Vous êtes sur la page 1sur 34

Mercredi 8 juin 2011

Assises nationales de la recherche stratgique


Atelier 1 : Cyberdfense, cyberscurit : frontires, limites et enjeux
8 juin 2011
Animateurs : Cdric BLANCHER (expert senior en scurit informatique, EADS, Innovation Works) Eric DELBECQUE (responsable du dpartement scurit conomique de lINHESJ) Introduction par les auditeurs de lIHEDN (Philippe DARDIER) et de lINHESJ (Arnold MIGAN)

Intervenants :

Cdric BLANCHER, Le rle de la socit civile en cyberdfense Ludovic ME (enseignant chercheur, SUPELEC de Rennes) : Pourquoi nos logiciels sont-ils vulnrables ? Nicolas ARPAGIAN (Rfrent scientifique du cycle numrique, INHESJ), Les frontires du cyberespace

Copyright CSFRS 2011

Page 1

Mercredi 8 juin 2011

Cdric Blancher : Bonjour tous, et bienvenue cet atelier 1 qui va donc aborder les thmes de cyberespace, de cyberscurit. Nous allons procder de la manire suivante : aprs quatre prsentations assez courtes dune dizaine de minutes nous vous laisserons la parole pour toutes vos questions, observations, remarques etc.

Eric Delbecque : Les deux instituts lIHEDN et lINHESJ ont demand certains de leurs auditeurs de travailler sur ce thme de la cyberscurit et de la cyberdfense. Etant donn quils ont beaucoup et bien travaill durant toute lanne, ils vont essayer dans un temps qui est minimal, de vous livrer le rsultat de leurs travaux, leurs conclusions et essentiellement des prconisations, des pistes dvolution et dactions, puisque cest ce qui nous paraissait le plus intressant discuter cet aprs-midi. A lissue de cette brve prsentation de chacun des instituts, les experts mobiliss, Ludovic M et Nicolas Arpagian, que nous prsenterons successivement au cours de leurs interventions, nous jetterons un clairage sur lensemble de ces propositions. Vous aurez bien videmment la parole aprs, pour un dbat entre vous-mmes et les experts ici prsents.

Philippe Dardier : Bonjour. Tout dabord, merci beaucoup lIHEDN et lINHESJ de nous avoir permis de travailler sur un sujet aussi la mode et aussi mouvant que le cyberespace. Notre objectif tait, une vingtaine, avec des cursus et des parcours trs diffrents allant du magistrat au gendarme, de lingnieur de la DGA aux spcialistes de systmes chez Orange et Numricable, avec des spcialistes de lindustrie de dfense, sur un thme et avec un objectif trs prcis, de remettre une vingtaine ou une dizaine de recommandations, qui seraient tout de suite implmentables dans le monde de la cyberdfense et du cyberespace. Inutile de vous dire que nous avons eu des difficults, parce que le sujet est vaste, les points de vue sont diffrents. Nous sommes arrivs une douzaine de recommandations assez concrtes. En termes de mthodologie, outre des lectures, bien videmment, nous avons rencontr des instituts spcialiss du type du Centre de Cyberespace de lOTAN de Tallinn. Nous avons vu beaucoup dacteurs nationaux, la gendarmerie, des hackers blancs, et nous sommes arrivs une conclusion mthodologique : il y avait trois acteurs-types. Comprendre ce socle, ce mcanisme est essentiel dans nos recommandations. Ces acteurs sont dabord ltat ou les tats, les entreprises but Copyright CSFRS 2011 Page 2

Mercredi 8 juin 2011

lucratif, et finalement les individus, les particuliers, donc nous y regroupons aussi les associations et les entreprises but non lucratif. La premire de nos recommandations, mettre en uvre assez rapidement, tait de pallier labsence de consensus sur une vision du cyberespace national. Tout le monde dit quil ny a pas de frontires, pas de dlimitations et de limites. Cela tant dit, avoir une vision franaise du cyberespace suppose un observatoire national du cyberespace, qui fera une taxinomie des activits la fois conomiques et politiques. Aujourdhui, nombre dinformations disponibles extrmement diverses et varies, viennent dacteurs particuliers sur des thmatiques prcises, avec des motivations qui ne sont pas forcment celles de ltat ou de la France. La seconde action que nous jugions trs importante tait de crer ou plutt initier un Livre blanc du cyberespace. Ce livre regrouperait beaucoup de ces lments, aussi bien la scurit nationale que la cyberdfense et la dfense nationale, lments cls dans cet univers nouveau. Pour illustrer cet exemple, cet aspect doctrinal, tout le monde se cherche un peu. Les Amricains, la semaine dernire, ont annonc quils considraient quil existait cinq univers de dfense pour le Pentagone : lair, la terre, la mer, lespace et maintenant le cyberespace. Cela fait donc beaucoup dlments doctrinaux mettre plat et finaliser. Le troisime lment dont nous pensons avoir besoin aujourdhui, est un centre de supervision centralis sur les infrastructures prives et publiques, qui permettrait davoir une vision nationale de laspect technique. Un exemple concret : toutes les cls USB et 3G aujourdhui sont fabriques aux USA et en Chine. Nous sommes donc un peu en porte--faux par rapport ces acteurs lorsque lon veut imposer certaines normes, certains lments disons techniques . Le quatrime lment, indispensable mais qui ne fait pas aujourdhui lunanimit, est un cadre ou plutt, un format de retour dexprience nationale. Les grandes entreprises, les PME, les TPE, ont chacune leur approche et leur dmarche propre vis--vis de ces problmes, elles ne savent pas trs bien comment donner un retour dexprience au niveau centralis, au niveau national. Cette vision est aussi en ligne avec ce que lon disait avant. Il nous faut nous trouver une doctrine, une norme, une ide nationale de ce quest le cyberespace et comment on doit y ragir. Le cinquime lment que nous avons trouv trs important, dans un monde en mouvement, est que nous pensons que la politique de la chaise vide est extrmement pnalisante pour la France. Il y a beaucoup dinstances internationales en termes juridiques, en termes de dfense et de scurit, Nicolas Arpagian en parlera peut tre Copyright CSFRS 2011 Page 3

Mercredi 8 juin 2011

plus longuement que moi, o la France nest pas prsente. Par contre, certaines prises de dcisions sont faites durant lanne, o la France exprime et initie un certain nombre de causalits ou dides, et le fait dtre prsent nous provincialise. A la fois en terme intellectuel, mais aussi en terme de dmarche et dinfluence sur ces diffrents acteurs. Ce qui nous mne la sixime recommandation, en termes dactions trs concrtes, qui est de crer des normes de scurit europennes. Pourquoi europennes, pourquoi pas nationales ? Nous pouvons avoir une trs bonne ide, mais en risquant de nous provincialiser avec des normes trop parfaites, trop nationales et pas assez importantes. Certes, lUnion europenne soulve de nombreuses critiques, mais sil y a une chose qui terrorise les industries pharmaceutiques en Suisse ou la FD en Virginie, ce sont les normes europennes. Les Europens savent faire des normes. Je pense que se trouver dans une instance qui puisse imposer des normes de scurit au niveau mondial, par exemple au niveau 1 imposer que tout le monde ait un antivirus avec un cahier des charges europen, nous permettrait de mutualiser notre savoir-faire avec dautres qui ont plus davance, et davoir une influence tangible et relle sur notre univers. Bien que ce soit un monde trs difficile dfinir, avoir un rfrentiel dans cet espace serait un bon point de dpart pour ensuite observer les variations par rapport cet lment. Je vais vous donner un autre exemple, le dernier avant de passer la parole Arnold. En termes dinstances internationales, il y a eu beaucoup de discours et de dbats au sujet de la qualit de telle ou telle institution. Une ma marqu, et je parle pour le groupe, cest le ple expertise de lOTAN qui se trouve en Estonie, et regroupe cinquante personnes. Il regroupe aujourdhui des pays de lUnion europenne de manire officieuse comme les Sudois et les Finlandais, et surtout des pays de lOTAN. Ce petit pays a t agress en 2007 et cest une des dates cls dans le monde de la cyberguerre. Pour eux, il y a une vritable porosit entre le concept de cyberscurit et de cyberdfense. La France, elle, ny est pas. Les Allemands y sont, les Italiens y sont, les Espagnols et les trois pays Baltes y sont ; les Amricains, les Polonais, les Turcs y entrent en fin danne. Le cot dinvestissement est de trois personnes temps plein et de 500 000 dollars. Je pense que cest le genre dendroit o il faut tre prsent pour, la fois accder linformation publique, mais aussi pour influencer nos normes, et nous mettre dans une phase qui a des consquences conomiques, dans la mesure o ces normes impacteront normment nos industriels pour la suite. Je passe la parole Arnold, je vous remercie.

Arnold Migan, directeur de cabinet chez Orange: Copyright CSFRS 2011 Page 4

Mercredi 8 juin 2011

Bonjour, je suis auditeur du groupe INHESJ, nous avons travaill ensemble avec Philippe. Dans la continuit de ce que disait Philippe, ce que nous proposons aussi est de penser mettre en place en France un code de conduite du mme type que le permis de conduire pour Internet. Donc pour lensemble des citoyens quil soit aujourdhui utilisateur dInternet ou potentiel utilisateur. Le groupe de travail a aussi identifi quil fallait regarder un peu ce qui se passe du ct des PME, des PTE et des particuliers bien entendu, en raison de leur manque de sensibilit aux problmatiques de scurit sur Internet. La cyberscurit ne leur parle pas beaucoup, ce nest pas une proccupation pour eux. Ltat devrait donc investir sur la sensibilisation et lducation de ces acteurs. Nous nous sommes aussi dit quil faudrait capitaliser sur les hackers. Certains Etats ont dj capitalis sur des groupes de hackers qui servent les nations, en France nous ny sommes pas encore, alors quil faudrait aller jusqu la possibilit de donner des certifications ou bien un label de hacker. Nous nallons pas rentrer dans le dbat hacker blanc ou pas blanc, lessentiel est de les canaliser, dutiliser le savoir de ces gens l pour avancer. Un point essentiel sur lequel nous avons travaill aussi, cest la doctrine. Aujourdhui, lensemble des enqutes montre que la France devrait se doter dune doctrine claire en matire de cyberdfense, travailler sur la notion de cyberdfense active, crer ventuellement lquivalent de la CyberCommand aux US, en utilisant les talents que nous dtenons, que ce soit dans le priv, dans le public, que ce soit les hackers ou dautres cybercitoyens. Et enfin, le point qui nous a paru le plus essentiel est quand mme le cadre juridique. Parce quaujourdhui, lorsque lon parle de cyberespace, on se dit que cest un espace sans frontires relles. Il nempche que lon pourrait btir un cadre juridique national. Il y a des choses qui ont t faites, plutt dans le sens conomique avec la loi LCEN (Loi pour la confiance dans lconomie numrique) ou HADOPI (Haute autorit pour la diffusion des uvres et la protection des droits sur internet), mais nous pensons que lon devrait aller encore plus loin et voir comment pnaliser les cyberagressions et les cyberattaques.

