Journal d'investigation en ligne et d'information‑hacking
par Antoine Champagne - kitetoa

France Cyber Security : une idée française de la sécurité française...

C'est beau comme... Comme de l'auto-certification. Comment se faire un peu de pub quand on est un groupe de sociétés françaises spécialisées dans la sécurité informatique ? Simple. Créer un énième label et certifier quelques produits. Petit plus ? Embarquer dans l'aventure des organismes d'Etat. L'arrivée dans le paysage de "France Cyber Security" (évoqué ici par ZDNet) n'est donc pas une surprise.

C'est beau comme... Comme de l'auto-certification. Comment se faire un peu de pub quand on est un groupe de sociétés françaises spécialisées dans la sécurité informatique ? Simple. Créer un énième label et certifier quelques produits. Petit plus ? Embarquer dans l'aventure des organismes d'Etat. L'arrivée dans le paysage de "France Cyber Security" (évoqué ici par ZDNet) n'est donc pas une surprise. Elle suit le précédent "label" qui ne marchait pas, Hexatrust (dans lequel on trouvait nos amis de Qosmos). Dans tous les cas, bien décorer le site Web avec de la peinture bleue, blanche et rouge, imaginer un logo qui ressemble à s'y méprendre à un écusson de force de police ou de l'armée, et se présenter comme une alternative à la méchante NSA des Etats-Unis. De la sécurité française, façon Super Dupont qui permet de faire la nique aux espions américains. Sauf que tout cela ne suffit pas à faire de la bonne sécurité.

France Cyber Security l'annonce clairement sur son site :

Les principes d’attribution s’appuient principalement sur les critères suivants : 1. Les produits et services sont fournis et/ou délivrés par une entreprise française 2. Les produits sont conçus et développés en France. 3. Les services sont fournis de France et hébergés en France le cas échéant. 4. La qualité et la performance des produits et services sont attestés par des certifications.

Du vrai produit de sécurité made in France avec du saucisson et de la baguette.

Nos oreilles ont sifflé cette semaine quand, assistant à une conférence de la DGSI visant à sensibiliser les entreprises françaises aux danger numériques, France Cyber Security a été cité comme un lieu intéressant pour choisir des produits permettant d'éviter la curiosité américaine.

Car il devait manquer quelques informations au policier, par ailleurs intéressant, de la DGSI.

Dans la liste des produits certifiés pur saucisson-baguette, il y a nos amis d'Atos, de Bull. Nos plus anciens lecteurs (début des années 2000) savent combien ces sociétés se sont illustrées au fil du temps dans le domaine de la sécurité informatique. Ne parlons même pas du fait que Bull/Amesys s'est particulièrement distinguée en vendant du matériel de cyber surveillance à des dictatures et des Etats policiers, au point qu'une instruction vise l'entreprise pour complicité de torture... Mais il y a mieux...

Produit certifié avec teinture capillaire©

Dans la liste des certifiés, on trouve une entreprise bien française qui vend à des ministères et des banques mais qui, pour assurer un beau contrat, a vendu l'accès au code source de son produit à... Une entreprise américaine dont les liens avec le gouvernement américain ne font aucun doute. Pour tout dire, cette entreprise française était tellement fière de son contrat que l'un de ses dirigeant s'est teint les cheveux de la couleur du logo de la société américaine le jour de la signature. Pour autant, elle ne s'en est pas vantée car voyez-vous, il y a un non disclosure agreement entre elle et la société américaine qui l'en empêche. Chers ministères, chères banques, vous ne saurez donc pas à quelle sauce vous serez mangés. Une chose est sûre toutefois, vous serez mangé avec une sauce certifiée France Cyber Security.

Ce label a toutefois du mal à s'auto-certifier lui-même. Le très joli Wordpress installé sur le serveur Apache qui héberge ses pages, semble avoir été mis en place sans supervision... d'un expert en sécurité (française ou pas).

Il ne s'agit pas d'un simple petit oubli puisque le site offre d'autres informations : il est possible de consulter les fichiers uploadés sur le site :

Piste de réflexion (cadeau Bonux) le site Hexatrust qui regroupait déjà la fine fleur de la sécurité informatique made in France, présente le même genre de problème :

Moralité ? L'auto-certification ne certifie pas grand chose...

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée