FIC 2014, le petit monde de la sécurité et ses bonnes blagues…

singes

J’ai essayé. Ma main gauche retient ma main droite depuis quelques temps. Non, non, ne pas écrire sur le FIC, pas…

Peine perdue. Ma main droite s’est libérée.

Ah… Le petit monde de la sécurité informatique. Cet écosystème… Endogame. Aveugle par choix et par facilité. Cela fait des lustres que je n’ai pas parlé de lui.

Comment vous dire…? Le monde de la sécurité informatique vu du côté des entreprises de sécurité, c’est un panier de crabes dans lequel chacun tente de dégommer l’autre pour mieux vendre de la Daube© qui ne protège pas les gogos, mais dont on vante à coup de masse marketing les bienfaits. Ces entreprises ont besoin de clients. Ceux-ci sont régulièrement sollicités pour écrire des « témoignages clients » permettant de présenter Daube© 8.3 comme un outil ultime contre les méchants pirates chinois. Ah, oui, les pirates chinois… Dans le petit monde de la sécurité informatique, il faut des épouvantails. Cela permet de mieux vendre la dernière version de Daube© qui protège, forcément, contre les menaces existantes, passées ET futures (si, si, c’est possible). Daube© protège contre 100% des cyber-périls.

Mais l’écosystème a aussi ses parasites. La presse spécialisée qui ne vit que de l’existence de ce secteur. Il y a une tripotée de journaux dont les contenus sont rédigés par les membres de l’écosystème, qui ne vivent que de la pub de l’écosystème (les articles sont là pour entourer la pub) et ne sont lus par personne.

Un monde d’experts

Il y a aussi certains avocats (ou certains experts judiciaires) qui ont su profiter de l’écosystème. Dans la série des avocats, à l’origine était… Alain Bensoussan qui avait prophétisé mon enfermement en prison il y a des années, sur France Culture lorsque nous étions tous deux invités à parler lors d’une émission. Mais il n’est plus seul sur ce créneau. Il y a aussi, par exemple,  Garance Mathias, qui va répondre, au FIC 2014, à une question essentielle : « peut-on être anonyme sur Internet« . Garance ne m’est pas inconnue. C’est elle qui avait pondu un mémorable article dans l’inénarrable Mag-Securs sur Guillermito. Un must… Il est évident qu’elle est la mieux à même d’expliquer au monde ébahi si oui ou non, on peut être anonyme sur Internet. Je pressent du lourd. Du hautement technique. La Loi venant à son secours (l’anonymat, #saymal).

Au FIC 2014, encore, Bull va nous expliquer comment, dans une économie mondialisée et grâce au « cloud de confiance », faire face au cyber-espionnage. Pour des gens qui ont installé un système d’espionnage à l’échelle d’un pays, en Libye, au Qatar, au Maroc, on en passe, c’est effectivement bienvenu comme sujet…  Mais encore une fois, l’écosystème est endogame. Il recrute parmi les siens. Les généraux de l’armée, les vendeurs d’armes numériques, les éditeurs de Daube© protégeant contre toutes les vulnérabilités passées, présentes et future, tout le monde se raconte la même petite musique en souriant et en grignotant des petits fours. Les dindons de la farce étant, bien entendu les clients, sauf ceux qui sont consentants.

Parmi ces derniers, il y a ceux qui bénéficient de jolis cadeaux, invitations variées de la part de l’écosystème, ou ceux qui protègent leur poste en choisissant un éditeur de produit de sécurité dont le nom est tellement connu qu’ils pourront toujours, en cas d’attaque réussie, dire qu’ils avaient « choisi un éditeur reconnu » et que donc, ils ne sont pas responsables. Ni coupables, bien entendu.

La NS-Quoi ? Connais pas…

Il y  a quand même quelque chose qui dysfonctionne dans l’écosystème… Et le FIC 2014 est indiscutablement un reflet de ce dysfonctionnement.