Philippe Dardier : En conclusion, ce sont des mesures qui ont vocation tre mises en place assez vite et cela vous explique aussi le point o en est la France. Nous ne sommes pas les seuls. Il y a vraiment un flou doctrinal dans beaucoup de pays, et sur la doctrine du cyberespace. Copyright CSFRS 2011 Page 5

Mercredi 8 juin 2011

Llment juridique de toute vidence ne peut pas tre fait en vase clos, il nous faut utiliser le droit europen et dautres lments dj prsents. Voil les actions que lon propose en termes concrets. Vos questions sont les bienvenues. Merci vous.

Eric Delbecque : Merci Philippe et Arnold pour nous avoir fait part des conclusions de leur groupe pour complter ce panel de propositions. Nous allons maintenant prendre lavis de mes collgues ici prsents, en commenant par Cdric Blancher, chercheur au laboratoire de scurit informatique dEADS, Innovation Works . Il se penche de manire approfondie sur le rle de la socit civile dans la question de la cyberscurit. Il se pose une question encore plus prcise, quil va voquer devant vous, cest la question de lasymtrie dans la dfense comme dans lattaque. Lon dit souvent quinternet est le royaume des attaquants faibles, il ny a pas besoin dtre une grande organisation ou un grand Etat pour attaquer. La rciproque est vraie, c'est--dire que pour se dfendre, peut-tre na-t-on pas besoin dtre gigantesque. Sur ces questions stimulantes, Cdric va pouvoir nous donner son avis clair.

Cdric Blancher : Merci. Dix minutes a ne va pas tre trs long, jessaierai dtre concis et clair. La rflexion sur limplication de la socit civile dans la scurisation des infrastructures nationales vient dune rflexion que jai faite sur le Livre blanc. Lorsque lon lit la partie cyber du Livre blanc de 2007, on nous explique pratiquement explicitement quInternet est devenu une infrastructure critique. Ce qui globalement veut dire que toute entit, toute organisation, toute personne connecte Internet devient en un sens un oprateur dinfrastructure critique, ce que lon peut trs bien raccourcir par Madame Michu est une opratrice dinfrastructure critique au bout de sa ligne ADSL chez Free, Orange Partant de l, on mesure le dfi auquel nous faisons face aujourdhui. C'est--dire que nous avons quelques millions de foyers scuriser, en plus de tout ce que lon a considrer de plus important que Madame Michu. A savoir nos PTE, nos PME, nos grandes entreprises, nos entreprises multinationales cotes au CAC40 et nos infrastructures gouvernementales. Il y a du pain sur la planche parce quau sens du cyberespace, il ny pas de diffrences, hormis le contenu, entre lordinateur dun particulier et lordinateur qui est au fond dun rseau de grandes entreprises. Ils peuvent tre utiliss de la mme manire pour attaquer X ou Y. Et nous savons trs bien que des attaques, par exemple de dni de service mais pas seulement, sappuient justement sur les ordinateurs des particuliers pour aller rebondir sur des Copyright CSFRS 2011 Page 6

Mercredi 8 juin 2011

cibles de plus grande ampleur dans le but en particulier, quon ne puisse pas tracer lorigine de lattaque. Finalement la socit civile, ne serait-ce quen tant quutilisatrice dInternet, est au moins autant implique que tous les acteurs que lon retrouve rgulirement sur ce domaine. Plus tt, nous parlions de sensibilisation destination de ces populations, puisque aujourdhui, lorsque nous recevons un ordinateur, nous navons pas de notice nous expliquant comment le scuriser. QuHadopi nous impose un certain nombre de rgles pour viter de se retrouver priv dInternet pendant deux mois, et un certain nombre de conseils qui pourraient tre utile par la suite, sans parler de linstitution dun permis de se connecter Internet, est encore un autre chantier. De mme, on pourrait avoir la mme rflexion quant nos dcideurs. Les particuliers ne sont pas sensibiliss, nos dcideurs ne le sont pas beaucoup plus. Et la cration dune arme de cyberwarriors naura pas beaucoup de sens sil ny a personne de comptent pour les diriger. On se rappellera dAlexandre Le Grand qui disait je nai pas peur dune arme de lions tant quelle est commande par un agneau . Pour revenir au sujet de limplication de la socit civile, aujourdhui on nous parle beaucoup dasymtrie dans le sens o des gens essayent de se dfendre. On nous parle darme, de gouvernement, de grandes entreprises, et en face deux, nous avons des attaquants dont on ne sait pas trs bien qui ils sont (et a peut tre nimporte qui). Et qui avec de trs faibles moyens vont arriver causer des dommages assez colossaux. Limage du porte-avion que lon arriverait faire couler avec une pingle nourrice est assez rvlatrice, en termes de moyens dploys dans un sens pour se protger, et de moyens quil faut dans lautre pour arriver dfaire ces protections. Ceci viendrait du fait quaujourdhui, la comptence et la connaissance que lon peut acqurir dans ce domaine est extrmement facile obtenir. Il y a normment de documentation en se connectant sur internet, nous avons normment de gens qui se sont forms tout seul, en particulier dans les communauts que lon dsigne comme communauts de hackers. Je vais arrter aprs cette phrase dutiliser ce mot, car cest un mot dont la smantique est dimension trs variable. Je vais plutt parler de passionns dinformatique qui se forment tout seul. Cela existe, il y en a beaucoup, il y en a qui sont bien plus comptents que les gens qui sortent des cursus de formations standards de lducation nationale en particulier, mais de pleins dautres choses en gnral. Si cela marche pour lattaque, cela doit aussi marcher pour la dfense. Il ny a pas de raison que ce soit plus facile dapprendre attaquer des systmes que dapprendre les dfendre. Mme si le paradigme qui dit que pour dfendre il faut apprendre Copyright CSFRS 2011 Page 7

Mercredi 8 juin 2011

attaquer et inversement, nest pas tout fait vrai. Cependant, une rapide recherche sur Internet devrait vous convaincre que lon trouve autant de documentation pour arriver compromettre des systmes, que pour arriver dfaire les attaques que lon vous a dcrit dans lautre sens. Et l, indiscutablement, il me semble quil y a un changement de fusil dpaule oprer. Aujourdhui, dun point de vue de chercheur en scurit qui regarde un peu comment le monde volue, la tendance serait finalement plus brider ce genre dinitiatives quand elles ne rentrent pas dans un cadre bien tabli. Notre lgislation se fait de plus en plus dure sur ce que ces gens peuvent faire, sur ce quils ont envie de faire et comment ils le font. Nous avons la loi Gaudefrin, les articles 323 du Code pnal, enrichis en 2004 dune interdiction de publication, de dtention de toute information, lment, programme, etc., pouvant tre utiliss pour compromettre un systme. C'est--dire quaujourdhui, si jcris un article qui vous explique une attaque et comment sen dfendre, le fait de vous avoir expliqu comment marchait lattaque me place potentiellement sous le coup de la loi, mme si a priori jai un motif lgitime pour le faire. Un peu plus tard intervient le DADVSI (Droit dauteur et droits voisins dans la socit de linformation), qui est une loi destination de la protection de la proprit intellectuelle, mais qui nest pas sans impact sur la notion de scurit, en particulier au niveau des moyens de protection. C'est--dire que si vous tes un diteur de logiciels de scurit dassez mauvaise foi, et que vous ne voulez pas que les gens regardent la faon dont est fait votre programme, vous navez qu trouver une utilisation en rapport avec la proprit intellectuelle, et plus personne na le droit daller voir ce que vous faites, ce qui est un peu ennuyeux. Plus rcemment, on a eu Hadopi, la censure du net va arriver via la LOPPSI Loi dorientation et de programmation pour la performance de la scurit intrieure), une discussion autour de lACTA (Accord de commerce anti-contrefaon) qui nest pas trop mal de ce point de vue-l, et puis diverses propositions de lois qui sortent gauche droite. La dernire en date tant celle de Madame Marland-Militello, qui propose un durcissement du Code pnal au point que bientt, il vaudra mieux tuer des gens que de downloader des DIVX sur Internet. Tout a pour dire que lon veut encadrer au maximum ce que lon est capable de faire sur Internet, et la seule conclusion que lon peut en tirer, au vu de lactualit et mme pas de lactualit rcente, cest que cest un chec cuisant.

Copyright CSFRS 2011

Page 8

Mercredi 8 juin 2011

Demandez aux gens de Sony ce quils pensent de lefficacit des moyens de protection ou du cadre juridique qui empcherait les pirates de leur en vouloir, sachant quils ont t compromis. Je crois quils en sont onze - le onzime est tomb ce matin - en une semaine. De mon point de vue, nous devrions peut tre penser changer notre fusil dpaule et se dire quil vaudrait mieux encourager la crativit des gens qui ont une volont de travailler, qui ne sont pas forcment dans un cadre organisationnel bien cadr et classique comme on a lhabitude de les voir. Ceci pour deux raisons essentielles. La premire, cest quen France nous navons pratiquement aucune industrie logicielle, nous ne produisons pas les logiciels qui nous servent faire tourner nos infrastructures. Les entreprises franaises qui dveloppaient du logiciel ont pratiquement toutes disparu ou ont t rachetes par des entreprises trangres. Donc aujourdhui, une entreprise qui utiliserait des logiciels franais fait plus figure dexception que de rgle. Lessentiel de ces logiciels sont propritaires, c'est--dire que lon na pas accs la manire dont ils fonctionnent, et il pourrait tre bon de temps en temps, de se poser la question de leur niveau de scurit. Le problme cest que lorsque lon veut connatre leur niveau de scurit, il faut bien commencer les tudier et en France, et nous navons pas le droit de le faire. Nous navons pas le droit cause de la lgislation sur la proprit intellectuelle, qui nous interdit lingnierie inverse, sauf des fins doprabilit. Mais l ce nest pas loprabilit qui nous intresse cest de savoir si le logiciel est scuris ou pas. Est-ce que lexception des fins de scurit ne pourrait pas tre introduite encadre - bien videmment pour le faire, et pas forcment restreinte certaines entits bien prcises ? Parce que nous avons tellement de logiciels sur le march, vous navez qu regarder le nombre dantivirus qui sont disponibles au tlchargement, la vente, que la tche de dire lesquels sont scuriss, lesquels ne le sont pas, lesquels font leur travail, lesquels ne le font pas, est juste hors de porte de nimporte quelle entit aujourdhui constitue. Nous, dans mon laboratoire, nous le faisons de temps en temps pour le compte dEADS. Cela prend normment de temps que nous ne pouvons pas le faire pour tous les logiciels que lon voudrait acqurir. Donc lide de trouver un cadre pour que linternaute lambda puisse se pencher sur la scurit dun produit pourrait tre intressante, et le faire permettrait aussi dviter quil se fasse poursuivre ds quil trouve un lment compromettant. On se souviendra par exemple, dans les annes 2001 2002, dun internaute qui a t poursuivi par un diteur dantivirus parce quil avait trouv des failles dans son produit. La deuxime raison, et cest encore plus criant aujourdhui, est que les grandes organisations, les entreprises en gnral sont incapables de faire de linnovation dite Copyright CSFRS 2011 Page 9

