Je voudrais réagir suite à l'entretien entre Eric Freyssinet, « responsable des projets cybercriminalité à la direction générale de la gendarmerie nationale », et Le Monde, paru en ligne le 8 avril 2011. Il tenait notamment la keynote de Hackito Ergo Sum, une conférence sur la sécurité informatique à Paris.
Si je me réjouis de voir la Gendarmerie Nationale s'impliquer, avec une certaine transparence, sur la scène publique (que je qualifierais de fébrile) Française de la sécurité, je constate que des amalgames sont encore faits par les plus hauts responsables en charge. Certains sont de l'ordre du détail (comme s'accorder sur la terminologie), mais d'autres relèvent d'une incompréhension plus profonde de la réalité.
D'abord, je voudrais rappeler que le forensic, science visant à retrouver les traces d'une activité supposée, n'est pas à confondre avec la veille technique et l'état de l'art. Premier amalgame: la sécurité n'est pas une discipline à part. Elle correspond et s'applique à la connaissance de tout système, qu'il soit informatique ou non. Maitriser un système, c'est le connaitre jusqu'à pouvoir en identifier et jauger les failles; mais atteindre ces considérations de sécurité ne nécessite que rarement une connaissance intégrale du domaine concerné.
En prenant en compte cette définition, on ne peut pas considérer qu'il existe une "communauté hacker". Le "hack" est simplement l'art de résoudre un problème, et d'autant plus valorisé (et valorisant) quand il est résolu de façon créative. Dans ce sens, tout ingénieur devrait donc être un hacker, tout comme toute personne suffisamment curieuse faisant preuve de "génie" en créant dans un domaine qui la touche. Deuxième amalgame donc: il n'y a pas de communauté hacker, ni de cohésion ou de fraternité particulière, car il y a autant de hackers différents qu'il y a de personnes différentes. Chercher à appliquer une éthique à ce "mouvement" (qui n'a rien de nouveau) témoigne d'une vision bien trop binaire de la société.
Réduisons cependant le contexte à son domaine initial: la sécurité informatique. Il est précisé (peut-être par le journaliste) que les "white hats", vertueux, s'opposent aux "black hats" motivés par l'appât du gain ou de l'exploitation. Rien ne saurait être plus loin de la réalité. Le terme "white hat" regroupe les divers professionels et indépendants en sécurité informatique qui rapportent les failles en premier lieu de façon "responsable", c'est à dire en contactant directement les acteurs les plus à même de pouvoir corriger une faille donnée, ainsi que ses victimes potentielles. Inutile de préciser qu'ils sont souvent payés pour ce travail. S'y opposent les "black hats", qui trouvent ou obtiennent des failles informatiques diverses et variées, mais au mieux les rapportent publiquement, ou au pire s'en servent, pour des raisons allant d'un ennui profond à des motivations politiques ou parfois, effectivement, pécuniaires.
Le troisième amalgame que je dénonce est une nouvelle fois binaire: il n'y a pas de "gentils hats" contre des "méchants hats". Nécessairement, de part la nature de l'activité de recherche en sécurité informatique, on ne peut pas rapporter et corriger "responsablement" toutes les failles trouvées:
- parce qu'il est techniquement impossible de corriger tous les systèmes du monde avant qu'un "méchant" ne puisse prendre connaissance de la faille et l'exploiter;
- parce que la résolution silencieuse ou divulgation incomplète de la nature des failles nuit à la qualité de la recherche publique dans le domaine (et à leur correction) sans pour autant rendre la tâche des "méchants" plus difficile;
- parce qu'il est courant de trouver des problèmes de sécurité dans des composants qui ne sont pas du ressort du client ou du prestataire;
- parce que cette dernière remarque s'applique encore plus à la découverte de problèmes lors d'une activité personnelle plutôt que professionnelle.
Dans ces deux derniers cas, les bien-pensants exhorteront à la divulgation "responsable" de la faille découverte. Oui, mais la réalité n'est pas si simple; c'est un processus long, frustrant, et potentiellement dangereux pour le chercheur:
- amorcer la communication avec l'éditeur d'un logiciel se révèle parfois impossible;
- bien souvent l'entreprise concernée réagit mal, et entreprend des poursuites;
- trop souvent le délai demandé pour corriger la faille est outrageusement long, et tout de même dépassé;
- obtenir une forme de crédit ou rémunération pour ce travail (car c'en est un) est encore plus rare, et d'autant plus difficile lorsque la source désire rester anonyme.
Ces difficultés sont tellement récurrentes qu'il existe des entreprises spécialisées dans ce processus.
Et j'en viens au quatrième amalgame: la "full disclosure" n'est pas irresponsable, elle est même nécessaire. En effet, les difficultés que je viens d'énoncer sont bien réelles car les entreprises concernées ne veulent pas admettre que ces failles existent, et encore moins les corriger. Ce canal d'information a donc pour premier rôle de rappeler à tous les acteurs que l'insécurité informatique est un problème, et leur mettre la pression pour que leur nom n'y soit pas associé. Tout aussi important, ce flux d'information reflète le niveau actuel de la sécurité des infrastructures et logiciels que nous utilisons.
Il faut bien se réjouir aujourd'hui de la présence d'une plate-forme prépondérante pour la divulgation de failles, et la protéger: son absence ne conduirait qu'à une situation de chaos bien plus importante, de part le faux sentiment de sécurité que cela impliquerait chez les "non-initiés", et la communication de failles limitée aux seuls initiés, et donc souvent intraçable. Il faut se rappeler aussi que nous passons d'une mentalité de "chasse aux sorcières" à une prise de conscience soudaine de l'intérêt de la "divulgation responsable" des failles: l'ambiance est encore à la méfiance dans nos frontières. Et justement, la sécurité informatique ne s'arrête pas aux frontières, et dans bien des cas encore la "full disclosure" est la seule plate-forme acceptable de divulgation de failles.
Pour conclure, j'aimerais rappeler aux différents acteurs concernés que la sécurité est un problème technique avant toute chose. Quelle que soit la qualité des procédures en place pour pallier à une intrusion, il me parait souhaitable, autant que possible, de ne pas avoir à s'en servir. Je rappelle que la sécurité est un processus, à considérer à tous les stades du développement d'un produit ou solution.
Le réseau a autant d'éthiques qu'il connecte d'individus.
