A l’occasion de l’inauguration des nouveaux locaux de l’Anssi, le Premier Ministre Jean-Marc Ayrault a décrit par le menu les dispositions techniques et stratégiques de cyberdéfense prônées par l’Agence et qui seront instaurées peu à peu par le gouvernement. Ce « plan cyberdéfense » bénéficiera d’une enveloppe de près d’un milliard d’Euros.
Ces déclarations n’apprennent strictement rien de nouveau qui n’ait été déjà annoncé par les dispositions de la Loi de Programmation Militaire : Les opérateurs d’importance vitale (OIV) se verront fixer des règles de sécurité précise, devront émettre des notifications d’incident, se soumettre à des contrôles (la question de « sondes Anssi » au sein d’infrastructures Scada critiques a déjà fait grand bruit dans le Landernau de la sécurité). Enfin, chaque OIV doit être à même de préparer les mesures à observer en cas de crise.
Côté Administration, rien de changé, ou presque. Le Premier Ministre a rappelé que les services de l’Etat devront choisir des produits de sécurité labellisés Anssi (aucune mention n’a directement été faite à propos des audits et des Passi, mais ils semblent sous-entendus) et les réseaux des S.I. de l’Administration seront systématiquement chiffrés. L’on était en droit de croire que la chose était faite depuis belle lurette, il n’en est rien manifestement.
Cet engouement pour le chiffrement n’est pas une nouveauté. Il est régulièrement redécouvert par les grands commis de l’Etat, génération après génération. Déjà , sous le dernier mandat du Président Chirac, divers Ministres avaient chanté les louanges d’un chiffrement généralisé, panacée contre les pirates… alors que quelques années plus tôt, la DCSSI, ancêtre de l’Anssi, rangeait cette pratique dans la catégorie des gadgets pour narcotrafiquants pédoterroristes et interdisait les clefs de grande longueur. Les gens honnêtes n’ont rien à cacher.
Le monde Post Snowden semble raviver cet amour pour le chiffre, à tel point que le Premier Ministre déclarait « J’ai souhaité aujourd’hui que les offres nationales de messagerie électronique soient chiffrées par leurs fournisseurs et que les messages soient traités par des infrastructures situées sur le territoire national. »
Cette question du chiffrement par les fournisseurs de services eux-mêmes avait déjà été posée, il y environ 2 ans, par les administrateurs de Hushmail. Lesquels ont clairement prévenu leurs usagers que, dans le cadre d’un compte de messagerie privé, rien ne remplacerait un chiffrement depuis le poste de travail, et que tout espoir de protection des contenus s’effaçait face à la commission rogatoire qu’un juge US invoquant le Patriot Act peut présenter à un administrateur système ou à un hébergeur. A l’heure où Google prétend ne traiter aucune donnée en France, et ainsi ne pas être soumis à la loi Informatique et Liberté, au moment même où Yahoo exporte son siège Européen en Irlande, officiellement pour des raisons d’optimisation fiscale, on peut se demander si la confidentialité des courriels de leurs clients est une véritable préoccupation, ou si ces feintes et esquives ne seraient pas plutôt un moyen pour ne pas se trouver dans une situation conflictuelle opposant droit du sang et droit du sol. D’un côté les exigences de transparence souhaitées par les services de renseignement US et Britanniques, de l’autre, les souhaits d’opacité des pays Européens.
Il est utile de se rappeler de cette petite phrase prononcée en juin 2011 par Gordon Frazer, l’un des patrons de Microsoft UK, et rappelant que, située aux USA, en Europe ou au fin fond de la savane Africaine, une donnée Microsoft est susceptible d’être communiquée aux autorités Etats-Uniennes sous simple prétexte de lutte contre le terrorisme. Hors, le terrorisme est une notion très élastique aux yeux du système d’écoute Prism.
Les messageries pour particuliers étant en grande majorité gérées par des entreprises d’Outre Atlantique, on se demande par quel miracle les services de chiffrement qu’elles pourraient proposer pourraient alors protéger les citoyens Français d’une surveillance systématique de leurs échanges par des « forces amies». Quant à conseiller l’usage du chiffrement local à tout utilisateur d’outils de communication numérique, de l’ordinateur à la tablette en passant par le téléphone intelligent, il y a encore beaucoup de travail de sensibilisation/formation à effectuer. Enfin, les services grand public n’ont aucune forme d’obligation quant à ce grand chantier chiffrement. Tout sera fait sur la base du volontariat et de l’initiative privée. Autrement dit, rien ne sera probablement fait.
Dans le secteur privé, le chiffrement de serveur à serveur n’est pas non plus une affaire facile à mettre en œuvre. La confiance dans les autorités de certification commerciales a fait long feu, ce qui obligerait à chaque DSI de gérer sa propre C.A., d’expliquer aux usagers comment utiliser ces fonctions (ajouts de plugins, vérification du fonctionnement sur un éventail de plusieurs clients de messagerie). Le tout sans faire abstraction de la charge de travail (et du coût) que cela impose côté administration : renouvellement des clefs expirées, gestion des passphrases, filtrage des emails « non chiffrés par inadvertance », prise en compte des listes de diffusion… bref, l’idée est séduisante, réalisable, mais il faudra du temps pour que chaque entreprise Française soit chiffrée de pied en cap. Il faudra probablement encore plus de temps pour que tous les usagers admettent qu’il ne s’agit là que d’une mesure de sécurité parmi tant d’autres, et qu’elle ne garantit pas à elle-seule l’absence de tout risque de fuite d’information.
Si le mot chiffrement est parvenu jusqu’à l’hôtel Matignon, d’autres termes se sont également frayés un chemin et ont été intégrés au discours officiel. Le Premier Ministre a notamment évoqué la nécessité d’une « autonomie stratégique dans le domaine du numérique, afin de ne pas dépendre de tiers pour héberger et traiter les données des entreprises et des citoyens européens ». Européen… cela signifie-t-il que le saupoudrage destiné à constituer des opérateurs « cloud nationaux » serait récupéré pour être reversé dans un pot commun auquel contribuerait l’Europe des 28 ? Que les infrastructures numériques proviendraient d’entreprises européennes capables de fournir des équipements « certifiables Anssi » comme à la haute époque du Plan Calcul ? Que les réseaux d’opérateurs de la C.E. seraient enfin affranchis de toute possibilité d’intervention du GCHQG ? Parfois, les promesses des politiques se heurtent aux décisions passées de ces mêmes politiques.