Sécurité informatique: le CAS plaide pour l'ouverture

☙  Posté le 05-04-2013  | ⏱ 9 minutes  | ✔ 1761 mots
✎  Christophe Masutti

En matière de sécurité informatique, on ne le répétera jamais assez, les internautes sont bien souvent de vraies billes. Des mots de passe trop simples, utilisés pour tout type de connexion et n’importe quel site, utilisation de services Web gratuits mais peu respectueux des données personnelles… Sur un mode paranoïaque (mais sans exagération et en toute objectivité), tous ces usages inconsidérés concourent à la création d’un Internet policier digne des pires dictatures. Le Centre d’Analyse Stratégique a produit récemment une note intéressante en faveur d’un Internet ouvert et d’une informatique ouverte. Une analyse un peu à contre-courant du refrain habituel des politiques au service de l’industrie logicielle…

Cessons d’en douter, nos mauvaises habitudes sur nos outils informatiques sont dangereuses à la fois pour nous mêmes mais aussi pour la sécurité nationale, à commencer par les réseaux sociaux gratuits, première forme d’intrusion pour le cyberespionnage. L’utilisation de nos portables personnels (le plus souvent sans cryptage et sans mot de passe à l’ouverture) à des fins professionnelles sont aussi des techniques très faciles qui favorisent l’intrusion. Ces dernières années de multiples services et dispositifs informatiques se sont multipliés dans nos vies, et la diffusion de nos données personnelles ou professionnelles, que ce soit à des fins commerciales, de surveillance, ou d’espionnage (les trois étant souvent fortement liées) n’ont jamais été aussi faciles d’accès.

Nous faisons confiance à des société privées pour stocker nos données, nous faisons confiance à des sociétés privées pour utiliser des logiciels dont nous ignorons tout de la manière dont ils traitent nos données personnelles et professionnelles. Mais “nous” ne sommes pas les seuls. Les services de l’État sont eux-mêmes victimes de réflexes inconsidérés, comme le montrent par exemple les contrats passés avec des firmes privées (en particulier Microsoft) pour exploiter des services “clé en main”. Sur bien des points, des pans entiers du Service Public ont cédé au confort de la déresponsabilisation consistant à reporter l’engagement de sécurité des données sur des firmes privées, comme si des chartes et des contrats de papier apportaient à eux seuls le minimum de garantie. Qu’il s’agisse des logiciels privateurs utilisés sur nos machines personnelles ou ces mêmes logiciels utilisés à l’intérieur de l’administration publique, la fermeture du code et la boîte noire des brevets logiciels reportent fatalement la sécurité des données sur la seule garantie de la transaction, du contrat, de la bonne foi… et pas sur ce qui devrait être diffusé : le code. La séparation entre les utilisateurs et les concepteurs en matière d’informatique, surtout élevée aux plus hauts niveaux des besoins de sécurité, est une grossière erreur. Le constat est le même du côté des entreprises, qu’il s’agisse de celles qui exploitent nos données à des fins commerciales ou celles qui figurent parmi les plus innovantes et qui, pourtant, prennent bien plus de précaution.

Dans sa Note d’Analyse 324 de mars 2013, le Centre d’Analyse Stratégique fait une synthèse des questions actuelles de cybersécurité. La conclusion est la suivante :

Pour élever le niveau de sécurité, tout en tirant profit des avantages d’un Internet ouvert et décentralisé, les organisations doivent adopter une démarche rationnelle d’analyse de risques afin de mettre en œuvre une réponse adaptée sur le plan technique et organisationnel. L’offre nationale de solutions de sécurité doit également se structurer pour permettre une meilleure valorisation des compétences technologiques françaises et garantir un plus haut degré de souveraineté.

Laissons de côté la question d’un “Internet Policier”, qui n’est finalement pas le centre du rapport et concentrons-nous sur l’idée que la sécurité doit tirer avantage d’un “Internet ouvert décentralisé”. Tout est dans ces deux mots: “ouvert” et “décentralisé”. Bien évidemment! Il suffisait d’y penser! Sauf que cela fait des années que les Internautes les plus éclairés, les hackers et avec eux tout le mouvement du logiciel libre prônent cette ouverture et cette décentralisation. Qu’est-ce que cela veut dire exactement ?

Du point de vue de nos usages personnels, la décentralisation signifie que nous devons absolument cesser d’utiliser la pléthore de services gratuits pour stocker nos données tout en acceptant des conditions d’utilisation que nous ne lisons même pas. En gros : accepteriez-vous que, avant de les placer dans votre boîte, le facteur apporte d’abord vos lettres au magasin de meuble de votre quartier afin que celui-ci sache de quelle publicité vous avez besoin et dresse votre profil de consommateur? C’est pourtant exactement ce qui se passe chaque fois que vous recevez un courriel via votre compte gracieusement hébergé par des firmes bien connues. Videz-vous souvent le cache de votre explorateur ? Accepteriez-vous que ces mêmes firmes privées, qui s’approprient vos données, acceptent de donner à l’État l’historique de vos transfert de données afin que des firmes vous poursuivent (c’est le rôle d’Hadopi) ou afin de démontrer vos agissements en faveur de davantage de démocratie dans votre pays (voir l’exemple de Yahoo! en Chine). Décentraliser les données signifie donc que nous devons rester maîtres et possesseurs de nos données, savoir à tout moment où elles se trouvent et par qui elles peuvent être lues, et donc pour cela utiliser des outils adéquats: héberger ses propres données sur son propre serveur à la maison (auto-hébergement), pour le mail comme pour votre page personnelle ou votre Cloud, savoir crypter ses courriels (PGP), etc.

Du point de vue des entreprises (et en particulier, par exemple, les journalistes) ou des services publics, la décentralisation revient à appliquer ces mêmes principes, présents depuis le début de l’Internet et DES réseaux. Dans leur grande majorité les responsables sont des personnes très informées sur ces questions et savent exactement comment optimiser la sécurité. Seulement, voilà, il existe des obstacles, ceux mentionnés par le CAS, et qui ont la particularité d’être finalement les mêmes que ceux rencontrés par les utilisateurs individuels.

Du point de vue de l’ouverture, la situation est encore plus simple : il ne saurait être acceptable d’utiliser des logiciels dont nous ne savons rien de la manière dont ils traitent nos données. Les sur-couches utilisées par les firmes pour “faciliter notre expérience utilisateur” sont, à 99% des cas, des verrous qui nous empêchent de maîtriser nos données. Une belle illustration réside dans les “stores”, qui nous obligent, en tant qu’utilisateurs, à ne pouvoir utiliser que des logiciels au préalable agréés par la firme qui produit le système d’exploitation que nous utilisons : fermeture du code, impossibilité d’adapter le code à nos besoins, obligation d’accepter qu’en échange une partie de nos données personnelles soient envoyées, stockées et utilisées à des fins commerciales… ou moins avouables.

Tous ces verrous mis en place ces dernières années l’ont été de manière insidieuse, en échange de biens et de services auxquels nous n’avions jamais rêvé auparavant : se rapprocher de ses “amis” en utilisant un réseau social, obtenir “enfin” de la publicité ciblée, télécharger toujours plus vite des morceaux musicaux (sans pouvoir se les approprier vraiment), bref tout ce qui a fait qu’Internet est passé dans les représentations d’un moyen décentralisé de communication (de pair à pair) à une sorte de grosse télévision collective sans que nous puissions le moins du monde influencer les programmes.

Je m’éloigne du sujet ? non. car il est temps maintenant de divulguer les 4 paragraphes les plus importants de cette analyse du CAS (page 11):

Des blocages juridiques dommageables pour la sécurité Le cadre juridique français crée de nombreux blocages susceptibles d’affecter la sécurité des systèmes d’information :

• la loi Godfrain de 1988(55) réprime les comportements informatiques “agressifs” : appliquée de manière stricte, elle condamne pénalement le fait de divulguer publiquement une faille de sécurité jusque-là inconnue (sécurité par transparence ou full disclosure) alors que cela incite les éditeurs de logiciels à concevoir des correctifs ;
• la rétroingénierie, qui consiste à étudier un objet pour en déterminer son fonctionnement interne ou sa méthode de fabrication, est interdite lorsqu’elle est effectuée pour des raisons de sécurité informatique(56). C’est pourtant le seul moyen d’évaluer le degré de sécurité de produits propriétaires ;
• des mesures techniques de protection (57) d’œuvres numériques peuvent créer des vulnérabilités dans les systèmes d’information. Ainsi, le système de protection XCP installait automatiquement un logiciel contenant des failles de sécurité lors de la lecture d’un CD audio. Or le contournement de ces mesures est interdit par la loi relative au droit d’auteur et aux droits voisins dans la société de l’information (DADVSI, 2006) ;
• les brevets logiciels offrent la possibilité d’obtenir un monopole sur des techniques algorithmiques, y compris lorsque celles-ci sont nécessaires pour assurer la sécurité. L’article 52 de la Convention sur le brevet européen de 1973(58) exclut les “programmes d’ordinateur” du champ des inventions brevetables, mais l’Office européen des brevets (OEB) délivre en pratique des brevets logiciels en raison d’une interprétation extensive de la Convention et d’un modèle économique et de gouvernance discutable.

Si on interprète dans l’ordre des 4 points, cela donne :

• Point 1 : ne pas séparer utilisateurs et programmeurs. Les premiers doivent pouvoir faire remonter plus facilement les améliorations des logiciels et les second doivent pouvoir s’approprier les commentaires… Dans ce cas de figure les utilisateurs doivent pouvoir eux-mêmes contribuer aux programmes en remontant les correctifs. Cela implique que le code doit être accessible.
• Point 2 : le code doit être ouvert et accessible (donc modifiable) de manière à évaluer son degré de sécurité (son adaptation au besoin). Cette évaluation du code ne doit pas être faite uniquement par le concepteur (c’est un peu comme si vous demandiez à vote concessionnaire automobile si la voiture qu’il veut vous vendre est une bonne voiture, c’est pourtant ce qu’il se passe même aux plus hauts niveaux décisionnels).
• Mettre fin aux dispositifs de verrous numériques qui provoquent eux-mêmes des failles de sécurité au nom de l’intérêt des firmes. Ce point ne nécessite pas de commentaires, c’est le simple bon sens qui est à l’oeuvre.
• Mettre fin aux brevets logiciel qui imposent un black-out total sur le code au nom de la propriété intellectuelle. Ce point ne devrait pas être négociable lorsqu’il s’agit de sécurité des données… or c’est presque toujours de la sécurité des données qu’il s’agit. Donc briser les brevets logiciels devrait être une mesure qui s’impose partout et tout le temps.

En conclusion: l’utilisation des logiciels libres devrait s’imposer partout de manière à augmenter l’efficacité des mesures de sécurité (et donc la protection des données) grâce à l’accès aux programmes. Cela n’empêche nullement les firmes de travailler et d’innover, bien au contraire, puisque l’innovation serait une œuvre concertée vers plus d’efficacité dans les produits, et donc plus de sécurité, plus de respect des libertés (des individus, des services de l’État, des entreprises). C’est bien le but recherché, non ?