La presse est en émoi, la gente geekesque attérée : : la NSA est capable de casser tous les types de chiffrement généralement utilisés sur Internet, affirment le New York Times, le Guardian et Pro-Publica.
Et n’oubliez surtout pas le travail discret, mais efficace, des fonctionnaires du GCHQ Britannique, lesquels rament dans le même sens que la NSA, nous rappelle le Reg dans le cadre de l’alliance UKUSA. Pour eux aussi, espionner l’Europe, c’est espionner l’étranger.
Est-ce là un scoop ? Que nenni ! Lors de la conférence Hack in Paris, Eric Filiol, professeur à l’ESIEA ; expliquait de manière très claire que ce ne sont pas les modèles mathématiques de chiffrement qui sont vulnérables, mais bel et bien leur intégration dans des outils informatiques. Est-il alors étonnant que les grandes centrales de renseignement puissent demander aux intégrateurs de commettre une ou deux discrètes erreurs d’implémentation ? Une légère bévue officiellement involontaire qui prend rapidement des conséquences dramatiques à partir du moment où la globalisation des systèmes de chiffrement transforme un Sha2 en un outil universel, employé de la pointe sud de la Floride à l’extrême Est du Kamchatka. La conférence d’Eric Filiol peut être ( doit être) visionnée sur Youtube. Elle replace l’affaire du « NSA Worldwide Hacking » dans un contexte historique que les gestionnaires et partisans de l’externalisation sauvage ont quelque peu oublié. Qu’est-ce qui a changé depuis HIP2013 ? « Strictement rien, affirme Filiol. Certains beaux esprits parisiens pensent encore que la crypto n’est pas sous contrôle. Le pire n’est pas encore révélé » ajoute-t-il d’un ton rassurant
Ce qu’écrit Bruce Schneier dans ses différents essais, tous deux dans les colonnes du Guardian, est techniquement assez proche des propos tenus par Eric Filiol : ne blâmez pas les maths, critiquez l’homme qui a intégré les maths dans un outil informatique. Et gardez à l’esprit que ces erreurs ne sont pas involontaires.
A la question « que peut-on y faire ? » il n’y a pas de véritable réponse pratique. Schneier, au fil d’un de ses articles, écrit « My guess is that most encryption products from large US companies have NSA-friendly back doors ». C’est précisément ce qui étonne dans cette affaire, déclare Gérôme Billois, expert sécurité du Cercle Européen de la Sécurité et des Systèmes d’Information. « Non pas le fait que la NSA se livre à un espionnage global, mais qu’elle ait pu mettre en œuvre des moyens aussi importants, qu’elle y ait consacré plus de 250 millions de dollars par an ». A titre de comparaison, 250 millions, c’est à peine moins que le budget (étalé sur 5 ans) que le Gouvernement Français consacre au développement d’un couple d’opérateurs Cloud nationaux. Un pourboire à l’échelle des enjeux de la guerre techno-économique qui est en train de se dérouler.
Certes, il est toujours possible d’encourager le recours à des outils de chiffrement moins commerciaux, moins susceptibles d’être compromis « by design ». On ne peut, à ce sujet, passer à côté du billet de Stéphane Bortzmeyer rédigé le premier septembre de ce mois (ce qui tendrait à prouver que certains cryptanalystes Français pourraient être également des futorologues de talent …). Mais Bortzmeyer achève sa tirade par un très pessimiste « cet article se focalise sur l’aspect technique des choses. Mais, évidemment, le problème de fond est politique et c’est dans des changements politiques profonds qu’il faut chercher les vraies solutions. Il n’est pas normal qu’il faille être expert en crypto pour avoir une vie privée ! ».
Or, le politique voit midi à la porte de l’économie. Les 30 dernières années ont vu lentement toutes les initiatives informatiques nationales sacrifiées sur l’autel de la rentabilité. Des systèmes d’exploitation aux logiciels bureautiques, l’idée du Plan Calcul du Grand Charles s’est peu à peu délitée, généralement d’ailleurs sous les coups de boutoir de ceux qui se réclamaient ses héritiers politiques. Le plan calcul, une belle danseuse qui visait non pas à créer des centres de consommation de subsides d’Etat, mais un véritable secteur visant à l’indépendance de nos systèmes d’information. « Oups, trop tard » twitteraient nos cyber-ados.
Foin de lamentations sur ce qui aurait pu arriver, envisageons ce qu’il faudrait faire.
En premier lieu, abandonner toute confiance non seulement dans les offres d’hébergement d’entreprises étrangères, Prism nous le rappelle chaque jour. Et espérer qu’un jour, du côté du Ministère chargé des PME, de l’Innovation et de l’Économie numérique, l’on envisage de décrocher un ou deux combinés téléphoniques pour dialoguer avec d’autres Ministres délégués Allemands, Espagnols, Italiens, Hollandais, Belges… à l’exception toutefois de ceux situés de l’autre côté de la Manche. Il est des initiatives Européennes d’ordre stratégique dont les investissements nécessaires dépassent, et de très loin, l’argent de poche collecté par le Grand Emprunt.
En second lieu, craindre, lorsque l’on est entrepreneur, toute communication sur le réseau public. L’article du Guardian, les explications de Bruce Schneier, un récent article de Wired intitulé « NSA Laughs at PCs, Prefers Hacking Routers and Switches » le disent en termes très simples, la NSA n’a strictement aucun intérêt à pirater les ordinateurs… tout finit par passer un jour ou l’autre par les prises d’un routeur, lui-même soupçonné de contenir des backdoors depuis un bout de temps. Huwei ou Cisco, même combat, seule la nationalité du barbouze de service change … Autant donner du travail à nos valeureuses synthèses de l’esprit et du muscle de la Rue des Saussaies*. Ce qui implique à la fois la création d’une filière de création de routeurs abordables et d’un outil européen de chiffrement, open source, gratuit, directement concurrent des outils si gentiment offerts par l’Administration Fédérale US durant toutes ces dernières années (sans que personne ne se pose véritablement de question sur cet excès de gentillesse …).
Deux initiatives qui relèvent encore de la politique-fiction… ou de la fiction tout court, puisque de politique en matière de technologie de l’Information, il n’y en a qu’une, et elle ne concerne que l’Administration et quelques grands groupes chéris par l’ANSSI. Pour l’instant.
Laissons le mot de la fin à Scott Adams, père de Dilbert, le Nerd le plus connu du globe. Lequel voit la NSA comme un formidable outil de backup spécialisé dans les données d’importance stratégique.
Ndlc, Note de la Correctrice : profession généralement pratiquée par des patriotes bigames (Audiard, « Les Barbouzes »)