What the FIC ?

L’ANSSI absente-présente au forum de la cybersécurité d’Avisa Partners

Le fameux salon/forum de la sécurité informatique organisé à Lille par Avisa Partners bruissait cette année de rumeurs. L’État s’est en effet désengagé dans la toute dernière ligne droite. Après l’armée et la gendarmerie, c’est au tour de l’ANSSI de déserter les lieux quelques jours avant l’ouverture. Pas de stand cette année. Le patron de l’agence aura malgré tout tenu à venir y faire une apparition, et un discours d’ouverture…

« C’est un signe ! » La phrase est partout mercredi 5 avril, jour de l’ouverture du FIC 2023. Sur les stands, il y a deux types de profils. Ceux qui ne veulent surtout pas se mêler de la « polémique » en cours et qui bottent en touche, comme la CNIL ou les Douanes, et puis les autres, qui sont perplexes, dans l’expectative, ou que l’annonce du retrait – de façade – de l’ANSSI inquiète. Prise dans une affaire de manipulation de l’opinion pour le compte de ses clients, parfois dans des pays un peu fâchés avec les droits de l’Homme, la société Avisa Partners a en effet été lâchée ces dernières semaines par l’armée, la gendarmerie et l’ANSSI (l’agence de sécurisation des réseaux informatiques essentiels). Avisa et la gendarmerie co-organisaient le FIC, un salon très couru de la cybersécurité. Après des mois de tergiversation, quasiment toutes les agences gouvernementales ont décidé de se retirer de l’événement.

Poursuivi en diffamation par Avisa Partners, Reflets qui n’avait jamais mis les pieds au FIC en dépit d’une connaissance poussée de l’écosystème que forme le monde de la sécurité informatique, a décidé cette année d’aller voir sur place comment les exposants s’accommodaient de leur présence sur un salon qui vit une période de crise.

Sur le stand de la CNIL, les deux personnes présentes sont visiblement un peu mal à l’aise. La personne qui semble être responsable s’approche. « Oui on a lu des choses dans la presse. On ne sait pas si c’est vrai ou si c’est faux ». OK. Mais sur un plan éthique… ? « La cybersécurité c’est un sujet important pour la CNIL. Donc on est là pour rencontrer les acteurs. Vous savez, il y a plein de gens qui sont bannis de Wikipedia, nous explique notre interlocuteur avec un petit sourire. Il n’y a pas d’autre endroit, de cette taille là, avec autant de monde avec qui interagir sur les problématiques portées par le CNIL. On est là, on verra l’année prochaine comment ça évolue et si on a des consignes plus claires. »

Autre exposant, autre son de cloche. Il s’agit d’une boite connue dans le monde entier, spécialisée dans l’audit de code. « C’est dommage, mais qu’est-ce que vous voulez… On joue de ça et on joue de la grève, ça va être compliqué, explique ce salarié sur le stand. On verra bien. Le retrait de la gendarmerie et de l’ANSSI, c’est pas bon pour l’image du salon. J’espère que ça n’empêchera pas les gens de venir. Les ministères, j’avais entendu avant. Le coup un peu rude, c’est l’ANSSI. C’est quand même un signal un peu fort. On verra. C’est vrai qu’il y a d’autres salons qui montent. Comme le IT security forum de Cannes. On a discuté avec des collègues, on est tous un peu pareil : on va voir ce que ça donne cette année et en fonction, on avisera. On est tous dans l’inconnu pour l’instant. Et les organisateurs encore plus. Ils ont envoyé un mail pour expliquer que le conflit était pas avec le FIC mais avec un partenaire. Ils ont essayé de s’en sortir comme ça, il fallait bien qu’ils fassent quelque chose et ne pas rester silencieux. Mais est-ce qu’ils vont réussir à s’en sortir ? ». Notre homme n’est pas complètement alarmiste, mais il demande à juger sur pièces, en fin de salon.

Ailleurs, on se ferme comme une huitre. « je ne suis pas autorisée à faire la moindre déclaration » (Cellebrite), « je n’ai pas suivi l’affaire en détail » (Yes We Hack). Les Douanes, qui ont un stand, se retranchent derrière la hiérarchie. « il faudrait demander au commandement, qui viendra plus tard sur le stand ». A quelle heure ? « On nous avait dit 8h30 », explique ce douanier hilare. De fait, il est déjà 9h30. « Je ne sais pas, vers 10h ? 11h ? Vous aurez des réponses. Elles ont été bien préparées, il y déjà a eu des questions sur ce sujet », poursuit-il moqueur.