Mercredi 8 juin 2011

de rupture. Linnovation dans les entreprises daujourdhui, est de linnovation dite incrmentale. Nous essayons damliorer ce que nous avons dj, parce que linnovation de rupture est bien trop risque pour les investisseurs et en particulier pour nos amis boursiers. Sil y a un domaine o cela est particulirement criant, cest bien linformatique. On se rfrera en particulier tout ce qui est le logiciel libre, mais globalement, si lon veut tudier le domaine de la scurit informatique on va sapercevoir assez rapidement que la plupart des grandes avances en scurit informatique viennent du logiciel libre et non pas de personnes qui travaillaient pour Microsoft, Cisco ou je ne sais qui. Toutes les mesures de scurit dployes sur les OS Microsoft ont t dveloppes pour Linux, Open BSD : des logiciels libres dvelopps par des communauts de gens indpendants. Pour conclure, actuellement, il me semble assez urgent de se poser la question suivante : est-ce que le sens dans lequel on va, c'est--dire cette volont de brider tout prix ce que les gens font sur Internet et comment ils le font, est bien la marche suivre ? Mon sentiment est que, certes il y a un risque non ngligeable inverser la vapeur, cest--dire changer son fusil dpaule et avoir une politique un peu plus ouverte, et lon entrevoit bien les risques que cela pose. Par contre, il me semble assez acquis que cette politique de restriction va droit dans le mur, soit parce quelle ne marchera pas, soit parce que la transformation quelle va induire sur Internet va compltement dtruire la valeur. Merci

Eric Delbecque : Merci Cdric Blancher. Donc vous aurez constat quil prfre lencouragement la crativit.

C.B : Cest un peu mon mtier. Je vais passer la parole Ludovic M, qui enseignant chercheur SUPELEC, qui va essayer de vous donner quelques pistes de rflexions pour rpondre la question de savoir pourquoi nos logiciels sont aussi vulnrables.

Ludovic M : Merci Cdric. Une intervention nouveau sur les failles. Cdric vient de nous dire quil faut que nous sachions les identifier, puisque finalement nous ne les produisons pas en France, puisque nous ne produisons pas de logiciels. Donc il faut quau moins lon sache les identifier dans les logiciels des autres, et il faut que lon sache les exploiter. Copyright CSFRS 2011 Page 10

Mercredi 8 juin 2011

Mon intervention porte plus sur un essai dinterprtation des diffrentes raisons qui font quil y a des failles dans les logiciels. Une faille, une vulnrabilit dune manire gnrale, revt de multiples formes, cest humain, organisationnel et technique, un mlange de tout a parfois. Parce que je suis un technicien, je ne vais me concentrer essentiellement que sur les failles techniques. On sait quelles peuvent impacter la fois le matriel et le logiciel, et parce que moi je suis un gars du soft , et un informaticien des couches hautes si on peut dire a, je vais plutt mintresser aux failles logicielles. Certaines taient listes dans le gimmick qui prsentait cette table ronde, je les ai reprises ici. La grande question finalement cest pourquoi toutes ces failles dans les logiciels que lon utilise quotidiennement ? Je vais tenter dapporter un certain nombre dlments de rponses, simples, un peu provocatrices parce dans une bonne table ronde il faut que les intervenants provoquent la salle, cest ce que je vais faire. Je vais marmer dun macroscope et dun microscope pour essayer de donner une ide de la volumtrie et puis des types de problmes que lon peut rencontrer, cela posera un certain nombre de faits et puis ensuite je donnerai mon interprtation, et peut-tre que je me trompe compltement, mais a cest vous qui me le direz, dans la suite de la discussion. Nous commenons donc par le macroscope. Je vais utiliser un certain nombre dinstruments pour construire ce macroscope, au moins les deux qui sont lists sur cette planche. Une base amricaine, CVE du NIST (National Institute of Standards and Technology), est intressante car elle recense depuis 1988, potentiellement, toutes les vulnrabilits connues de tous les logiciels. Il y a une interface qui permet de faire des statistiques et davoir tout un tas dinformations, cest intressant quand on veut avoir une vue macroscopique des choses. Je mappuie aussi sur les rapports que publie tout les six mois Microsoft. On appelle a le SIR : Security Intelligence Reports. Il y a un tas dlments intressants, peut tre biaiss je ne sais pas, mais qui traitent de la scurit des produits Microsoft, et dans le monde dans lequel on vit, il est important davoir cette vision. Et un certain nombre dautres lments macroscopiques sur lesquels je reviendrai plus tard. Une premire vision des choses : combien de vulnrabilits nouvelles par an sontelles constates ? Vous avez un histogramme qui reprsente ce qui se passe depuis 1988, une grosse augmentation jusquaux annes 2 000, une petite diminution depuis. Nous sommes monts 6 500 nouvelles vulnrabilits par an au milieu des annes 2000. Aujourdhui nous tournons plutt 3 000 4 000 vulnrabilits.Vraisemblablement Copyright CSFRS 2011 Page 11

Mercredi 8 juin 2011

lanne 2011 devrait tre plutt bonne, c'est--dire infrieure ce que nous avons connu lanne dernire daprs les premiers chiffres dont on dispose.Cest dcroissant, cest encourageant mais a reste beaucoup trop. Chez nos amis de Microsoft, les tudes conduites sont tout fait similaires avec des volumtries compltement identiques. Nous sommes autour de 6000 vulnrabilits et cest dcroissant. Ce qui est intressant dans les courbes que je vous montre dans cette planche, cest de qualifier finalement la dcroissance prcdemment mentionne. Ce que vous voyez l-dessus, ce qui dcrot ce sont les vulnrabilits dans les applications quelles quelles soient : client, serveur, etc. Ce qui reste peu prs constant ce sont les vulnrabilits dans les operating systems, et les vulnrabilits qui augmentent lgrement par contre sont les vulnrabilits dans les navigateurs web. Il y a plein denseignements que lon peut tirer de tout a. Dabord, le premier enseignement cest que Microsoft / Windows, depuis dj de nombreuses annes, nest pas plus mauvais que les autres, je ne dirais pas non plus quil est meilleur mais il nest pas plus mauvais que les autres. Deuxime information, le web devenant la porte dentre tout ou presque, et le client web devenant loutil qui va nous servir accder tout ou presque, et bien il y a intrt sy intresser. Dabord, il y a beaucoup de dveloppement qui se font autour du client web. Comme il y a beaucoup de dveloppements, il y beaucoup de vulnrabilits qui sont dcouvertes parce que les attaquants ont intrt les trouver, et quil y a normment de choses que lon peut faire au travers de ces vulnrabilitsl. Si rapidement, on jette un il au microscope cette fois-ci, on peut sintresser une faille ancienne, de 2001. Jai envie de vous en parler parce quelle est rvlatrice dun problme qui me parat grave et qui me parat toujours dactualit Elle a t dcouverte dans un produit qui permet de faire une connexion scurise une machine. Il est toujours amusant de constater quun produit qui est l pour faire de la scurit, en fait prsente des failles et quil peut mettre mal la scurit. Ctait le cas dun logiciel nomm SSH (Secure Shell), que certains dentre vous connaissent, et qui permet de se connecter distance en faisant du chiffrement, une machine. Dans une version initiale, 1.5 prcisment, en 1998, une vulnrabilit a t trouve, a cest banal. Mais ce qui est un peu plus intressant, cest que cette vulnrabilit ne pouvait pas tre corrige. Vous mexcuserez du jargon de non patchable , parfois le jargon informaticien ressort. Elle ne pouvait pas tre corrige parce quelle aurait impact le fonctionnement mme du systme, si bien que les nouvelles versions du logiciel seraient devenues incompatibles avec les versions initiales, solution inacceptable. Donc ce qui a t fait, cest quune fonction de scurit a t rajoute SSH pour dtecter lexploitation de ladite vulnrabilit. Nous ne la corrigeons pas mais nous en dtectons lexploitation, cest mieux que rien. Peu de temps aprs, 2001, une nouvelle Copyright CSFRS 2011 Page 12

Mercredi 8 juin 2011

faille a t dtecte dans cette fonction qui permettait de dtecter lexploitation de la premire vulnrabilit. Et finalement retour la case dpart en quelque sorte : nouveau des problmes de scurit. Souvent, nous avons lhabitude de traduire tout a par une formule que les Amricains utilisent beaucoup, cest le patch and pray : corrige et prie pour que le problme ne se renouvelle pas juste ct. On peut toujours corriger, on peut toujours prier mais, selon mon exprience, le problme se renouvelle toujours ct, voil un premier problme. Nous pouvons ranger microscope et macroscope, je quitte les faits et je rentre dans mon interprtation des choses, et qui est donc prte videmment, toutes les critiques possibles et imaginables. Une premire explication de la prsence de ces nombreuses vulnrabilits dans le logiciel, cest la complexit des systmes que lon met en place aujourdhui. Complexit qui nest plus matrise par personne. Je pense que le plus simple cet instant, cest de penser votre systme dinformation, de votre organisme, de votre entreprise. Qui sait exactement ce qui tourne et ce qui fonctionne sur ces systmes ? Sauf dans des cas trs particuliers, je pense, pas grand monde en fait. Nous ne savons plus comment sont fait les systmes, nous nen matrisons plus la complexit, nous ne savons pas exactement ce qui y tourne. Et si un problme survient en marche un beau jour, on le laisse et on lteint, parce que tant quil marche il rend son service et cest a avant tout que lon veut. Pourtant la complexit, elle, est matrisable. On fait bien voler des avions, ce sont des systmes complexes, il y a beaucoup de logiciels et finalement les avions ne tombent pas sans arrt cause de problmes de logiciels. Donc nous savons matriser la complexit. Le problme, cest que cela cote cher parce quil y a besoin de tout un environnement, toute une culture de la scurit et de la sret. Dans le cas de lavionique, cest en amont dans la phase de spcification pendant quon ralise les produits, par exemple quand on utilise des compilateurs, quand on les teste et puis derrire quand on les utilise, quil est exig davoir chaque instant en tte la scurit, qui nest pas videmment quelque chose de fonctionnel, mais quelque chose dimportant pour le produit. Ici jai list un certain nombre de points qui vont de la matrise de ces outils la formation initiale des tudiants lusage de ces outils. Cela cote cher et en fait on vit un autre jargon amricain - dans une priode de quick and dirty, je ne sais pas trop comment nous dirions en franais : du vite fait mal fait . Il faut tre vite sur le march, il faut vite avoir une version que lon vend. Et quand on fait vite, trop vite, on fait mal. Et pour moi, cest une des grandes raisons de la prsence des vulnrabilits dans les soft. Copyright CSFRS 2011 Page 13

