Fissures dans la prédominance américaine

Plus de 3 ans se sont écoulés depuis les révélations de Snowden. Quels en sont les impacts sur nos sociétés, économies IT et confiance numérique ?

Par Loïc Guézo, Cybersecurity Strategist Southern Europe, Directeur chez Trend Micro

En tout premier lieu, on ne peut que constater que, malgré l’éclairage crû porté par ses « premières » révélations, la surveillance de masse se porte bien : après la France et l’Allemagne, le Royaume-Uni a adopté une loi sur le renseignement très musclée.ⁱ Plus récemment, en France, le déploiement du fichier des Titres Electroniques Sécurisés (TES), qui doit regrouper les données de 60 millions de Français, a commencéⁱⁱ…

In fine, rien n’a semblé pouvoir remettre en cause rapidement l’activité de la NSA, y compris les autres fuites récentes l’ayant atteinte. Que ce soit celle, longue et volumineuse attribuée à Harold Martin IIIⁱⁱⁱ, sous-traitant Booz Hallen Hamilton (dont le volume de données exfiltrées est estimé à près de 50 To^iv) ou bien la toute dernière en date : révélée en novembre 2016, on y apprend que l’individu était cette fois un employé du service d’élite TAO (Tailored Access Operations), service qui gère et conduit les cyber-attaques de la NSA à travers le monde !

Résiliente à ces propres fuites internes, la NSA continue en outre ses nombreuses activités de Recherche et Développement. A titre d’exemple, un sujet popularisé en 2016 est l’émergence du quantique : communications, ordinateurs et, de facto, la cryptographie post-quantique.

Les communications utilisent les propriétés quantiques des photons qui peuvent être corrélés de telle manière que la modification de l’un modifie immédiatement son jumeau, trahissant donc une intervention non désirée, comme une écoute ou interception par exemple.

L’ordinateur quantique utilise des qubits à la place des bits ordinaires utilisés par les ordinateurs d’aujourd’hui. Celui-ci se comporte évidemment de manière différente, exécutant efficacement des algorithmes mathématiques, mais exponentiellement plus rapidement qu’un ordinateur classique : un tel ordinateur quantique suffisamment grand, s’il est construit, serait capable de casser les algorithmes à clé publique actuellement déployés, alors que ces algorithmes sont une composante essentielle pour protéger la confidentialité, l’intégrité et l’authenticité de l’information, particulièrement celle relative à la sécurité nationale. De telles informations doivent être protégées pendant plusieurs décennies. Or l’impact potentiel d’un tel ordinateur est dévastateur pour la durée de secret des données protégées par les algorithmes « standards » actuels …

La cryptographie résistante au quantique (ou post-quantique) se réfère alors aux algorithmes cryptographiques résistants aux attaques cryptographiques menées via des ordinateurs classiques, et surtout quantiques !

Concrètement, on relève en 2016 la transition demandée par la NSA, le Central Security Service et l’Information Assurance Directorate (pour la préservation du TOPSECRET) vers des algorithmes résistants post-quantiques^v comme l’annonce par la Chine du lancement d’un satellite quantique^vi …

En écho, rejeton naturel de la surveillance de masse et de la dépendance numérique portées sur nos vies quotidiennes, une nouvelle inquiétude est apparue dans nos sociétés européennes, en ce début d’année 2017.

Plusieurs scrutins majeurs vont avoir lieu et subissent déjà l’ombre portée de possibles manipulations techniques ou de guerre informationnelle : la situation de référence est le dernier scrutin présidentiel aux USA. A son issue, un premier rapport de l’ODNI^vii pointe la Russie comme responsable de différentes actions destinées à en orienter le résultat. Un second rapport au Sénat^viii pointe quant à lui 30 pays (dont Russie, suivie de Chine, Iran et Corée du Nord en majeur) comme susceptibles de porter atteinte aux USA par des moyens cybers.

Une nouvelle guerre froide, avec un volet majeur de cyberpropagande à outrance ^ix?

L’Europe s’y prépare, à la veille des élections de 2017 : présidentielles puis législatives en France^x, mais également en Allemagne, Bulgarie, Norvège et Pays-bas…

Cependant, in fine, c’est finalement une question ancienne, beaucoup plus terre à terre, que les révélations de Snowden ont remise au goût du jour. Mais cette fois à l’échelle du grand public : quel niveau de confiance peut-on raisonnablement avoir dans cette industrie informatique américaine ?

