L’édition finale 4.0 de Emet (Enhanced Mitigation Experience Toolkit) est disponible en téléchargement sur le centre de téléchargement Microsoft. Pour ceux qui ne souhaiteraient pas se plonger dans la documentation, il suffit d’installer le programme et d’indiquer, via le GUI, quelles sont les applications que l’on souhaite voir protégées par ce système d’encapsulation (compatible DEP/ASLR etc.). Comme définir ce genre de liste de logiciels à protéger est un travail fastidieux au possible, un certain nombre de profils prédigérés prenant en compte les programmes les plus courants peuvent être invoqués depuis l’interface graphique ou la ligne de commande.
La révélation Prism sera-t-elle assez puissante pour provoquer une réaction de l’Europe et d’une partie de l’Asie ? La question se pose de plus en plus directement autant dans les milieux politiques que dans le landernau sécurité. La récente réaction de l’Allemagne, du Japon, et même de la Grande Bretagne qui montre qu’elle sait « barbouzer » même (et surtout) lorsqu’elle invite des chefs d’Etat, laisse à penser que ces quelques aspirations à posséder un « prism maison » ne constituent que la partie émergée d’un iceberg de l’espionnage numérique. Pour trois coming-out, combien de décision demeurées secrètes et pourtant en cours de formalisation dans les autres pays de l’OCDE ?
Car ce Prism comporte une multitude de facettes qui, chacune, décompose en un éventail de possibilités selon l’éclairage qui tente de les mettre en valeur : Militaro-policier, industriel, infrastructurel, politique intérieure, politique extérieure, commerciale et situation de crise.
L’aspect concernant les outils régaliens de défense, tant militaires que policiers, n’est contesté par personne, surtout depuis le précédent Stuxnet. Internet peut devenir un espace d’affrontements, et chaque Etat se prépare non seulement à réagir à d’éventuelles agressions, mais également travaille à développer une composante offensive efficace. Si vis pacem… Ce qui implique le concours de quelques fabricants d’armes et de boucliers, généralement des entreprises spécialisées dans le secteur de la sécurité Informatique. La France n’est pas l’un des pays les plus mal dotés en ce domaine.
La facette industrielle demeure, en Europe, assez faible. L’indolence et l’absence de concertation Européenne en matière de politique numérique a fait qu’il n’existe pratiquement pas de véritable vecteur capable de pénétrer le tissu industriel international (quelques trop rares SAP ou Siemens mis à part). La « grande frousse » Prism n’est pas tant liée à la prise de conscience qu’un service de renseignement étranger pouvait faire ce pourquoi il a été constitué, mais parce que les outils qu’il pilotait (les services en ligne commerciaux de nationalité U.S.) s’étaient incrustés depuis des années au plus profond de la société Européenne. A tel point que l’ablation semble désormais impossible. Cette osmose, ou cette croissance parasitaire, est fondamentalement univoque. Il n’existe pas de « dépendance » comparable Outre Atlantique vis-à-vis d’outils Européens dont l’industrie du Nouveau Monde puisse se passer.
Infrastructurel ensuite, bien que des efforts considérables aient été prodigués durant ces dernières années pour que chaque pays d’Europe soit moins dépendant de l’architecture définie par l’Icann et le bon vouloir des Top Level Administrators. L’infrastructure est une composante stratégique Scada que l’Europe ne maîtrise pas encore. Pourtant, quelques signes annonciateurs de danger ont déjà été ressentis. Dès le début de l’aventure Internet grand-public d’ailleurs. Il suffisait qu’un backup d’annuaire cafouille chez Network Solution pour que tout internet s’enrhume durant deux ou trois jours. Plus récemment, en novembre 2010, la Chine était accusé d’avoir détourné, durant 18 minutes, une partie du trafic Internet détournant momentanément 15 % des échanges courriel du monde occidental. Cette brève tentative et démonstration de force aurait dû plonger l’Europe dans un abîme de perplexité et une frénésie de réactions. Deux semaines après cet évènement, plus un seul Ministre n’en parlait, et aucune remise en cause radicale des réseaux IP n’a été mise en chantier.
L’aspect politique, en revanche, est l’un des plus développés. Pas toujours dans le sens ou le souhaiterait l’industrie ou les électeurs, d’ailleurs. La menace d’une cyberguerre, l’existence d’une frange de cyberdélinquance ont, très tôt, été instrumentalisées par les pouvoirs en place pour légaliser et répandre des outils de surveillance intérieure… nonobstant le fait que la majorité desdites menaces sont essentiellement extérieures. Cette politique de la gesticulation à tous prix, qui prévoit de lourdes peines au seul soupçon de détenir un sniffer mais qui protège, d’un coupable silence, les réseaux extra-européens d’alimentation en matériel pédopornographique ou d’incitation à l’acte terrorisme sous prétexte de non-ingérence, ont causé un tort considérable dans la confiance citoyenne envers ses institutions et ses capacités de recherche. Certaines initiatives d’autrefois se transforment même de plus en plus en structures passives d’enregistrement au service d’intérêts financiers, quelques vieilles médailles se ternissent (les critères communs d’un NT4 certifié EAL4 sont-ils une garantie anti-intrusion ? certes non, mais ils permettent de ne pas se poser de questions). D’autres fort heureusement, tel l’Anssi, tentent de construire un socle défensif avec des actes concrets : certifications d’outils et logiciels de sécurité, labélisation de sociétés spécialisées dans les audits sécurité, diffusions de bulletins et avis d’information, évangélisation des bonnes pratiques, émission de messages clairs expliquant « où » se trouve l’adversaire (pas nécessairement du côté de la Chine)… On attend encore la création d’un véritable Cert destiné aux citoyens, qui tranche avec la vision autistique actuelle : un humain ne peut être informé que durant les heures de travail, lorsqu’il est fonctionnaire, universitaire, banquier ou qu’il travaille dans l’industrie. Pourtant, plusieurs études l’ont prouvé, les premiers vecteurs d’information demeurent les média… ceux que chaque citoyen consulte en dehors de ses heures de travail. Il ne peut exister de véritable sensibilisation que de sensibilisation populaire, quitte à ce que ce premier niveau soit, par la suite, relayé et complété par les Cert ist, Renater, A et consorts. S’ajoute à cela un manque notable de recul à la fois culturel et technique de certains politiques. Chanter les louanges de l’Internet des objets, donc indirectement plaider en faveur d’une aliénation toujours plus forte du quotidien à une infrastructure IP que l’on sait facile à compromettre et vecteur de fuites d’informations en défaveur de l’Europe, est-ce de l’inconscience ou de l’aveuglement ? Ou, plus trivialement, la quête d’un profit opportuniste à court terme, quitte à payer à crédit en hypothéquant un peu plus notre dépendance technologique et notre liberté d’action ? S’il est sot de refuser en bloc toute nouveauté technologique, il est sage d’en limiter la dépendance ou de pouvoir en récupérer la gouvernance en cas d’urgence.
En matière de politique extérieure, en revanche, tout est encore à réaliser. Favoriser la création de spécialistes du Cloud, avec des budgets d’envergure Européenne (donc une concertation économique et une contribution Européenne) sans tomber dans le saupoudrage et le copinage économico-politique destiné à favoriser tel opérateur télécom historique ou tel équipementier connu, faire fi des pré-carrés, tout ça est encore totalement utopique. Etape quasi insurmontable dans cette vieille Europe qui déchirée par des conflits d’intérêts tantôt nationaux, tantôts business.
Au fil d’un article publié dans les colonnes de CNN, Ronald Deibert, un professeur de Sciences Po Canadien, écrit que les entreprises hors USA viennent brutalement de prendre conscience, après l’affaire Prism du « huge disadvantages of their dependence on U.S.-controlled networks in social media, cloud computing, and telecommunications, and of the formidable resources that are deployed by U.S. national security agencies to mine and monitor those networks ». Et la classe politique vient de réaliser que ce plan était établi sciemment, avec méthode, depuis bien longtemps. Et dans cette vraie-fausse découverte, ce qui impressionne le plus est le nationalisme extrême qui a dicté l’attitude des Microsoft, des Google ou des Apple, qui, bien que pris la « main dans le sac » en flagrant délit de trahison et de communication de contenus, continuent de nier, de minimiser, de parler de recherche d’enfants disparus et de personnes frappées par la maladie d’Alzheimer témoigne El Reg. Cet Alzheimer frappe-t-il les chargés de dossiers des ressortissants non-américains ? Il montre, en tous cas, la force de cette « obéissance et dévotion quasi fanatique envers sa Sainteté l’Etat » qui caractérise les entreprises US, obéissance qui, pour certaines d’entre elles, s’accompagne d’un mutisme, d’un culte du secret qui a su tenir plus de 10 années. La « fuite » de Snowden aurait tout aussi bien pu provenir d’un imprécateur travaillant pour le compte d’un Apple ou d’un Microsoft. Il est même surprenant que cette révélation soit venue de l’intérieur du service même qui a organisé ce formidable montage, et non du sein d’un de ses poissons-pilotes. Si surprenant que l’on pourrait presque se demander dans quelle mesure ladite fuite n’a pas été savamment orchestrée et planifiée …