« Je vous avoue que j’ai eu l’info la veille pour le lendemain : plus personne ne vient. C’est dommage. C’est l’événement important. Ça n’aura pas le même charme sans la gendarmerie, sans l’ANSSI, explique un commercial d’une startup. Je veux pas me mêler de ça mais c’est quand même dommage de perdre un grand partenaire comme la gendarmerie. Et surtout l’ANSSI. C’est le plus grand salon, celui où il faut être, mais si on perd les acteurs principaux… C’est quoi la suite de ce salon ? Je ne sais pas. On verra l’année prochaine », conclue-t-il.

Avisa m’avise

Peu après ces échanges, alors que ma visite a démarré depuis une demi-heure environ, le patron d’Avisa Partners, Matthieu Creux, accompagné de Guillaume Tissier, consultant en gestion des risques et cybersécurité chez Avisa Partners et directeur du FIC, m’interpellent dans une allée. Ils savent qui je suis et veulent savoir si il y a des « sujets que [je veux] couvrir particulièrement ». Je demande à Guillaume Tissier comment se passe le salon, surtout avec le départ de l’ANSSI ? « Le départ de l’ANSSI, oui, c’est dommage. On ne va pas se le cacher. C’est une décision qui leur appartient. ». Après trois banalités, le directeur du FIC lance « on est à votre disposition si vous voulez qu’on parle, avec Matthieu Creux qui est donc le président d’Avisa, on est ouverts... ». Et pourquoi pas ? Je les invite à s’assoir et discuter. Pas sûr que ce soit ce à quoi ils s’attendaient. Me voici donc embarqué dans une salle VIP où l’on trouve des petites salles privées avec champagne et petits fours. Je ne le sais pas encore, mais me voilà parti pour à peu près de deux heures de conversation sur Avisa Partners, la méchante presse, et tous ces sujets qui tiennent à coeur à Matthieu Creux. La situation s'avère pour le moins étonnante. Rappel : Avisa Patrners et donc Matthieu Creux, poursuivent Reflets en diffamation pour ses articles sur l’entreprise.

Comment résumer tout cela en quelques phrases ? Matthieu Creux aime parler. De tout. Des Leaks (devait-on publier nos articles sur Patrick Drahi comme on l’a fait ?), d’Avisa, d’Arnaud Dassier (et de ses positions politiques), de notre vision du monde (qui n’est pas la sienne)... Il se sent mal aimé. Ou tout au moins mal compris. Son entreprise n’a pas du fait fait tout ce dont on l’accuse et il va le prouver. Notamment à propos de Wikipedia. Bilan des courses ? On ne sera pas d’accord.

Un exemple pour illustrer ce désaccord ? Matthieu Creux, réaffirme qu’Avisa Partners ne se trouve pas dans une nébuleuse d’extrême-droite. Il minimise le ralliement de son co-actionnaire Arnaud Dassier à Eric Zemmour. Outre le fait qu’Arnaud Dassier a rallié publiquement le candidat, il a été rémunéré pour son action au sein de la campagne d’Eric Zemmour comme le prouve ce document, ce qu’avait relevé la Lettre A.

Avisa Partners : la tentation du greenwashing

Que faire pour redorer une image profondément ternie ?

Entre autres choses, le FIC n’a rien trouvé de mieux que d’organiser une sorte de hackathon, « Hack4Values » (hacker pour des valeurs), un concours de piratage informatique, mais pour le bien. Les « corsaires » se lancent à l’assaut des failles qui pourraient impacter des ONG. Le résultat leur sera offert « gratuitement ». Avisa Partners aidera ainsi des organisations luttant pour les droits de l’Homme dans des pays où ils ne sont pas respectés et que Partners Avisa conseille par ailleurs ?

L’agence qui a été interdite à vie d’utilisation de Wikipedia après en avoir modifié les pages pour le compte de ses riches clients, s’est alliée sur ce coup à la société Yogosha (1) qui développe une offre de « bug bounty », la recherche éthique de failles, l’ONG Communications sans frontières et le vendeur d’outils de bricolage ManoMano. Une opération pour redorer le blason terni d’Avisa Partners qui sent un peu le bricolage, justement.