Techniquement, de trop nombreux exemples ont déjà montré l’existence récurrente d’implantation de portes dérobées permettant un accès « à la demande » aux informations confiées. De secret de polichinelle, pour les personnels ayant eu à en connaître, on en arrive cette fois à des programmes complets, structurés comme PRISM, XKEYSCORE ou BULLRUN^xi, ou à des vulnérabilités informatiques volontairement présentes chez les fournisseurs de matériel de tout premier plan. Et parfois même à l’insu de la NSA, comme semble l’avoir montré le cas de Juniper fin 2015^xii.

Le risque d’introduire des portes dérobées officielles, inévitablement détournées à terme par d’autres acteurs, est clair : les experts sont contre^xiii. L’Europe continuerait pourtant, via plusieurs ministres de l’intérieur^xiv, à encourager les « backdoors » officielles ?

Quoi qu’il en soit, depuis les révélations de 2013, la vague naissante de l’informatique en nuage (Cloud Computing) en a été la première victime économique^xv : un manque à gagner de 35 milliards de dollars sur 3 ans.

Accompagnée par le concert de réactions des GAFA (Google, Amazon, Facebook, et Amazon) et de Microsoft : « Nous ne sommes pas complices volontaires, nous résistons, nous cherchons des solutions alternatives … ».

A titre de bonne volonté, l’ouverture de centres de données d’Amazon Web Services en France^xvi par exemple ; mettant les données hors des réquisitions de la NSA ?

Il reste intéressant de constater que des mastodontes historiques seront au final passés au travers des gouttes et poursuivent leur développement sans devoir se prononcer aussi directement que ces derniers entrants sur ces pratiques.

En France, l’approche continue à privilégier des schémas de confiance claire^xvii.

Malheureusement obtenir une souveraineté numérique nationale sans industrie électronique ou informatique de tout premier plan reste complexe.

Cela passe donc par des approches nationales type « Loi de Programmation Militaire » (LPM), votée en 2015, pour les « Opérateur d’Importance Vitale » (OIV), où des exigences portées sur prestataires et solutions qualifiées permettent d’en garantir la confiance.

En complément, après près de trois ans de négociation, une approche européenne portée par le Parlement européen et le Conseil de l’Union européenne (UE) a permis d’adopter le 6 juillet 2016 la directive sur la sécurité des réseaux et des systèmes d’information, connue sous l’appellation « directive NIS ».

Les Etats membres ont cette fois jusqu’au 9 mai 2018 pour la transposer dans leur droit national. Cette approche inspirera le renforcement de la cyber-sécurité d’opérateurs issus de secteurs clés ainsi que de certaines plateformes numériques sélectionnées.

C’est assurément au sein de cette approche européenne, viatique pour contourner la prédominance américaine, que se construit notre autonomie numérique d’aujourd’hui. Il n’en reste pas moins qu’une possible 3^ème voie bilatérale commence à émerger pour demain : celle avec le Japon.

Présent dès son origine au sein de l’infrastructure de l’Internet mondial^xviii, le Japon héberge depuis 1997, via WIDE, le serveur historique racine M du système de résolution de nom (DNS). Il héberge également une station du réseau ECHELON à Misawa, sans pour autant faire partie des FiveEyes^xix (car contrôlée par l’Air Intelligence Agency, le service de renseignements de l’US Air Force).

Le Japon est, au même titre que la France, considéré comme une “Third Party” dans le cadre de cet accord secret UKUSA de 1946.

Souvent considéré comme un précurseur en terme de robotisation, ou d’approche économique et industrielle innovante avec le METI (Ministry of Economy, Trade and Industry) créé en 2001, le Japon à créé l’Agence de Promotion des Technologies de l’Information (IPA) sur une initiative de 1970. Cette agence s’intéresse désormais à la cybersécurité^xx .

Qu’en est-il plus précisément de l’état de l’art en cyber du Japon ?

Question complexe au premier abord, à laquelle un très récent rapport^xxi du Service pour la Science et la Technologie de l’Ambassade de France au Japon apporte de nombreuses réponses, complétées par des éléments de l’actuelle coopération franco-japonaise :

Stratégie et acteurs de la cybersécurité en France,
Stratégie et acteurs de la cybersécurité au Japon,
Partenariats internationaux du Japon sur la question cyber,
Principaux dialogues politiques du Japon,
Développement des partenariats internationaux du Japon,
Dialogue politique franco-japonais,
Collaboration scientifique entre la France et le Japon,
Conclusions et futures actions 62

Cette coopération « cyber » est aujourd’hui visible, portée par l’INRIA pour la France et le NICT pour le Japon, autour de 7 Working Groups (WG) :

WG1 Formal method
WG2 Cryptography
WG3 Events and Malware
WG4 System Security and IoT security
WG5 Privacy
WG6 ICS/ITS Security
WG7 Network Security

Après un premier atelier tenu à Tokyo en avril 2015, le centre INRIA Rennes – Bretagne Atlantique a organisé avec le Pôle d’Excellence Cyber (PEC) une deuxième édition, tenue à Rennes, au centre INRIA de Rennes et à B-Com, en septembre 2016^xxii ; le prochain atelier est désormais prévu à l’université de Keyo, Tokyo en avril 2017.