Souvenez-vous… Depuis des années, le principal péril informatique, selon l’écosystème est « le pirate chinois soutenu par l’armée chinoise ». Il est partout. Même dans les routeurs produit par le péril jaune. A tel point qu’il faut bannir ces routeurs de nos réseaux souverains (qui a dit qu’Internet était un réseau mondial ?).

bortz-snowden-fic

Mais depuis quelques temps, la presse, aidée par Edward Snowden a révélé que le grand méchant loup était plutôt la NSA, cette agence américaine qui a plombé le réseau mondial à grands coups de DPI… Qu’importe! Ne parlons pas de cela, à part pour traiter Edward Snowden de traitre, parlons de lutte contre les contenus illégaux, d’usurpation d’identité, de détection et d’anticipation des menaces, de Glaude souverain…

soupe-aux-choux

Laissons Manuel Valls parler de terrorisme et de LPM dans son discours d’introduction au FIC. C’est certain, c’est la première préoccupation alors que le scandale de la mise sur écoute de toute la population mondiale s’étale dans toute la presse… Oui, voilà le cyber-ennemi. Le terroriste. La solution ?  La LPM. Vous allez voir comment la LPM va mettre à genoux la NSA et Al Qaïda, d’un coup d’un seul… Mieux, le ministre de l’intérieur a fait référence en fin de discours au permis Internet de nos tout petits, en partenariat avec AXA. Si, si… Bientôt le ministre avec un auto-collant pour une entreprise d’assurances sur scène (au FIC2015)… ?

Je suis sans doute un idéaliste, mais depuis des lustres, j’essaye d’expliquer que le petit monde de la sécurité informatique ferait bien de faire le ménage dans ses rangs. Les marchands de poudre de perlimpinpin, les experts autoproclamés, les journalistes qui servent la soupe, il y a de tout dans cet écosystème endogame. Et ils ne lui font pas du bien. Parce que souvent, c’est tellement gros, que ça se voit… Et ça ne passe pas.

Twitter Facebook Google Plus email

Auteur: Antoine Champagne - kitetoa

Dinosaure du Net, journaliste à ses heures. A commis deux trois trucs (Kitetoa.com, Aporismes.com et Reflets.info).


17 thoughts on “FIC 2014, le petit monde de la sécurité et ses bonnes blagues…”

  1. Les gens veulent entendre plein de terme technique. Ils veulent en prendre plein les yeux. Le FIC remplit bien sa tâche. Il existe parce qu’il y a un auditoire. Mentir à des centaines de personne y a rien de mal.

  2. Article intéressant comme d’habitude.

    Un détail néanmoins me gène. Vous écrivez « Il y a aussi certains avocats (ou les experts judiciaires) qui ont su profiter de l’écosystème. »

    J’aurais trouvé plus juste que vous écriviez « certains experts judiciaires »,car nous ne sommes pas tous à mettre dans le même sac.

    Cela m’a d’ailleurs permis de découvrir le rapport d’expertise de mon confrère Jean-Claude Hoff qui remet les choses en perspectives dans l’affaire Guillermito.
    http://www.kitetoa.com/Pages/Textes/Textes/25012005-Tegam_versus_Guillermito/Documentation/expertise-jean-claude-hoff-affaire-tegam-versus-guillermito.pdf

    Cela ne change rien sur le fond de votre article qui touche malheureusement très juste.

  3. Pas faux tout cela, mais ce « modèle » dénoncé n’est pas propre au monde de la SSI, de tout temps et de tout sujet certains fournisseurs n’ont qu’une vocation commerciale d’en fourguer un max et d’autres servent la soupe.
    Le maître mot c’est la qualité … et là, bien que réfractaire quelque peu à la normalisation régalienne à la française, chose est de constater que les critères communs et la classification des produits apporté de la visibilité qualitative. Après si un client acheté se dont il n’a pas besoin, c’est un autre sujet !

  4. J’avais jamais entendu parle du FIC mais j’entends souvent parle du SSTIC, et j’ai la sensation (peut être fausse) que c’est largement plus sérieux.
    Mais j’ai jamais eu l’occasion d’y aller, quelqu’un a des avis sur cet événement?

