Quelques jours après que se soient déroulés ces « états des lieux » franco-français, Dan Geer, Ciso d’In-Q-Tel et pourfendeur de la « monoculture microsoftienne », éditait un manifeste intitulé Cybersecurity and National Policy, un document touffu, foisonnant d’idées, de critiques, de prises de positions qui ne feront plaisir ni aux « opportunistes du marché de la sécurité », ni aux cassandres qui invoquent l’imminence d’une cyberguerre ou déplorent un prétendu « far west » numérique. Les idées de Geer fusent, s’entrechoquent, se croisent : « la sécurité est un moyen et non une fin. Par conséquent, un débat politique sur la cybersécurité doit être nécessairement sur les moyens d’un ensemble de fins souhaitables […]la sécurité restera le domaine d’une poignée de savants. Parfois, laisser la maîtrise du pouvoir à cette élite s’avère positif… mais comme la demande en matière de sécurité dépasse de loin la capacité de ce petit nombre, les offres des charlatans viennent combler le manque en la matière ». Une politique de sécurité appliquée au niveau national doit « passer de la culture de la peur à celle de la sensibilisation, et de la sensibilisation à celle des métriques », car sans métrique, les craintes sont totalement irraisonnées, les ressorts sont infondés, les réactions non proportionnelles et par conséquent inefficaces.. ce qui laisse la porte ouverte à tous les discours anxiogènes possibles.
Autre idée reçue, celle de l’analogie ou de l’absence d’analogie. Un vol de données dans le monde informatique ne dépossède généralement pas de ses données le propriétaire, une cyberguerre ne fait pas de cybermorts… mais le vol a pourtant bien eu lieu et les cybervictimes existent. Toute comparaison en ce sens avec d’autres secteurs travaillant sur des biens matériels ou du matériau humain est impossible. En revanche, les notions d’importance stratégique, de continuité d’activité, de pertes, de concurrence sont belles et bien semblables. Ces exemples prouvent qu’il ne peut y avoir d’exemple pouvant être étendu pour en obtenir une règle générale ou d’analogie en matière de sinistralité ou de politique.
Après les généralités, les principes cornéliens. Geer rappelle un vieil axiome du monde de l’industrie : « Entre Rapidement, Pas cher et Economique, on ne peut choisir que deux atouts à la fois, jamais les trois ensemble. Il en va de même en sécurité. Entre Liberté, Sécurité et Commodité, deux choix seulement peuvent être associés… ». Et c’est peut-être là la principale question que soulève le manifeste de Dan Geer : la sécurité a un prix, celui de la contrainte qu’impose une mesure de filtrage, une politique de vérification lourde, une diminution des tolérances d’antan qui pourraient profiter aux « adversaires ». Alors, dans quels cas peut-on estimer que la liberté de chacun doit être mise sous le boisseau pour des raisons de sécurité ? Ou commence la notion « d’importance vitale d’envergure nationale » ? « Dans deux cas seulement, estime Geer : lorsqu’un mécanisme quelconque, un processus, une chaine de transmission passe par un point de fonctionnement unique, lequel peut être considéré comme un point de vulnérabilité unique. Le second cas de figure, c’est lorsque, dans le processus de traitement, un accident unique risque de produire un phénomène d’avalanche, de sur-accident susceptible de se répandre sur l’ensemble de la chaine. Car une seule attaque est alors capable d’impacter tous les constituants de l’ensemble ». On retrouve là l’un des thèmes favoris de Dan Geer, sa croisade contre la monoculture, celle qui fait qu’un seul petit virus peut mettre à mal la presque totalité du parc informatique si celui-ci repose sur un unique système d’exploitation. Ce n’est pas Microsoft que Dan Geer condamne, c’est l’absence de diversité, et par conséquent de cloisonnement. « La racine même du risque, c’est la dépendance » rappelle-t-il. L’on peut donc en conclure que la sécurité par la « multiculture » se paye au prix d’un accroissement de la complexité d’administration. Reste à savoir si le surcoût d’une hypothétique réaction en chaine comparé au surcoût certain d’une architecture complexifiée est un langage que comprennent les gestionnaires…
L’œuf ou la poule, qui est responsable ?
Une fois traitée la question du risque, se pose celle de la responsabilité. Les attaques, les diffusions de malwares, les tentatives d’intrusions, les piratages divers relèvent-t-ils de la responsabilité de l’ISP ? Si c’est le cas, cela revient à confier à un tiers le droit de fouiller les données numériques –toutes le données- entrantes et sortantes sans réelle garantie de confidentialité absolue ou de confidentialité. Rejeter cette charge sur les épaules de l’éditeur de logiciel –en pratique celui par qui les failles arrivent- entraînerait de facto la création d’une autorité de régulation gouvernementale chargée d’encadrer l’importance et les limites des interventions dudit éditeur, ne serait-ce que pour définir des normes conditionnant l’efficacité de ces mesures et leur sécurité intrinsèque. Et donner au gouvernement la responsabilité de cette tâche, c’est s’attendre à ce qu’un jour soit imposé ce mythique « permis de conduire sur Internet ». A mon avis, conclut Dan Geer, donner cette responsabilité à l’individu, à chaque utilisateur est le pire des choix que l’on puisse faire… à l’exception de tous les autres*. Enfin, paraphrasant une seconde fois Churchill, Geer conclut « For me, I will take freedom over security and I will take security over » **
Ndlc note de la correctrice : Les citations originales sont *« La démocratie est le pire des régimes à l’exception de tous les autres » et **« Si je devais choisir entre Europe et le grande large, je choisirais toujours celui-là »