Matthieu Creux et Guillaume Tissier répètent à l’envi que rien n’est reproché sur un plan juridique à Avisa Partners. Que le fait de s’engager auprès d’Eric Zemmour ou Jean-Luc Mélenchon n’est pas un motif de licenciement. Personne ne conteste cela.

Il y a trois plans sur lesquels les citoyens évoluent dans leur vie (privée ou publique). Le droit tout d’abord. C’est le résultat d’un contrat social. Vous abandonnez votre droit à taper sur votre voisin avec un gourdin pour lui voler la cuisse de dinosaure qu’il vient de chasser au profit d’un cadre, de règles judiciaires, qui à la fois restreignent vos libertés et vous protègent d’un abus de leur liberté par les autres. Chacun est tenu de respecter les règles de ce contrat social sous peine de subir des conséquences souvent sérieuses. Puis vient la morale. C’est une liste de règles communément adoptées par des groupes d’individus. Ce qui se fait et ce qui ne se fait pas dans une communauté. Il n’y a pas de répercussions lorsque ces règles sont violées, si ce n’est le regard porté par la communauté sur celui qui s’en affranchit. Et enfin, vient l’éthique. C’est un sujet beaucoup plus compliqué. Car l’éthique est une chose très personnelle. La sanction lorsque l’on viole sa propre éthique est… Le fait d’avoir du mal à vivre avec ses propres choix. Dans le cas qui nous occupe ici et que l’on peut élargir à l’éco-système de la sécurité informatique, il convient de savoir si l’éthique de ce dernier est la même que la votre.

Par exemple, peut-on « militariser » Internet. En d’autres termes, peut-on utiliser ces technologies pour faire du black SEO, pour faire de l’astroturfing ? Même si l’usage que l’on en fait n’est pas à proprement parler illégal ?

Peut-on vendre des armes numériques à des pays fâchés avec les droits de l’homme ? Certains, comme nous, pensent que non. D’autres, s'en défendent en arguant que si ce n’est pas leur entreprise qui le fait, alors ce sera une autre, mais cette fois risquerait de battre pavillon russe, israélien, américain, chinois...

Une fois que tout le monde trouve la ficelle un peu grosse, comme lorsque Amesys vend un outil d’interception de toutes les communications IP de la Libye à Abdallah Senoussi, condamné pour terrorisme par la justice française, on pourrait s’attendre à une mise à l’index par l’éco-système. Pas du tout. Même punition pour Qosmos qui a conservé sa place au sein de Hexatrust pendant des années. On trouve encore dans le catalogue 2023 de solutions et services de Hexatrust , la société Ercom, prise dans une multitude de scandales éthiques pour avoir vendu des armes numériques à des pays très peu recommandables.

Rien n’y fait, le secteur de la cybersécurité a toujours été incapable de faire le ménage dans ses rangs. Ni les problèmes judiciaires, ni les problèmes moraux, ni les problèmes éthiques ne posent de vrais soucis. Business is business et tout continue comme si de rien n’était. Ainsi, on va au FIC joyeux et confiant, même si l’organisateur Avisa Partners a un problème d’éthique révélé par plusieurs journaux. Et même si l’ANSSI, la gendarmerie et l’armée se désengagent ouvertement en évitant de louer un stand. Mais diplomatie ou hypocrisie obligent, il ne s’agirait pas de trop se fâcher malgré tout… Si Vincent Strubel, le nouveau patron de l’ANSSI pose son veto a la prise d’un stand, Strubel Vincent se rend bel et bien au FIC pour y faire des discours ! Thierry Breton, le commissaire européen était aussi de la partie pour y faire des annonces assez ridicules.

De la même manière, la liste des membres de l’« Advisory Board » du FIC ou du « Scientific Committee » contient des noms bien connus du monde de la sécurité informatique pour qui il semble qu'il n’y ait aucun problème éthique.

Dans l’écosystème, on a continué longtemps de faire du business avec les équipes d’Amesys, d’Ercom ou de Qosmos, on continue de participer à des tables-rondes avec des membres de cet écosystème dont chacun connaît l’éthique très particulière. Ne parlons même pas des fausses valeurs qui agitent en permanence la peur, l’incertitude et le doute pour favoriser le business, le snake oil est roi, quitte à faire le grand écart avec la réalité, celles dont les analyses sur les sujets liés à la cybersécurité ressemblent plus à « Oui-Oui et les ordinateurs » qu’à quelque chose de construit sur un savoir véritable, mais qui toutes, ont table ouverte partout. Qu’importe tant que le business continue…