Mercredi 8 juin 2011

Troisime raison, la dernire rassurez-vous, aprs nous discuterons, ce sont les dlais de raction quand, par hasard, les failles sont dcouvertes. Il semblerait que les choses sarrangent, je commence par ce point positif. Les choses sarrangent daprs ce que dit Microsoft ( nouveau peut-tre que cela est biais) : 80 % des failles divulgues en 2010, lont t en mme temps que le correctif qui permettait dviter leur exploitation. Cest plutt une bonne nouvelle, mais pas tant que a vrai dire. Ce nest pas parce que le correctif existe que les gens lutilisent, mais jen parlerai un peu plus tard. Globalement, ce quil faut avoir en tte encore aujourdhui, cest que dans un grand nombre de cas, on peut rester des jours, des dizaines de jours peut tre avec des systmes qui possdent des dfauts dont les failles sont connues, dont parfois les outils dattaques sont rpandus et qui pour autant, ne sont pas corrigs. Il y a quatre ou cinq chiffres sur les deux planches qui viennent. Trs rapidement, ce qui nous intresse cest de voir que les valeurs reprsentent effectivement des dizaines de jours. Ce sont des chiffres qui datent de 2004 et 2006. Milieu des annes 2000, pareil. Le temps moyen daprs Symantec (autre grand fournisseur de rapports qui peut servir dans les macroscopes) entre la dcouverte dune vulnrabilit et loutil qui va exploiter cette vulnrabilit nest que de six jours, quand le temps moyen de la dcouverte de cette vulnrabilit et la production de son correctif est de 54 jours. Quand Cdric voquait tout lheure la communaut des hackers , il faudrait ajouter que lon sache lorienter, lexploiter pour en dduire le bon ct de la force. Il est vrai quils sont ractifs, bien plus ractifs que les gens qui font de la scurit parfois. Je disais le tout lheure, ce nest pas parce que le patch existe que les gens lutilisent. Parmi la myriade dexemples possibles, je vais vous en donner un seul qui vient du deuxime sommet 2009 de Microsoft : plus des trois quarts des attaques contre leur suite Office exploitaient une vulnrabilit dont vous avez la rfrence ici, la 24-92 de 2006. Il se trouve quun patch existait depuis trois ans et pour autant, trois quarts des attaques portaient sur lexploitation de ces vulnrabilits. Donc les diteurs sont en retard dans leur production de patch, de correctifs. Les administrateurs sont encore plus en retard. Ct client web, nous avons vu que ctait important le client web aujourdhui, cest plutt mieux mais cest encore des jours. Vous avez des chiffres, l cest quelques jours, le pire cest treize jours. Safari en 2009 je ne sais pas ce qui se passait chez Apple cette anne-l, ils se sont bien rattraps en 2010 parce quils sont infrieurs un jour. Ce sont des chiffres qui sont connus et donc, quoi que vous fassiez, vous tes en retard dune guerre par rapport aux attaquants et cest un sacr problme. Jai Copyright CSFRS 2011 Page 14

Mercredi 8 juin 2011

annonc que ctait la dernire, mais ctait lavant-dernire, cest un classique chez moi, a cest la dernire. Nous avons des systmes complexes, je lai dj dit, il y a beaucoup de problmes partout. Il suffit cependant aux attaquants davoir un type de problme, et dexploiter fond ce type de problme. On constate souvent dans les volumtries et dans les vagues dattaques qui se produisent, des espces deffet de mode. Dans les deux grandes vagues dattaques quil y a eu, peu importe ce quelles sont exactement, ce qui mintresse cest le fait quelles augmentent tout dun coup. Dune anne lautre, nous passons de quasiment aucune attaque de ce type , pour la partie gauche du slide, 500 attaques. Pour la partie droite 1000 : ce qui reprsente tout dun coup cest ce que vous voyez sur les schmas du bas de 10 20 % des vulnrabilits totales. Donc des effets de mode explosifs qui arrivent tout dun coup, puis lon sacharne dessus. Nous, les pauvres dfenseurs, nous essayons de les corriger et puis une fois que nous avons russi, l ils partent ailleurs, sur une autre vague et ils auront encore un coup davance. Finalement, si je veux rsumer, parce jai dj d manger mes dix minutes voire mon quart dheure, ce que lon peut dire cest, quencore aujourdhui, nous avons quelque chose comme une dizaine, une douzaine vrai dire, de nouvelles vulnrabilits qui sortent par jour, donc une douzaine de nouvelles faon de se faire attaquer par jour. Je ne vous ai pas prsent cela mais je lai mentionn dans mon rsum chez Microsoft, cest un peu mieux, cest une faille tous les deux jours, il faudra faire un petit peu attention. Globalement, a va mieux depuis quelques annes mais a reste grave comme je vous le disais. Ce qui est vraiment cibl aujourdhui, ce sont les applications plus que les operating system. Windows nest plus le grand Satan depuis dj quelques annes. Et lon constate toujours des failles en cascade, a narrte pas. Mon interprtation des choses cest que la complexit nest pas matrise et quelle est surtout en lutte perptuelle avec le quick and dirty. Si lon veut faire les choses bien, il faut les faire lentement et en y mettant de largent. Nos modles conomiques ne sont pas forcment adapts, les correctifs sont trop tardifs la fois en termes de production et dapplication par nos administrateurs et puis, au final, il reste toujours des maillons faibles quil est facile dexploiter et les attaquants ont toujours un coup davance. Je refais le coup, je vais conclure cette conclusion : nous sommes tous daccord pour dire que les efforts sont insuffisants en terme de cyberscurit. Il y a tout un tas de Copyright CSFRS 2011 Page 15

Mercredi 8 juin 2011

propositions qui ont t faites tout lheure, notamment par Cdric. Si vous lisez le rapport du conseil scientifique qui a t produit et mis en ligne ce matin, vous verrez quil formule des propositions pour renforcer la scurit. Et laspect provocateur que je voulais vous livrer est celui-ci : finalement la vraie raison, pourquoi tant de vulnrabilit ? Est-ce que cela ne serait pas simplement, qu part nous dans cette salle et dautres, personne nest prt payer pour la scurit ? Personne. Et si personne ne paie et bien cest perdu davance, il ny aura jamais de systme de scurit. A nouveau, je pense que lavionique est pour nous un secteur qui devrait tre une grande source dinspiration : ils ont atteint des taux de scurit trs levs des prix trs levs. Aujourdhui, nous ne sommes pas prts mettre beaucoup dargent dans du soft et bien on en a pour notre argent. Merci.

Eric Delbecque : Merci Ludovic pour ces explications, particulirement intressantes. Le temps est venu maintenant de donner la parole Monsieur Nicolas Arpagian, rdacteur en chef de la revue Prospective stratgique et, par ailleurs, le rfrent scientifique du site de spcialisation Scurit Numrique conduit par lINJ, en partenariat avec le CIGREF, le club informatique des grandes entreprises franaises. Ce cycle de formation est une premire du genre, qui rpond une partie des attentes de nos deux amis Arnold et Philippe, on est sans doute dans la bonne voie. Nicolas est par ailleurs lauteur de La cyberguerre a commenc et dun Que sais-je sur la cyberscurit. Il va traiter des frontires du cyberespace, donc la question des limites en matire de cyber questions, laquelle me parat essentielle. Et les rcents dbats autour du fait que les USA pourraient rpondre de manire militaire des cyberattaques, posent un certain nombre de questions sur ces frontires, Nicolas.

Nicolas Arpagian : Effectivement, merci Eric pour cette bonne introduction. Cest vrai que la particularit de cet univers cyberntique cest, on la vu dailleurs par la nature et le profil des intervenants quont voqu le groupe de travail IHEDN et INHESJ, la pluralit de ceux qui staient penchs sur cette question. On saperoit queffectivement, on aura besoin invitablement de la pluralit des comptences, des expertises. Se pose un nouveau redcoupage des frontires quil faut avoir lesprit, parce quil est contraire, ou en tout cas diffrent, de ce qui constituait jusqu prsent notre manire de rpartir dune part lautorit, lexcution de cette autorit et les populations auxquelles sadressait cette autorit. Jai pris de manire synthtique trois points pour structurer mon propos. Copyright CSFRS 2011 Page 16

Mercredi 8 juin 2011

Le premier cest de faire effectivement en termes de frontires et de primtres. Je pense quil faut maintenant garder en tte lorsque lon va se proccuper de cyberdfense, de cyberscurit, dapprendre envisager une vritable porosit entre la sphre militaire, la sphre conomique et commerciale. C'est--dire que la logique de nous avons une industrie de dfense, nous avons des forces armes charges de mener ces actions et globalement les acteurs qui sont dans le giron de la dfense, vont tre des acteurs que lon va appeler sous dautres noms le lobby militaroindustriel . Mais en clair, nous allons avoir des maisons traditionnellement familires de lunivers de la dfense que peuvent tre Dassault, que peuvent tre Safran, EADS, Thals, Nexter etc., et aprs avec des forces armes des tats majors qui sont clients, et donc nous sommes dans un univers assez norm. Dailleurs les anciens de lun devenant des collaborateurs et des salaris de lautre loccasion. Et nous sommes dans un univers assez homogne, assez confortable. Pour ce qui concerne lunivers du cyberespace, il ne peut plus tre envisag en tant que tel, et cest une des difficults que soulignait Cdric, il manque dacteurs europens, ou en tout cas franais, de taille consquente. Ils vont tre des partenaires du pouvoir politique, des partenaires de la dfense mais ne seront pas ses fournisseurs. On ne sera pas dans une relation, en tout cas dans ce domaine-l, qui sera strictement client/fournisseur. Donc il va falloir reconsidrer la relation entre le pouvoir politique, le pouvoir militaire et ses acteurs privs. La deuxime grande frontire cest la disparition, la dissolution des clivages entre le domaine de la sphre professionnelle, de la sphre prive, de la sphre intime et effectivement la capacit prsenter, parce quon la bien vu, les diffrents exposs de nos camarades de SUPELEC nous le disent, des solutions techniques. Mais quelquefois la solution est robuste ou il est trop coteux de dvelopper des solutions pour lattaquer, parce que nous navons pas trouv la bonne faille, ou nous ny avons pas eu accs. Et donc, nous allons tomber sur cette fameuse ingnierie sociale. Le fait de dire : plutt que de sattaquer la technique, parce que je nen ai pas le temps, parce que je nen ai pas les moyens, je vais essayer de rentrer par lhumain et donc de sapercevoir que, faute de sattaquer aux infrastructures, on va peut tre par lhomme, par la femme, faire en sorte de pntrer le systme. Ce qui compte cest de trouver le maillon faible. Si ce maillon faible est humain tant mieux, sil est technique tant mieux. Mais en tout cas, lun ne peut pas se permettre de se prmunir contre lautre et cest autant de points de faiblesse possibles. Et lon peut dcider dune doctrine, de la manire la plus vindicative, la plus solennelle, si les hommes et les femmes qui doivent lappliquer au quotidien dans les organisations, les entreprises, les structures, vont faire en sorte que cette belle dclaration dintentions, en matire de scurit, ne soit pas effective dun point de vue de la scurit physique, des technologies, de la confidentialit de linformation, de destruction de linformation, Copyright CSFRS 2011 Page 17

Mercredi 8 juin 2011

une fois que celle-ci est devenue caduque, trs sincrement, vous pouvez tablir les plus beaux plans de bataille, vous pouvez btir les plus belles citadelles, elle ne sera daucune utilit dans ce contexte. Donc il va falloir protger les infrastructures techniques, protger linformation, protger la donne et faire en sorte que celle-ci soit sacralise, sanctuarise, faire en sorte que lon ait galement la partie, le soft. Ce sont galement les informations en tant que telles et la manire dont on peut les protger. Troisime particularit en termes de frontires, et lexprience de la crise financire de 2008 peut nous servir. Vous prenez les grandes banques de la place, je pense notamment Lehmann Brothers, si vous regardiez sa plaquette institutionnelle et sa publicit, on peut les retrouver encore un peu sur Internet, cest trs rafrachissant. Elles vous expliquaient que ctait une entreprise un peu mondialise, apatride, un peu comme si elle tait partout chez elle, les marchs globaux etc. Simplement, ce qui est assez frappant cest quau moment o elle a subi un pril mortel de par ses propres turpitudes, elle na eu aucun doute sur la nationalit du guichet auquel il lui fallait frapper pour obtenir le secours salvateur. Donc dans le domaine des technologies, les logiques de frontires jouent galement. C'est--dire la logique de nationalit, mme si le concept nation avait t dans la bouche de certains ringardis en disant non, nous sommes dans un village global, plantaire, nous nous tenons tous par la main on fait une ronde . Il est certain que la logique de la nation, des intrts stratgiques nationaux rentre de plus en plus en ligne de compte. Lorsque ladministration Obama demande de manire informelle, un mail, un fax, un coup de tlphone Monsieur dAmazon, Monsieur de chez Paypal, Monsieur de chez Visa, Madame de chez MasterCard vous tes gentils, mais partir de maintenant vous arrtez dhberger ou de participer la montisation de Wikileaks sans aucun fondement juridique, on aurait trs bien pu dire, aprs tout, Amazon a dautres sources de revenus et lEtat, ladministration amricaine nest pas cliente, ce nest pas quelquun qui conditionne le chiffre daffaires. Je ne sais pas si chez Thales, Safran, EADS France on pourrait avoir cette distance vis--vis de ltat, qui est un obligateur dordres et pas client. L, en loccurrence, vous avez des entreprises qui ont une autonomie commerciale, qui sont cotes en bourse, qui ont tous les comits daudit, qui ont des responsabilits sociales dentreprises. Je veux dire quelles ont, a priori, tous les meilleurs labels du cabinet de la place o lon donne toutes les petites dcorations et labellisation qui vont bien. Il nempche que cette entreprise, sur la seule injonction en dehors de tous cadres juridiques, obtempre et dit Monsieur Wikileaks dehors . Pourtant Wikileaks payait ses factures, tait un client. Et lon aurait pu dire moi ma lgitimit, ma fidlit elle devrait aller moi qui suis client . Donc cest une question et on saperoit bien que la dtention dun pouvoir politique va faire en sorte que a vale Copyright CSFRS 2011 Page 18

Mercredi 8 juin 2011

autorit sur des acteurs qui pourtant, pourraient tre considrs comme des acteurs globaux, mondiaux. Et bien non. Il nempche que l ils reconnaissent une autorit, en loccurrence celle des tats-Unis. Ce qui est certain, cest que lorsque, effectivement comme le disait Eric, cest sorti dans le Wall Street Journal, cest infiltr comme on dit en termes journalistiques, c'est--dire on appellerait a un ballon dessai chez nous, qui est de se dire on va voir un peu lide . La proposition tasunienne tait de dire nous allons considrer des cyberattaques comme des actes de guerre donc nous autorisons y riposter de manire militaire . Dj, cest sympathique intellectuellement, pour lancer le dbat, mais une fois quon vous dit maintenant mon Gnral, Amiral vous appliquez la disposition en question , il en va videmment tout autrement. Parce que notre droit des conflits arms, notre culture, notre fondement mme dans un tat dmocratique est, comme le disait Clausewitz : connais ton ennemi . Savoir lidentifier avec certitude et dterminer la riposte qui doit tre proportionne. Trs sincrement, nous commenons ouvrir un champ des possibles extraordinairement complexe. Complexe galement car on va tre sur des logiques de frontires l aussi. Frontires cest est-ce que jattaque une infrastructure, des quipements militaires ? Quest-ce qui se passe si jattaque effectivement un quipementier informatique qui va se permettre davoir des contenus peut-tre un peu civils, un peu de haute administration ? Mais sil a des donnes mdicales, sil fait fonctionner des oprateurs de transport, est-ce que je bombarde tout azimut ? Comment est-ce que jaffine ma capacit de raction et de sanction ? Et donc, on voit bien qu ce moment, et effectivement dans ce quvoquait Cdric avec la logique dasymtrie, la seule chose est que des pays dmocratiques commencent invoquer ce type de doctrine. Jvoquais aussi une deuxime disposition, et je salue les initiatives amricaines car au moins elles sont publiques et font avancer la rflexion. Fin mai, il y a peine quelques jours, une commission du Snat amricain a approuv un texte, qui sappelle Pipa (Protect Ip Act), qui oblige, au nom de la protection de la proprit intellectuelle, le ministre de la justice fdrale faire en sorte didentifier des sites pirates et dimposer imposerait au conditionnel puisque nous en sommes pour linstant qu un texte qui nest pas encore adopt mais qui est quand mme dj trs bien formalis - le fait queffectivement on puisse obtenir des fournisseurs daccs, des moteurs de recherches, que lon puisse obtenir des portails, des organismes de paiement -on revient alors chez Mastercard et autres- quil arrtent de financer et de rfrencer ce type de sites, de permettre la montisation de ces sites, quelle que soit leur localisation gographique. Et cest l que lon saperoit que la logique de frontire - et l effectivement, si ce texte est adopt, on murmure que le ct parlementaire et la Maison blanche ne Copyright CSFRS 2011 Page 19

Mercredi 8 juin 2011

sopposeraient pas ladoption dun tel texte, tout a est trs subtil, mais si ce texte devait entrer en vigueur, on le saura assez prochainement ; en tout cas il devrait tre adopt par le Parlement amricain - avec le droit exerc sur une population qui se trouve sur un mme territoire, dfinition du pouvoir dtenu par ltat, est profondment remise en cause. Et donc nous allons nous apercevoir, au nom dintrts suprieurs essentiellement nationaux, avec une chane de valeurs propres, et l en loccurrence nous lvoquions avec Hadopi, nous avons pris des options au nom de la dfense dintrts que sont la proprit intellectuelle. Idem pour le Anti Quantifiying Trade Agreement. Nous dcidons des options qui effectivement saffranchissent de notre droit international public, saffranchissent du droit des conflits arms si nous tions dans une logique de riposte, dans le cas de lventuelle rponse militaire des cyberattaques, et nous voyons bien que ce primtre va tre profondment remodel, cette notion de frontire va tre remise en cause. Dernier point, le G8 vient de se tenir Deauville. Il a t assez frappant, mon sens, de voir que nous tions un peu dans linternet, je ne sais pas si je suis le seul paranoaque mais linternet, lconomie heureuse ! le patron de Facebook se dplace et dit jenvisage douvrir aux moins de 13 ans , puis au vue du toll, il se reprend non, non, en fait, je ne le ferai pas alors quil a dj 20% de sa population qui est en dessous de 13 ans, et le sujet de la scurit, de la cyberscurit est totalement cart. Ce nest pas un sujet que lon dbat au G8, pourquoi ? Parce quvidemment, au bout dun moment, cela va devenir assez fcheux. Car autour de la table, nous allons avoir, vous savez comme dans les blagues, lami chinois, lami amricain etc. Les joueurs sont tous autour de la table et lon ne souhaite pas rgler de manire internationale cette question. Et cest la raison pour laquelle, et je finirai comme a, il est assez frappant de voir que ces dernires semaines, les USA lont fait avec une doctrine tout fait complte sur linfrastructure vitale. Les services de renseignement nerlandais ont sorti un document, les Britanniques lavaient fait il y a quelques semaines, la France lors du Conseil des Ministres la mi-mai, le Premier ministre Franois Fillon a galement sorti, publi des lments de doctrine qui commencent constituer un corpus franais. Ce sont des premires bases et lon voit bien que nous sommes sur des logiques nationales juxtaposes et que lEurope, qui a vcu une crise dadolescence un peu pnible, semble apparemment dcide, ou en tout cas prte se donner les moyens humains de commencer avoir une scurit plus consistante. Mais nous voyons bien que la logique nest mme pas de concertation europenne, elle est vraiment du national juxtapos. Donc effectivement la logique de frontire, dun ct se dissipe, avec ces sphres prives, ces sphres publiques, ces sphres Copyright CSFRS 2011 Page 20

Mercredi 8 juin 2011

militaires, administratives et industrielles, et dun autre ct la logique du drapeau, la logique des intrts stratgiques dune nation, eux, au contraire, se renforcent. Et donc nous voyons que ces primtres de frontires sont nouveaux. Ce ne sont pas forcement ceux que lon avait envisag, ce ne sont pas ceux sur lesquels nous sommes les plus laise parce que, comme le disaient les deux prcdents intervenants, un moment va se poser la question des nationalits, la capacit des acteurs et des systmes politiques disposer doutils de confiance. Cest la fameuse question des prestataires de confiance. Quand je demande un avion de bombarder telle cible, est-ce que je suis sr queffectivement la fin, le processus ira bien sur la cible en question, ira bien sur la caserne et pas sur lhpital ct ? Car on maura, un moment vendu un quipement contamin. Donc en tout cas cette logique va conditionner lexistence et lexercice dune logique de souverainet nationale et donc la logique de frontire volue. Dun ct elle se rnove, et en tout cas, elle se consolide dans cet univers que beaucoup pensaient, lorigine apatride, tort, hors sol, un peu vacu de ces questions nationales. Lexprience quotidienne daujourdhui, et je pense les semaines venir, montre et illustre le contraire. Je vous remercie.

Eric Delbecque : Merci. Je vous remercie Nicolas de nous avoir permis de nous pencher sur le fait que les relations entre les logiques de puissance, de frontires et de cyberespace ne sont pas aussi univoques quon pourrait le croire. Pour ce qui nous concerne nous avons, les uns les autres, assez parl. Maintenant la parole est la salle. Donc bien videmment les micros vont circuler parmi vous alors nhsitez pas poser les questions que vous souhaitez voir traites par nos diffrents intervenants. Vous savez ce que lon dit, la premire question est toujours la plus difficile alors nous passons tout de suite la seconde. La troisime et ensuite de suite puisquil y aura forcment une quatrime.

Questions des participants:

Frdric Sutter : Bonjour, Frdric Sutter, auditeur IHEDN. Jai une question par rapport la coopration internationale sur ce sujet compliqu que vous nous avez trs bien dcrit. Daprs vous, existe-t-il un cadre aujourdhui de coopration internationale notamment entre les US et lUnion Europenne ? Parce que la plupart des softwares sont dvelopps aux US, voire en Inde maintenant de Copyright CSFRS 2011 Page 21

Mercredi 8 juin 2011

plus en plus. Donc quel cadre de coopration internationale, et est-ce que ce sujet a t voqu a loccasion du G8 de la semaine dernire ? Merci

Philippe Dardier : Il ny a pas beaucoup dinstances, de structures trs bien tablies aujourdhui. Ce qui montre que nous sommes encore ltat dbauche, cest que cest lOTAN qui fait encore beaucoup de choses. LOTAN a quand mme un problme politique en termes de position face aux nations europennes, et comme lvoquait Nicolas, lEurope se rveille aprs avoir mis une agence europenne Hraklion. Le renouveau de cette agence passe par son dmnagement Athnes dj, peut-tre un jour Bruxelles. Mais lOTAN a quand mme beaucoup dexpertise en la matire et pour vous donner une anecdote, quand on a vu un Gnral italien et un ensemble dintervenants europens qui parlaient avec des intervenants de lOTAN sur ce sujet, lOTAN nvoquait jamais lEurope. Mais lUnion europenne voquait toujours sa coopration avec lOTAN. Donc lon sent quil y a un besoin quelque part, mais apparemment lOTAN est trs avance. Les Amricains mettent beaucoup laccent sur cette institution et je reviens sur le ple expertise de cyberwarfare qui est Tallinn, ce nest pas quelque chose de parfait mais il ya un dbut dbauche fait ce niveau-l. Nicolas Arpagian : Cest un think tank, un lieu de rflexion. Tallin est un endroit o lon discute. Ce nest pas un endroit ni de commandement, ni de prise de dcisions stratgiques. Ce qui est certain, je peux redire en dautres mots ce que jai dit sur le G8, le sujet na pas t abord, ce nest pas un sujet. On tait l dans lInternet de lactualit heureuse. On dit cest formidable, cest du Facebook, cest trs sympa, on change et on aura tout a sur nos Ipad. Parce quil y a eu une volont de ne pas aborder ce sujet, sous cet angle, parce quvidemment, cest un peu anxiogne. Cest un lment qui va fcher assez vite. Dune part, parce que nous navons pas les mmes priorits politiques entre les agendas des uns des autres. Quand jvoquais le texte PIPA des tats-Unis, ou mme ACTA, il est fait au nom de la lutte contre la contrefaon de la proprit intellectuelle, donc vous vous doutez bien que les gens des grands studios de cinma, de lindustrie, de la pharmacie, les gens de la musique sont tout fait partants pour a. Dautres considrent que cest une atteinte considrable la vie prive, parce qu partir du moment o vous commencez envisager des dispositifs de contrle Il y a presque deux ans de a, nos amis chinois ont eu lide sympathique de proposer et dire vous savez, aprs tout, ce quil y a de terrible cest la pornographie . Lide tait de se dire nous vous proposons de mettre dans les ordinateurs, qui seront fabriqus sur le territoire chinois, une composante permettant Copyright CSFRS 2011 Page 22

Mercredi 8 juin 2011

de filtrer ou de bloquer les contenus pornographiques ds lorigine . Cest lquivalent de lIntel Inside et du No Porno Inside. Je ne suis pas sinologue, mais un certain nombre de spcialistes de la Chine se sont dits je pouvais envisager que la Chine navait pas en ligne de mire la pornographie en tant que telle . Ce quils voulaient voir, cest sil tait envisageable dinclure dans le dispositif, ds le dpart, des filtres dans les machines elles-mmes. Aprs, cest vrai que lon est capable de casser des solutions de filtrage, mais la question philosophique tait de dire : est-ce quil ne faut pas commencer dj filtrer les contenus ds lorigine mme de la machine ? Ce ntait pas les contenus pornographiques qui inquitaient les Chinois je pense, ctait peut-tre des contenus plus politiques ou autres lments. Et donc on voit bien que sur ces questions, on va vite buter sur de vraies questions stratgiques et cest la raison pour laquelle ce jour, il ny a pas dinstances rellement pertinentes. Il y a un peu dEuropol, Interpol, parce quon est l dans de lapplication de la coopration policire, qui est dj faite et qui fonctionne trs bien

F.S : Et lANSSI ?

Nicolas Arpagian : LANSSI (Agence nationale de la scurit des systmes dinformation) effectivement existe et a des moyens, mais sur une logique dfensive. Mme ce que fait le G7 avec son instance 24-7, c'est--dire dalerter des diffrents pays membres de lorganisation pour leur signaler les attaques, est quelque chose qui est tout fait simple, mais cela permet effectivement davoir une bonne circulation. Je pense quon peut tre partenaires, allis mais de l vouloir que le dispositif soit totalement rgul, ce stade on nest absolument pas prt.

Eric Delbecque : Merci Nicolas. Cdric un complment sur cette question ?

Cdric Blancher : Juste un complment. Pour revenir sur lIG8, ma connaissance il ny avait personne de la communaut de la scurit invit cet vnement, ctait essentiellement destination des entrepreneurs et en particulier aux gens de lindustrie des mdias donc musical, films etc. a sest limit essentiellement ce type de discours. Copyright CSFRS 2011 Page 23

Mercredi 8 juin 2011

Sur la coopration internationale, je vais prendre a du point de vue des initiatives qui font avancer le schmilblick en matire de scurit informatique c'est--dire qui nous aide nous protger. Je ne connais pas une instance internationale, non autognre qui fasse avancer le processus aujourdhui. Toutes les cooprations sont des cooprations spontanes qui ont aprs, volues en association mais des groupes de lacabit de ceux qui ont t cits avant, zro.

Eric Delbecque : Une autre question sil vous plat, Monsieur qui lve le bras ?

Didier Copin, analyste international : Pour rester dans le sujet, y a-t-il, au niveau du trait de Lisbonne dans le cadre de la PESD et puis de la PESDC, une dimension qui prend en compte justement la cyberdfense et la cyberscurit ?

Nicolas Arpagian : A ma connaissance, ce sujet napparat pas en tant que tel, c'est--dire quil nest pas mentionn. Mais comme dans tout, aucun autre texte ne prvoit la dimension o on voquait la cration dun tat major ddi. Par exemple, avant que les USA ne crent leur cybercommand, ctait larme de lair qui tait la plus en pointe sur ce sujet. Trs sincrement, cela na jamais t un sujet lchelle europenne.

Didier Copin : Cest quand mme une grande lacune Nicolas Arpagian : Comme vous dites. Mais je pense que lexplication vient du fait que lon est sur une logique de volont de dfense dintrts nationaux. Madame ?: Je voudrais poser une question par rapport larme irakienne qui a achet des avions. Quand ils ont voulu sen servir, ils taient amis, ils sont passs ennemis. Tout le circuit informatique a t ananti et ils taient clous au sol. Et deuximement, il ny a pas si longtemps, les services secrets israliens ont dtruit distance des services et logiciels de recherche atomique en Iran. Est-ce que vous pouvez nous en dire plus ?

Copyright CSFRS 2011

Page 24

Mercredi 8 juin 2011

Eric Delbecque : Cdric ?

Cdric Blancher : Oui, vu que les avions cest moi. Comment dire, je vais exclure les systmes darmement car ce nest pas un sujet sur lequel je travaille. Oui, cest important bien sr, je men rends bien compte. Enfin, lorsque lon achte de larmement un pays tiers alors que lon a la possibilit de lavoir en face de soi pendant un conflit, il faut prendre un peu ses responsabilits. La souverainet nationale ce nest vain pour personne. Par exemple, des attaques israliennes avres, contre un programme avr, attribues et factuellement efficaces contre un programme nuclaire tiers, se sont faites par une opration kintic : ils ont largu des bombes sur une centrale nuclaire. Aujourdhui, vous devez faire rfrence au ver dOxnet : on ne sait pas qui la crit. Hier, un article est paru et disait que ctait les Amricains, on ne sait pas si ce sont les Amricains ou les Israliens. On na aucune preuve factuelle des dgts entrains, donc nous sommes dans lexpectative. Ce qui ne veut pas dire quil ne sest rien pass, ce qui ne veut pas dire que ce soit X ou Y qui lait fait, nous navons pas dinformations sur les motivations. On ne sait pas si nous sommes dans le mme cas que, par exemple, de larmement qui aurait t volontairement dtourn. Cest--dire que lon a introduit lintrieur un code qui peut tre dtourn des fins explicites de ce genre doprations. Il ne faut pas oublier que Siemens qui est la cible de ce ver, est une boite allemande. A priori la liaison Isral-Allemagne, USA-Allemagne nest pas aussi vidente que cela sur des quipements conus il y a dix ou quinze ans. Par contre, nous avons un exemple factuel de ce genre de choses qui est lutilisation par les Russes de logiciels de commande pour la gestion de leurs pipelines, achets aux Amricains et qui l, effectivement, avaient du code qui a t utilis pour faire exploser un pipeline. Donc cela existe. Par contre, je pense quil faut prendre du recul par rapport cela. Aujourdhui, nous sommes en train, petit petit, de quitter linformatique spcifique en dehors de certains domaines dactivit trs prcis, pour aller vers linformatique que lon appelle couramment les quottes, les lments que lon achte sur des tagres. De plus en plus, nous allons nous fournir chez les diteurs privs. A Bercy, on voit ces ordinateurs avec des logiciels que lon va pouvoir acheter chez Surcouf. Daccord, le problme cest que tout le monde utilise a, donc partir de l, si on commence se dire moi je suis un acteur, un diteur logiciel je vais commencer installer des portes drobes dans mes logiciels , on prend un risque relativement norme de sauto-mettre mal en terme dentreprise et de nation tout simplement. Et la mme Copyright CSFRS 2011 Page 25

Mercredi 8 juin 2011

chose va sur les gens qui cherchent des vulnrabilits et qui se les gardent sous le coude pour le jour o ils en auront besoin. Donc, dans certains domaines spcifiques, on comprend tout fait lintrt de la dmarche. Pour le cyberespace en gnral, mon avis, cela posera plus de problmes que a ne va en rsoudre. Cest un jeu trs dangereux.

Eric Delbecque : On va prendre la prochaine question, de manire ce que tout le monde arrive sexprimer. Monsieur ?. Jean-Martin Jaspers, directeur du CHEMI : Javais une question sur lANSSI, parce queffectivement vous lavez mentionne, quand je vous lai redit mais en ralit dans les propositions, ce que vous proposez cest une agence oprationnelle. Elle existe, cela fait deux ans. Ltude aurait pu la citer un peu plus, peut-tre porter un jugement pour dire quelle ne commence que son travail ce stade, 2009 cest rcent. Et je dirai que loutil de la stratgie nationale rclam par nos amis de lINHESJ existe. Il a t fond, et commence fonctionner. Nous avons galement aujourdhui, une mergence en France, dans les tats-majors de zone de dfense, des premires instances qui travaillent sur ces sujets. Celle qui est le plus en avance est daprs ce que jai entendu dans les runions prfectorales, celle de lEst de la France pour des raisons que lon na pas identifi, et dans lequel nous avons des gens qui suivent des stratgies. Nous avons un plan mis en uvre dans ce secteur, donc ce que vous rclamez en stratgie nationale existe, et cest dommage que ltude ne prcise pas tous ces points, et que lon passe ct, presque, de notre stratgie nationale alors quelle a deux ans dexistence. Votre tude reste totalement juste. Nous avons un dcalage immense entre le niveau de ce que nous mettons en face dans linscurit et puis le niveau de risque. Nous avons au ministre de lintrieur et de la dfense, un grand expert le Gnral WatinAugouard, qui a lanc notamment Lille ses rencontres nationales sur la cyberscurit. Il me disait que, de son point de vue, nous avons peu prs 300 policiers ou gendarmes spcialiss dans ces secteurs. Cela commence reprsenter de largent. Je lui ai demand quel niveau il fallait le mettre, il ma plutt dit au niveau de 3 000, pour vous donner un cart de un dix. Cela demande de reconvertir 1% de notre appareil de scurit sur les questions, au lieu davoir un millime de cet appareil de scurit sur ces questions, les rsistances sont totales. A la fois parce que cest norme de dire 3 000, on la entendu ici dans la salle, la raction est justifie. Cest la mme qui ma t donne par les plus hautes autorits du ministre de lintrieur quand nous avons propos de se saisir de cette problmatique. Donc cette reconversion, pourquoi ne sopre-t-elle pas ? Parce quil ny a pas eu pour linstant de menaces, la seule grande attaque quon ait eu est celle de Bercy . Copyright CSFRS 2011 Page 26

Mercredi 8 juin 2011

Eric Delbecque : Monsieur est ce que vous avez une question puisquon nvalue pas .

Jean-Martin Jaspers : Oui cest essentiellement la question de lattaque de Bercy qui a eu lieu cette anne en 2011. Est-ce quil y a dautres attaques qui ont concern le secteur public, qui sont significatives et qui ont fait des dgts ? Parce que pour linstant en France je nai pas de souvenir de dgts qui aient eu lieu dans le secteur public.

Eric Delbecque : Alors dailleurs juste pour information, cest peut tre moi qui ai mal entendu, nos amis avaient parl du renforcement des capacits de lANSSI, pas de sa cration parce que bien videmment ils ont tout fait conscience du fait quelle existe. Arnold ?

Arnold Migan : En fait il y a deux choses : nous avons parl du renforcement de lANSSI pour la partie observatoire. Par contre, la deuxime chose que lon a propose tait plus oriente centre de supervision des affaires vitales. Il y a une composante quil ny a pas lANSSI aujourdhui, et que lon pourrait retrouver au niveau des CRI ou DGSE. Mais toute la partie renseignement nexiste pas au sein de lANSSI. Cest cela qui manque, mais aussi la partie dfense : la doctrine dun point de vue dfense nexiste pas. Donc lANSSI, certes mais il y a des choses renforcer et complter.

Eric Delbecque : Ludovic un complment, et aprs si Nicolas veut rajouter par la suite.

Ludovic M : Pour moi cest clair que, comme pour tout le monde, lANSSI est un trs bel outil mais vous avez apport la rponse vous-mme finalement. Un rapport de un dix, et bien il y a aussi besoin de a lANSSI. Ils sont 130 aujourdhui, ils passeraient 1 300 ce serait mieux, y compris en supervision. Ils ont les cellules de supervision mais le COSSI (Centre oprationnel de la scurit des systmes dinformation), il faut voir Copyright CSFRS 2011 Page 27

Mercredi 8 juin 2011

combien ils sont, une dizaine, ils seraient 100 ils ne seraient pas de trop. Donc les embryons doutils existent. Nous tous, comme moi, je connais des gens de trs grande valeur lANSSI dun point de vue technique, scientifique, simplement ils ne sont pas assez nombreux. Et puis les journes nont que 24 heures.

Eric Delbecque : Cedric avant

Cdric Blancher : Rapidement sur lANSSI. Effectivement, cest un organe qui compte de nombreuses personnes de grande valeur. Sur les attaques contre ltat franais, on va dire que cest la premire qui fait les gros titres. Et je pense quil ne faut pas se garder doublier pourquoi elle a fait les gros titres. Parce que cest prcisment le moment o lANSSI se retrouve avec de nouvelles prrogatives et en particulier celles de la supervision des rseaux ministriels quelle navait pas avant. Et donc l, cest pour dire vous voyez, chez Bercy vous navez pas voulu dployer les outils du COSSI et vous vous tes fait avoir, et nous, nous allons arriver et nous allons mettre de lordre dans votre bazar . Donc il y a quand mme, je dirais, un agenda qui est derrire qui fait que lon en parle. Nous avons eu une vague dattaques sur les ministres europens il y a deux ans, attribue aux Chinois mais a, on nen saura jamais rien avec en particulier les Allemands qui ont eu des problmes mais aussi les Franais. Et si vous lisez le bulletin dactualit du CERTA (Centre dexpertise gouvernemental de rponse et de traitement des attaques informatiques), qui est lorgane de gestion dincidents de lANSSI, toutes les semaines vous pouvez trouver des retours dexprience sur des incidents, qui forcment de fait, ne se sont pas produits chez madame Michu . Des incidents, ils en ont comme tout le monde, comme les entreprises, au mme niveau que les autres.

Eric Delbecque : Nicolas .

NicolasArpagian : En tout cas, il faut reconnaitre que lANSSI a effectivement des qualits. La premire cest dexister, la deuxime cest davoir, et en priode budgtaires contraintes, signal des budgets en hausse. Effectivement ce nest pas la mode, et lANSSI est pourvue de moyens en progression. Copyright CSFRS 2011 Page 28

Mercredi 8 juin 2011

La troisime qualit que je voudrais reconnatre lANSSI cest, au moment des cyberattaques de Bercy, davoir communiqu dessus. C'est--dire que dhabitude, avec par exemple ce qui est arriv avec Nintendo, ce nest pas Nintendo qui a communiqu, mais ceux qui ont attaqu Nintendo qui ont dit nous avons attaqu Nintendo pour telle ou telle raisons car nous estimons quune entreprise de cette dimension, de cette responsabilit, de cette profitabilit l ne devrait pas tre dans un tel dlabrement dun point de vue de la scurit . Donc cest lattaquant qui en a fait une opration de rgime propre. L, ce que je trouve tout fait salutaire dans la dmarche de lANSSI, cest davoir dit nous avons t attaqu alors que cest Bercy, alors que cest ltat etc. De manire inciter les entreprises ne pas considrer cela comme une maladie honteuse mais de dire un moment voil : il ny a pas de jugement de valeur. Par contre je voulais juste rappeler que si vous prenez lhomologue allemand de lANSSI, le BSI (Bundensamt fr Sicherheit in der Informationtechnik), ils sont trois fois plus. Oui mais cest lAllemagne. Ils sont partis un peu avant, avec des moyens plus consquents, etc. Donc la dmarche est intressante et elle est mritoire, avec des gens effectivement de grande comptence. Je pense quil y a juste une petite question qui va se poser : lentretien et le maintien des comptences. Parce que les grandes entreprises, les plus grands groupes sont intresss, et il ne faudrait pas, il ne serait pas souhaitable, que lANSSI serve de MBA de luxe. Alors le contrat de trois ans - il y a des MBA qui durent deux ans, en part time - il ne faudrait pas que publiquement a serve cela. Et cest ce que a devient. Je prolonge ce qua dit Ludovic l-dessus, cest--dire qu un moment, la scurit a se paye et quil faut considrer que lon y consacre des moyens. Parce que contrairement dire - cest une analogie que jai souvent prise dans cette maison donc je vous la renouvelle bien volontiers - que quand vous tes un jeune et que vous rvez davoir une activit policire - les policiers ont, ce jour, un certain nombre de prrogatives et de monopoles, les militaires galement - ou quand vous voulez tre marin ou aviateur, vous avez ces carrires l sur cette comptence et sur cette expertise. Trs sincrement, les plus belles boites du CAC 40, du SBF 120, vous ouvrent leurs portes. Et donc les gouvernements doivent se doter des moyens. Il ne sagit pas de surenchres sur les salaires etc. mais en tout cas, davoir une vraie boutique de management. L se sont des hommes, on est moins dans la technique mais il y aura effectivement comme disait Alexandre Le Grand : lhumain fera la diffrence .