    1. Orange cyberdefense ? J’ai envoyé un tweet avec le hashtag #FIC2014 et pas de réponse à diverses failles de non confidentialité sur une de leur plateforme dont une qui menace l’intégrité de données clients :)

      Apres 15 personnes contactées sur 3 pays, j’attends le retour du CERT Orange que j’ai réussi à avoir, mais toujours aucun retour du RSSI local.

      Y’a-t’il un INGENIEUR dans le bateau? :)

  5. Ces comportements ne sont pas exclusifs à la sécurité informatique, ni même l’informatique en général, c’est tout le monde de l’entreprise qui est complètement pourri, presque tous ceux qui ont un savoir faire difficile à contrôler par les non initiés n’hésitent pas franchir les frontières de l’éthique uniquement pour le profit…

    Et le marketing, c’est un putain de cancer en phase terminale, qui va continuer à ronger nos cadavres longtemps après notre mort !

    1. C’est vrai pour l’univers de l’entreprise, du journalisme, de l’administration, de la politique…
      Dès qu’il y a des gros sous en jeu, les univers se cloisonnent et fonctionnent de manières endogame, afin de conserver l’oligarchie des petits univers en place. Et il n’est aucunement question ni de compétences, ni d’éthique.

  6. j’avoue, le discours d’ouverture du FIC2014 était poilant. Mais tu n’as pas assisté au forum A11 (cyber menaces modes opératoires de plus en plus sophistiqués). un grand moment de pure science fiction. j’ai eu l’impression de voir ma fille de 4ans découvrant son corps. Banquiers et éditeurs d’antivirus jouent les vierges effarouchées et veulent nous faire croire qu’ils sont impuissants et ne peuvent pas mettre des barrières pour éviter (ou du moins atténuer) les cyber-attaques vers les banques et protéger les utilisateurs avec les paiement en ligne et le paiement NFC.
    j’espère juste que c’était simulé et qu’ils ont conscience de leurs lacunes et qu’ils n’ont pas 20 trains de retard sur le monde réel.

    demain je fais l’anonymat sur internet B4 et usurpation d’identité B8 ça risque d’être marrant.

    tu étais sur place bluetouff ?

  7. C’est le microcosme de la sécurité ou la société dans son ensemble ? Je ne vois pas trop la différence sur le fond.
    En bonus le goodie certissim qui offre un autocollant pour apposer au verso de ta carte bancaire pour cacher le code cvv que visa et mc n’arrivent pas à enlever ;-)

  8. L’analyse est très intéressante et reflète une buzz de la sécu. Seul le challenge est intérressant, le reste ne sont que des démos montrant des cas connue et basique (pour peu que l’on mette de la couleur et des lignes de commandes lors de la demo, le public néophyte est conquis….)

  9. Votre article sur le fond me fait penser à un manque de bon sens qui représente 80% du problème. Bien sur qu’il ne faut pas que des « remplisseurs » de cases d’audit sécurités et qu’il faille des ingénieurs pour faire le boulot (audit, pentest, veille, code sécurisé, etc.)

    L’article de l’an dernier sur les infos confidentielles de la DGSE lors d’appels d’offres fait penser à une question. Quand allons nous ne plus parler de RSSI trop centré sur la technique ou l’architecture et allons parler de « protecteur du capital informationnel? Personne pour vérifier ou aucune procédure ? Pas de cycle PDCA?

    La base du bon sens, définir ce qu’il y a à protéger, quelles sont les risques et leur coût si l’information n’est plus disponible, si elle n’est plus confidentielle ou integre?

  10. Que pensez-vous du CLUSIF ?
    Je viens de rencontrer un administrateur du CLUSIF, je trouve leur travail intéressant, mais n’étant pas un spécialiste de la sécurité informatique je pose la question aux commentateurs de Reflets…
    si jamais il y en a qui consultent encore cet article ;)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *