Le fondateur et organisateur de la conférence de sécurité CanSecWest Drago Ruiu révélait, dans le courant du 9 mars, que la conférence d’Eric Filliol intitulée « Hacking 9/11 – The next is likely to be even bigger with an ounce of cyber » avait été annulée par le Ministère de l’Intérieur. La première réaction de la communauté fut de crier à la censure, et de rappeler que la notion de « sécurité par l’obscurantisme » était un non-sens : le côté obscur de la force réfléchit tout autant, sinon plus et peut même être plus efficace que les chercheurs travaillant en pleine lumière. Par conséquent la mise au secret s’avère rapidement plus dangereuse que sa divulgation car elle interdit de prévenir les seules personnes qu’il faille réellement prévenir du danger : les victimes potentielles.
De son côté, Eric Filliol, Professeur et directeur du laboratoire de l’Esiea rectifiait les propos de Ruiu. Il n’a jamais subi de pression, il a retiré de lui-même son projet de communication après concertation avec le Ministère Français de l’Intérieur et la Défense Américaine. Le contenu de la conférence, explique-t-il, met en relief des défauts affectant des infrastructures critiques qu’il serait assez mal venu de rendre public à l’heure actuelle .
Il faut reconnaître que le fait d’aborder des questions relatives aux opérateurs d’importance vitale (OIV) ou aux infrastructures Scada relevait du doux délire à la sauce Die Hard 4 il y a pas plus de 3 ans, et relève du Confidentiel Défense et du Politiquement sensible depuis les révélations Snowden et les recommandations récemment émises par l’Agence Nationale de la Sécurité des Systèmes d’Information (Anssi).
Pourtant, la fragilité des infrastructures vitales n’est un secret pour personne. A la fois levier terroriste et mécanisme d’intimidation politique, leur mise en danger, même hypothétique, fait trembler les gouvernements. Gardons en mémoire la menace de Timothy Leary qui affirmait vouloir verser un baril de LSD dans le « Reservoir » de Los Angeles, et le coût de l’immobilisation policière que provoquera la prise au sérieux de cette plaisanterie d’Universitaire. Plus récemment, souvenons-nous d’Al Quaïda qui menaçait d’expédier des imprimantes laser bourrées d’explosifs et déclenchées par l’horloge d’un téléphone portable. Moins virtuelles, plus récentes encore, les multiples recherches qui prouvent combien sont poreux certains routeurs pourtant réputés inviolables, ou les intrusions par simple google hacking dans des centres de contrôle de processus ouverts aux quatre vents.
De nos jours, il n’est plus nécessaire de transporter un baril de LSD (lequel n’aurait qu’à peine fait rêver quelques poissons rouges compte tenu des taux de dilution). Les drogues dures sont binaires et à portée de liaison Internet ou de communications sans fil. Les maillages de transport d’énergie qui utilisent des protocoles radio chiffrés avec des mécanismes datant des années 80, des vannes de distribution d’eau de villes comme Paris, Lyon, Berlin accessibles par simple communication modem ou paires sèches, des système de péages autoroutiers ou des réseaux de commutation de feux de signalisation régis par des électroniques et des normes qui n’ont pas changé depuis plus de 30 ans et qu’il est totalement impossible de moderniser… et ce ne sont là que quelques exemples. Contre les infrastructures vitales, donc contre des cibles informatiques précises, aucun équipement de protection n’est véritablement infaillible, surtout lorsque l’adversaire peut préparer longtemps à l’avance une panoplie de virus aux signatures inconnues et un arsenal d’attaques non référencées par les IDS et autres passerelles de protection. Il suffit que le vecteur traverse une seule fois les défenses pour que l’ensemble du système s’écroule.
Ce qui soulève à son tour une question encore plus épineuse : comment alors se protéger ? Certes, le gouvernement a entamé un grand chantier de reconstruction des défenses numériques et de protection des OIV. Mais qui sera chargé des analyses de vulnérabilités, des audits de sécurité, des tests de pénétration et de l’application des mécanismes de remédiation ? Les « grandes marques » portant le label Anssi, rompues à l’exercice des grands chantiers de certification, cela est certain. Mais restera-t-il encore de la place pour des prestataires de services de petites et moyennes envergures et souvent à haut degré de compétence ? Pour l’heure, la sécurité des OIV est la chasse gardée de ces grands opérateurs. Lesquels, par le passé, n’ont que trop rarement prouvés qu’ils pouvaient s’adapter à toutes les situations ou proposer des services à des tarifs acceptables pour des PME. Car il existe des PME dans le classement des OIV.
Autre préoccupation, combien de temps durera l’actuelle période de « paix civile numérique » que nous connaissons » ? Même si le contrat de mariage a subi de nombreux coups de canifs, même si la NSA, le GCHQ, la DGSE et autres services de renseignements du bloc de l’Ouest, de l’Est et d’Orient se promènent sur les réseaux d’entreprises et de particuliers comme en terrain conquis, le mot cyberguerre appartient encore soit à l’univers Hollywoodien de Bruce Willis, soit aux fantasmes journalistiques émis par une presse à sensation. Pour l’instant. Et en faisant abstraction des quelques brefs débordements de cyberviolence en Estonie, en Géorgie, dans les enceintes des centrales nucléaires Iraniennes.
Si l’équipe d’Eric Filliol a pu travailler et aboutir sur un sujet manifestement très sensible, peut-on sérieusement croire qu’il soit le seul à avoir travaillé sur ce sujet ? La course aux exploits, le marathon de la cyber-recherche fournit les mêmes résultats, pratiquement aux mêmes périodes, à des endroits différents de la planète. Il est excessivement rare qu’une découverte demeure longtemps unique et secrète. L’occultation de la conférence prévue pour CanSecWest ne marque qu’un sursis dans cette course aux cyberattaques. Toute la question est de savoir sur quelle période s’étendra la sécurité relative liée à cette occultation, combien de temps il faudra pour que d’autres chercheurs aboutissent à des conclusions identiques, et à quelle échéance ce secret pourra être gardé. Une fois tombé entre les mains d’adversaires potentiels, la fenêtre de vulnérabilité sera grande ouverte. Car il est pratiquement certain que bon nombre des vulnérabilités découvertes par l’équipe Filliol ne puissent être colmatées ou supprimées sans une refonte totale des S.I. et des réseaux d’automatisation desdites infrastructures. Dans le monde Scada, il n’y a pas de Patch Tuesday.