Eric Delbecque : Copyright CSFRS 2011 Page 29

Mercredi 8 juin 2011

Philippe. Un ajout rapide ?

Philippe Dardier : Un ou deux ajouts par rapport lANSSI. Par rapport la BSI, elle a aussi un mandat qui est particulier, qua moins lANSSI, il y a donc encore une question de moyens, de mandats etc. Tout est en train dvoluer et je pense que ce quvoquait tout lheure Nicolas est aussi trs important. Depuis le dbut de lanne, la territorialit, la nationalit sont des acteurs extrmement importants. Nous voyons cela par lmergence officielle dacteurs de larme de libration en Chine, la Core du Nord vs la Core du Sud. Il y a normment de nouveaux acteurs officiels publics dans la zone dfense. Je pense quil y a une chose que nous avons tous voque dune manire ou dune autre, il sagit de la porosit des concepts de dfense et de scurit. Il y a une chose qui est sre cest la cyberagression. Nous savons quand elle a lieu, et quand elle na pas lieu. Ensuite, pour le retour en arrire, cest compliqu. Je pense que la vertu dans une dmocratie davoir une agence comme lANSSI cest que lon commence par le civil et lon structure ensuite ; et a met sur le tapis tous les lments juridiques de territorialit et tout ce qui va avec. Je vais conclure sur un lment de territorialit. Je pense que cest la grande perce conceptuelle de cette anne, Nicolas lavait voque. On dit quil y a un lment de territorialit, il y a une cause, un point de dpart tout et cest un peu nouveau dans le discours officiel. Avant, ctait un peu le cyberespace qui partait dans tous les sens, et les Estoniens, par exemple, ont une dmarche trs proactive. Jai pass plus dune journe avec eux, ils ont une milice compos des 200 DSI (Directeur des systmes dinformation) du pays, qui se voient tous les quinze jours pour parler de leur rapport et voient le responsable du ple de lOTAN. Ils sont petits, il y a une cohsion culturelle phnomnale du fait de lestonien qui est une langue finnoougrienne. Mais ce qui est trs intressant noter, cause de leur comportement et attitudes civiques et par rapport leur pays, cest quils disent quil sagit de la mme chose, les mmes dangers, ils mettent tout ensemble. Il y a une vritable dynamique dans ce sens-l, et ils se servent du ple de lOTAN pour leurs propres tactiques, leurs propres exercices. Ils ont rcemment organis avec le ministre de lintrieur sudois, un exercice de cyberagression venant de lEst, parce que pour eux, le danger vient globalement de lEst. Donc il y a un peu cette dmarche et cette approche, mais je pense que cet lment de nation, comme disait Nicolas, est vraiment essentiel dans la nouvelle logique.

Eric Delbecque : Merci Philippe et je vous rassure Nicolas adore lensemble des tats Baltes, lensemble des pays europens galement et plus encore. Il y avait encore je crois une Copyright CSFRS 2011 Page 30

Mercredi 8 juin 2011

question dans les premiers rangs on va commencer par Franois Bernard aprs Madame et Monsieur si vous voulez.

Franois-Bernard Huyghes, IRIS : Vous avez t plusieurs rappeler que les questions de nationalit, de territorialit ntaient pas du tout ringardises dans ce monde l et a me rappelle, je vais tre encore plus rtro que toi Nicolas, le XVIme sicle o il y a eu le problme de la mer dans le droit public europen et de la violence sur la mer. Que lon a rsolu en disant dune part que la mer ntait la chose de personne et quon pouvait y faire tout un tas de saloperies que lon naurait pas pu faire sur terre sans avoir dclench une guerre, et dautre part, que les pirates taient des ennemis du genre humain, et que tout navire qui les rencontraient avait le droit de les pendre haut et court. Quest-ce que cela nous apprend sur la situation prsente ? Cest que la qualification juridique des actes de violence est une question trs grave et pas du tout ringardise, et la question des tats-Unis parlant dactes de guerre nous rappelle tout a. Il y a beaucoup de rhtorique. Je ne pense pas que Washington va envoyer des para sur Pkin si lon paralyse une centrale lectrique par des virus. Il y a le problme de la nationalit de lagresseur, mais en sinspirant des techniques, je reviens ma question maritime du XVIme sicle. Il existait des corsaires, cest-dire des groupes qui exeraient une violence sur les autres navires, et qui faisaient de la cyberdfense active ou proactive de rtorsion, et quon ne pouvait pas rattacher un tat, sans tomber dans les James Bonderie , les socits secrtes etc. Est-ce quon ne peut pas imaginer des solutions similaires, des groupes plus ou moins mercenaires quil ne serait pas possible dattribuer un Etat et qui soccuperaient de ces vilaines tches ? Eric Delbecque : Alors Messieurs, pour les marins parmi vous, quelle rponse ? Quelle rflexion face cette question de Franois-Bernard Huyghe sur la possibilit des cybercorsaires ? Nicolas Arpagian : Je pense que cela suppose davoir un terreau, lide est trs sduisante et trs sympathique. La seule chose, je pense, cest que a ne se dcrte pas. Jai t amen prsenter une organisation ici qui sappellent les BENS (Business Executive of National Security) qui sont une organisation tasunienne. Jai voqu auprs de certaines autorits la possibilit, purement titre intellectuel, de transposition, on ma ri au nez. Les BENS, quest-ce que cest ? Vous tes cadre de nationalit amricaine, vous tes cadre dans une entreprise, vous tes dirigeant dentreprise, vous apportez votre contribution la nation grce votre savoir faire, vous apportez votre matire grise et en plus vous payez pour a car il y a une Copyright CSFRS 2011 Page 31

Mercredi 8 juin 2011

cotisation annuelle. Et la question est de dire voila jai mon activit, mon business, cest lucratif, jai ma vie moi, je suis un business executive, je suis un dirigeant, mais ct de a jestime que je dois apporter cette expertise mon pays . Je pense que cela fonctionne, et a fonctionne aux tats-Unis. Est-ce que cest dans lducation, est ce que cest dans les gnes, la nourriture, je ne sais pas Est-ce que cest dans leau ? Mais en tout cas il y a cette dimension l, cette culture l, c'est--dire qu un moment, on a ce moteur. Ce quvoquait Cdric, il y a deux, trois ides. Le fait de dire voil moi jai des gens de bonne volont , alors l cest encore plus ringard comme concept, les gens de bonne volont cest empreint de gnrosit, de bondieuserie cest vraiment terrible. Mais il nempche que, darriver canaliser une nergie positive, ce nest pas quelque chose de forcment rmunrateur. On se croirait en sophrologie .

Eric Delbecque : Est-ce que vous avez encore quelques questions ? Etant donn que vous allez tre lamphi de base qui va servir reconstruire lensemble des effectifs, il va falloir hter un peu le mouvement.

Nicolas Arpagian : La question du corsaire est trs bien, seulement, un moment, il faut tre capable de crer une dynamique, parce queffectivement le risque sera davoir des gens qui opreront sur la bte et ce nest pas satisfaisant. Il faut toujours avoir la main sur cette population-l. Donc on peut les associer, cela suppose simplement davoir une vraie dynamique, une vraie gestion de ces personnels. On pourrait les appeler des officiers de rserve tels quon les a connus. Il faudrait faire en sorte de les intgrer, de manire avoir quand mme une tutelle sur eux. Mais cest comme un vlo et il va falloir pdaler pour susciter cette dynamique et en tout cas, de manire le faire vivre, car cest quelque chose qui ne supporterait pas le fait dtre laiss tel quel. Et des gens qui diraient Attendez moi je suis envoy par lEtat et davoir des shrifs qui agissent comme ca.

Eric Delbecque : Merci en tout cas Franois-Bernard pour cette question qui va nous obsder toute la nuit. Cest trs aimable toi. Madame je vous en prie. Marie-Claude Dubin, journaliste : Bonjour. Je suis dsole, je vais redescendre au niveau du particulier, mais il parat que cest un acteur important aussi de la cyberscurit. Est-il toujours vrai, comme le Copyright CSFRS 2011 Page 32

Mercredi 8 juin 2011

disent les commerciaux que les produits Apple nont pas besoin dantivirus ? Et lheure des I-pad, I-phone et autres smartphones, est-il normal quils ne soient toujours pas protgs ?

Eric Delbecque : Cdric.

Cdric Blancher : Nous allons faire trs simple. Tous les logiciels grand public sont bourrs de failles dans tous les sens, parce quils sont dvelopps selon la mthode voque par mon collgue de quick and dirty . Microsoft a eu sa priode o ctait pire que a n lest maintenant, ils ont rattrap le retard, Apple na pas fait ce virage. Je dirais que cette lgende est un pur problme de part de march. Je suis un attaquant, en tant quattaquant je veux un retour sur linvestissement que je vais mettre en terme de temps, de moyens pirater quelquun, quelle est la cible qui va me rapporter le plus? Microsoft tant plus rpandu que les autres, cest une cible privilgie. Le jour o Apple deviendra une cible majoritaire sur le march, ils se feront pirater exactement comme les autres se font pirater. Les vers pour Apple existent. Il y en a un qui a fait trs mal cest deux dernires semaines, qui sappelle Mac Defender, qui a t vendu comme un faux antivirus pour Apple. Les I-phones commencent tre la cible dattaques. Il sagit dun systme informatique grand public comme les autres, il sera attaqu, il prsente des failles, on en trouve au mme rythme que les autres. Ils ont besoin dtre dfendus comme les autres. Et le fait de dire je nai pas de virus cest de la pure lgende ; cest un simple problme de reprsentativit.

Eric Delbecque : Ludovic.

Ludovic M : Je ferai trs court parce que jai une pomme devant moi. Ils sont aussi mauvais que les autres, ils sont aussi bons que les autres chez Apple. Pourquoi ils sont aussi mauvais ou aussi bons ? Parce que mme en dehors de la dmarche de dveloppement et de la qualit qui est mis dans le dveloppement, les concepts de scurit qui sont en place dans ces diffrents outils sont exactement les mmes. Ils ont hrit des vieux OS de la fin des annes 70, et si on ne change pas ces concepts, Copyright CSFRS 2011 Page 33

Mercredi 8 juin 2011

nous nirons pas vers du mieux dun point de vue de la scurit au niveau de lOS. Donc cest encore plus grave quun simple concept dingnierie : cest un problme de paradigme, de manire dont on envisage la scurit sur ces types de machines.

Copyright CSFRS 2011

Page 34