De nombreuses perspectives de collaboration mutuelle se dessinent déjà.

A des niveaux académiques, avec par exemple l’excellence de l’école cryptographique française mais aussi à des niveaux très opérationnels avec par exemple la maîtrise de la cybersécurité des systèmes industriels japonais. Sur ce point, le centre d’entraînement contre des attaques informatiques en environnement industriel ^xxiiide Tagajo, dans la banlieue de Fukushima, est, de mon point de vue, assurément une inspiration à suivre pour les équipes françaises de Cadarache^xxiv.

Pour prendre son envol, cette collaboration cyber ne manque pas de s’inscrire dans une collaboration politique plus large.

Après la visite du Ministre de la Défense du Japon^xxv à Paris en janvier 2017, ce sont quelques entités françaises, et représentants français d’entité japonaise (comme Trend Micro Inc.) qui ont reçu la visite d’une délégation diplomatique japonaise lors du dernier FIC 2017 de Lille.

Par cette collaboration avec le Japon, nous pouvons espérer profiter de chacune des spécificités des pays, de l’excellence respective de certains domaines, tout en partageant une vision commune de géostratégie et du besoin de confidentialité.

En ce moment-même, les premières cartes sont en train d’être battues, pour créer les conditions d’une confiance numérique revue.

i http://www.lemonde.fr/pixels/article/2016/11/24/trois-ans-apres-les-revelations-snowden-la-surveillance-de-masse-se-porte-bien_5037022_4408996.html

ii http://www.liberation.fr/futurs/2017/02/23/megafichier-allons-nous-laisser-faire_1550516

iii https://en.wikipedia.org/wiki/Harold_T._Martin_III

iv http://www.lemonde.fr/pixels/article/2016/10/05/etats-unis-un-sous-traitant-de-la-nsa-accuse-de-vol-de-donnees-secretes_5008855_4408996.html

v https://cryptome.org/2016/01/CNSA-Suite-and-Quantum-Computing-FAQ.pdf

vi http://www.lemonde.fr/asie-pacifique/article/2016/08/17/la-chine-fait-un-saut-quantique-dans-le-cryptage-de-ses-communications_4983720_3216.html

vii https://www.nytimes.com/interactive/2017/01/06/us/politics/document-russia-hacking-report-intelligence-agencies.html

viii http://www.armed-services.senate.gov/imo/media/doc/Clapper-Lettre-Rogers_01-05-16.pdf

ix http://blog.trendmicro.com/trendlabs-security-intelligence/cyber-propaganda-influenced-politics-2016/

x http://www.la-croix.com/Monde/Europe/Les-Europeens-sinquietent-manoeuvres-russes-dans-cyberespace-2016-12-22-1200812323

xi http://www.silicon.fr/dossiers/dossier-arsenal-secret-nsa

xii http://www.liberation.fr/futurs/2015/12/23/faille-juniper-la-nsa-arroseur-arrose_1422555

xiii https://www.arcsi.fr/index.html

xiv http://www.silicon.fr/backdoors-chiffrement-france-allemagne-insistent-169453.html

xv http://www.huffingtonpost.com/2014/01/24/edward-snowden-tech-industry_n_4596162.html

xvi http://www.silicon.fr/aws-va-ouvrir-un-datacenter-en-france-en-2017-158824.html

xvii https://www.ssi.gouv.fr/administration/qualifications/

https://www.ssi.gouv.fr/administration/produits-certifies/

xviii Racine DNS au Japon

http://m.root-servers.org/

xix Accord UKUSA – ECHELON

https://fr.wikipedia.org/wiki/UKUSA

xx Etude IPA sur les 10 risques (personnes et organisations)

http://www.ipa.go.jp/security/vuln/10threats2017.html

xxi Rapport de l’ambassade de France au Japon

http://www.diplomatie.gouv.fr/fr/IMG/pdf/2016_cybersecurite_japon_cle864194.pdf

xxii Compte-rendu de l’atelier France Japon de Rennes

http://www.globalsecuritymag.fr/Cybersecurite-la-France-et-le,20160927,65637.html

xxiii Centre Cyber de Tagajo/Fukushima

http://www.css-center.or.jp/en/aboutus/

xxiv CEA Cadarache

https://cadarache-communication.fr/communication/les-enjeux-de-la-cybersecurite-industrielle/

xxv Discours du ministre de la défense du Japon

http://www.mod.go.jp/j/press/youjin/2017/01/06_lecture_e.pdf