un site Web de requêtes afin de le rendre inaccessible aux utilisateurs.]

Une question sur la transparence des fonds publics a été comprise par Mme Fioraso comme une question sur la transparence des frais des élus. Elle a indiqué être en faveur du remplacement de l'indemnité représentative de frais de mandats (IRFM) par un remboursement sur note de frais, comme cela se fait dans les entreprises ou administrations. D'après elle, la mise en place de la Haute autorité pour la transparence de la vie publique (HATVP) a mis un terme aux abus les plus criants. Initialement, les données en étaient publiques sans démarche d'accès, mais cela posait des problèmes de vie privée : par exemple des notaires et avocats s'en servaient dans des procédures de divorce ou d'héritage.

Mme Fioraso a également relevé le danger qu'il y a à ce que des universitaires se posent en opposition aux « élites », car l'opposition aux « élites », le poujadisme, les touche également.