Lorsqu’en notre pays François l’on évoque le mot « souverain », c’est généralement pour détacher soigneusement le chef de celui qui en porte le titre à l’aide d’un instrument tranchant …
Il est donc assez logique qu’à l’occasion du FIC 2016, se soit vue décapitée l’idée d’un « OS souverain ». Double décapitation, devrait-on dire, puisque la première lame qui soulève l’idée est maniée par Guillaume Poupart, Patron de l’Anssi, lequel assure en substance que « tout au plus parlera-t-on d’un noyau Android ou Linux durci pour certains secteurs d’application ». Il n’est pas question (d’ailleurs qui donc pourrait assurer un tel travail) de concevoir un système d’exploitation de A à Z, dont les espérances de survie seraient bien faibles face à des géants de la taille de Microsoft, Google ou des principaux Linux.
La seconde lame qui coupe l’idée à la racine est maniée par Bernard Benhamou, lequel préside aux destinées de l’Institut de la Souveraineté Numérique (ISN). Dans une tribune publiée par nos confrères des Echos, Benhamou réduit en cendre cette chimère, prouvant si besoin en était que l’ISN a de la voix et ne compte pas entrer dans le hit-parade des Comités Théodule de la Vème République. Durcir un noyau déjà existant, oui, le concevoir entièrement, hors de question.
Et pourtant. C’est bel et bien dans l’amendement CL129, qui réclame à cor et à cris la création d’un organisme spécifiquement chargé de cette mission (ndlr : la souveraineté numérique), qu’est lâché la petite phrase « Ce rapport précise les conditions de mise en place, sous l’égide de ce Commissariat, d’un système d’exploitation souverain et de protocoles de chiffrement des données ». En jargon de Ministre, on appelle ça une logique de causalité … un léger moment d’égarement ?
Tout aussi abracadabrant que puisse être le mythe d’un noyau et d’une panoplie de chiffrement franco-franchouillards utilisés dans les limites d’un périmètre Plougastel-Mittelhaubergen- Le Petit Bornand- Saint-Jean Pied de port, cela n’arrête pas un quarteron de députés de droite, sous la houlette de Madame Kosciusko-Morizet, de sauter à pieds joints sur le sujet et déposer l’amendement CL92. Amendement qui viserait à « éviter que des systèmes de cryptage individualisés ne retardent la poursuite d’une enquête », en « obligeant les constructeurs de matériel à prendre en compte l’impératif d’accès des policiers et gendarmes ». Ergo, coller des backdoors de partout.
Au risque de rabâcher de vieilles évidences, il faut rappeler que le titre même de « tiers de confiance » (le gardien des clefs donnant accès à ces portes dérobées) est un véritable appel au viol numérique. S’il ne fallait citer qu’un seul exemple, ce serait celui précisément de tous les grands vendeurs de certificats, de RSA à Commodo en passant par DigiNotar, dont certains des blancs-seings dérobés durant le hack de leurs serveurs, furent utilisés tant par les barbouzes de la CIA et du Mossad (Stuxnet) que par les cybertruands Russes, Chinois et Brésiliens. De nos jours, un bon virus est un virus capable d’arborer un certificat valide. Demain, un bon outil de cassage de code vendus sur le darknet pourrait être, sans le moindre doute,« certifié compatible backdoor NKM ».
Car l’idée d’une porte dérobée qui ne serait jamais découverte, qui ne ferait jamais l’objet d’une fuite, d’une indiscrétion, il faut la reléguer au rang des contes pour enfants. Et encore, mineurs de 10 ans. Savoureux paradoxe que les exigences de certains députés qui, invoquant la sécurité de l’Etat, étayent l’idée d’une porte dérobée dans un système de chiffrement, en prenant pour exemple les « fichiers Snowden ». Donc précisément par une fuite ayant affecté un organisme d’Etat prétendument inviolable, du moins un peu plus sécurisé qu’un simple tiers de confiance.
Rassurons tout de suite nos Ministres : même sans porte dérobée dans un système d’exploitation, même sans compromission de l’aléa d’un outil de chiffrement, il se trouve assez d’octets dans ces logiciels pour abriter un nombre souvent impressionnant de failles et de bugs. Certains d’entre eux sont d’ailleurs parfaitement connus des services de police.