Journal d'investigation en ligne et d'information‑hacking
par bluetouff

Rapport Bockel : un point sur la cyberdéfense française

Le rapport sénatorial sur la cyberdéfense rendu public aujourd'hui vaut tout de même un peu mieux que les railleries auxquelles nous avons largement participé sur Twitter comme dans notre précédent article sur le sujet. Le rapport remis par le sénateur Jean-Marie Bockel  doit être lu dans son intégralité, même si cela peut paraitre pénible pour des professionnels de la sécurité ou des personnes un peu trop geek.

Le rapport sénatorial sur la cyberdéfense rendu public aujourd'hui vaut tout de même un peu mieux que les railleries auxquelles nous avons largement participé sur Twitter comme dans notre précédent article sur le sujet. Le rapport remis par le sénateur Jean-Marie Bockel  doit être lu dans son intégralité, même si cela peut paraitre pénible pour des professionnels de la sécurité ou des personnes un peu trop geek. À la lecture de ce document, n'oubliez surtout pas qu'il s'agit d'un rapport parlementaire, rédigé par des parlementaires, pour des parlementaires. Vous êtes à ce titre invités à visionner cette conférence de Stéphane Bortzmeyer datant de Juin dernier à l'occasion de Pas Sage en Seine.

Les routeurs chinois : de la concurrence déloyale à la sécurité nationale

Le rapport a le mérite de passer en revu un certain nombres d'attaques et de menaces dont nous avons plus ou moins entendu parler dans la presse grand public. L'une des plus étonnantes ritournelles du document, que la presse n'aura pas manqué de relever, c'est la présence supposée d' armes de destructions massives  de backdoors (portes dérobées) dans les routeurs de service chinois, qui devrait à elle seule justifier l'interdiction, au niveau européen, de la présence de ce type d'équipements dans le coeur des réseaux des grands opérateurs et des systèmes critiques. Dans la ligne de mire, les deux fabricants, Huawei et ZTE. Sur ce point, même si le rapport Bockel peut prêter à sourire quand on a en tête les divagations de Jacques Myard sur Radio Courtoisie il y a quelques années, cette prudence n'a rien de délirante. Souvenez vous des backdoors sur les équipements Cisco et ceux d'autres constructeurs américains implémentés à des fins "d'interception légale".

Partant de cet exemple, il nous vient à l'esprit deux questions :

  • Qui est aujourd'hui en mesure d'assurer que les chinois Huawei et ZTE n'implémentent pas des backdoors sur leurs équipements ?
  • Qui est en mesure d'affirmer que les français Sagem, Qosmos ou Amesys n'implémentent pas des backdoors sur leurs solutions ?

Question subsidiaire :

  • Cette méfiance n'est elle pas le fruit d'une pratique bien connue du monde très fermé du SIGINT ?

Mon DPI sent moins mauvais que le tien

Le Deep Packet Inspection est clairement mentionné, mais SPANOU®, c'est encore les chinois, plus exactement Huawei :

Selon un autre article63(*), ces soupçons semblent avoir été confirmés de manière involontaire par les représentants de l'entreprise chinoise Huawei eux-mêmes, lors d'une présentation devant une conférence organisée à Dubaï en février dernier.

En effet, dans leur présentation, ils auraient indiqué que, pour mieux assurer la sécurisation des flux de ses clients, Huawei « analysait » (grâce aux techniques dites de « deep packet inspection » ou DPI), l'ensemble des flux de communications (courriers électroniques, conversations téléphoniques, etc.) qui transitaient par ses équipements.

Et là on saute de joie, on se dit que le DPI c'est finit ! ... et bien non. À La 25e proposition, à la fin du rapport, c'est la douche froide :

_ Recommandation n°25 :  Réduire le nombre de passerelles entre les réseaux et l'Internet et introduire un système de surveillance des flux permettant de déceler les attaques informatiques, agréé par l'ANSSI et favoriser le groupement d'opérateurs d'importance vitale autour de système de détection partagés opérationnels 24/24_

Là, c'est quand même tout de suite moins drôle. Le "système de surveillance des flux", vous devinez ce que c'est ? Chez Reflets, on commence à avoir un peu de pif pour lire entre lignes quand ça cause de Deep Packet Inspection, de contrôle de flux, de monitoring, de business intelligence... et très franchement, nous avons un peu de mal à envisager que cette idée soit celle d'un parlementaire, aussi geek soit-il.

Il y a dans cette proposition une autre information, ce système de surveillance des flux serait agréé par l'ANSSI et serait un système de détection partagé (NDLR : entre opérateurs)... Oh, tiens, mais c'est mignon tout plein ça, mais ça ressemble comme deux gouttes d'eau à un système de surveillance global à l'échelle nationale, comme celui que nous avons vendu à Kadhafi par exemple ! Amesys devrait réfléchir à deux fois avant de céder ses activités liées à Eagle, il y a peut-être un petit coup sympa à jouer suite au rapport Bockel. Qui d'autre pourrait profiter de ce protectionnisme ? Je vois, je vois dans ma boule de cristal... SAGEM ! Rendez-vous dans deux ans ;)

La France avoue enfin être dotée d'une force de frappe offensive

C'est une très bonne nouvelle ! La France ne passera plus pour une bande cyber hippies, le rapport concède que la France est dotée d'une doctrine offensive de cyberguerre, mais, précise le rapport, à des fins de dissuasion. Ceci n'est d'ailleurs pas franchement nouveau puisque nous l'évoquions déjà il y a plusieurs années. Ce qui est nouveau en revanche, c'est de voir ceci écrit noir sur blanc dans un rapport parlementaire.

L'ANSSI doit être renforcée

Le constat fait sur les moyens de l'ANSSI est une évidence : pas assez de moyens humains, pas assez de budget. Cette épine dorsale de la cyberdéfense française apparait bien à la traîne face à ses voisins européens, tant en terme d'effectifs que de budget. Comme le rappelle justement le rapport Bockel, "_ l'ANSSI joue de plus en plus un rôle permanent d'assistance, de conseil et d'expertise en matière de sécurité des systèmes d'information au profit des administrations et des opérateurs d'importance vitale". _

La croissance de l'ANSSI doit suivre, son budget de 75 millions d'euros, à l'échelle de sa mission et des enjeux, est définitivement ridicule, même s'il a progréssé de 30 millions entre 2009 et 2012.  L'ANSSI attendra 250 agents fin 2012 et portera ses effectifs à 360 personnes en 2013, ce qui reste bien inférieur à nos homologues allemands qui en comptent deux fois plus.

En conclusion

Ce rapport demeure une bonne approche, il a le bon goût de poser en des termes intelligibles des parlementaires, des bases pas inintéressantes et rappelle des points capitaux, notamment sur le cyberterrorisme :

_ "aucune attaque terroriste d'envergure par voie informatique , par exemple contre des infrastructures sensibles,  n'a pour l'instant été répertoriée."_

ou encore le concept toujours fumeux de cyberguerre

Peut-on parler de « cyberguerre » et imaginer que les attaques informatiques se substitueront aux modes d'action militaires traditionnels et que l'issue des conflits se jouera à l'avenir sur ce nouveau champ de bataille ? Il s'agit sans doute d'une hypothèse assez extrême. Il semble acquis en revanche que l'on ne peut guère concevoir désormais de conflit militaire sans qu'il s'accompagne d'attaques sur les systèmes d'information. C'est par exemple ce qui s'est passé lors du conflit entre la Russie et la Géorgie en août 2008. (...) Ce nouveau facteur nécessite toutefois des stratégies et des modes d'action très spécifiques.

Les recommandations 24 à 28 concernant les opérateurs d'importance vitale et systèmes critiques (par exemple les SCADA, proposition 26), constituent à notre sens le gros chantier de ce rapport, avec un débat nécessaire sur la 25e recommandation que nous avons évoqué plus haut, relative à un outil de surveillance des flux. Toutes les garanties doivent être apportées pour que cet outil de surveillance des flux ne soit pas le faux nez d'un outil de surveillance de masse des individus.

Les problématiques liées aux enceintes multilatérales et particulièrement celles au niveau de l'OTAN, sont en revanche plus floues, leurs contours sont pour le moment mal délimités. Plus inquiétant, leur impact, particulièrement grave en cas de cyberconflit, en font des problématiques que l'on doit manipuler avec une précaution extrême, comme l'invocation de l'article 5 du traité de Washington :

_"Plus généralement,  l'OTAN doit encore déterminer quelle attitude adopter pour répondre à des cyberattaques lancées contre l'un des Etats membres. _

Peut-on invoquer  l'article 5  du traité de Washington en cas de cyberattaque ? Une « attaque informatique » peut-elle être assimilée à un « acte de guerre » et comment identifier l'agresseur ? Les mesures de rétorsion doivent-elles se limiter à des moyens cybernétiques, ou bien peut-on également envisager des frappes militaires conventionnelles ?"

Ce rapport a donc le mérite d'exister, d'être public, de poser de bonnes questions, même si certaines de ces questions ne peuvent et ne doivent pas trouver de réponses simplistes. Il faudra, pour y répondre, que nos parlementaires aient le courage et la volonté d'aborder des questions complexes, sous un angle technique et non pas seulement législatif.

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée