Éditoriaux Défense Sécurité Terrorisme Zones de conflits Logistique Livres de référence Liens
Terre Air Mer Gendarmerie Renseignement Infoguerre Cyber Recherche

Bâtir la confiance dans le Cyberespace

Bâtir la confiance dans le Cyberespace

Internet est un monde où règne l'insécurité. Des solutions sérieuses de sécurisation des systèmes d’information, basées sur la cryptographie à clefs publiques, commencent aujourd’hui à émerger. Toutefois, pour chaque Etat, les enjeux économiques et géostratégiques de l'accès à l'information des autres sont tels que la défiance en des solutions étrangères s'impose. Pour Sorbas von Coester (1), la sécurisation du Cyberespace est devenue une urgente priorité. Paris le 15 novembre 1999.

·        Sécuriser le Cyberespace : une nécessité impérieuse

Internet est malheureusement un monde où règne l'insécurité. Tout e-Mail peut être facilement intercepté. Ni la confidentialité, ni l'intégrité des messages ne sont assurées. La fraude sur l'adresse IP est chose aisée, et Internet n’offre en fait aucun moyen d’authentifier réellement l'expéditeur d’un message. Tout un chacun sait aujourd’hui qu’il ne faut pas transmettre imprudemment son numéro de carte bancaire lors d’un paiement sur Internet. L'absence de sécurité dans les transmissions électroniques freine donc sérieusement le développement du commerce électronique et l'émergence de la société virtuelle.

Mais la problématique de l'insécurité sur Internet va beaucoup plus loin. L'ouverture croissante des réseaux internes des organisations humaines (entreprises, administrations...) au monde Internet et le phénomène concomitant de l'interconnexion croissante des réseaux augmentent en effet la vulnérabilité et la pénétrabilité de l'ensemble de nos infrastructures d'information, au point de nourrir une inquiétude de plus en plus forte chez les experts de la sécurité. Les attaques désagréables des hackers, le vandalisme gratuit des crackers et les actes de cybercriminalité (vol d'information, chantage à la destruction de fichiers etc.) se sont envolés ces dernières années.

La grande vulnérabilité des infrastructures d'information laisse aussi planer un risque sérieux de cyberterrorisme et d'infoguerre ("cyberwar") à l'avenir. Reposant sur les infrastructures de communication, de finance, de distribution d'énergie et de transport qui toutes emploient de plus en plus des réseaux interconnectés d'information, la sécurité de nos États et nos économies est donc menacée. C ’est pourquoi la sécurité des infrastructures d'information a fait l'objet, en 1998, d'une directive présidentielle aux États-Unis (PDD 63) et le G8 (G7+Russie) a adopté la même année un plan d'action international en matière de lutte contre la cybercriminalité.

·        Les enjeux économiques et géostratégiques de l'information

L'information est devenue aujourd'hui déjà un enjeu clef, tant pour les États que pour les entreprises. Dans l'ère de l'information, le savoir est synonyme de pouvoir. La nation capable d'observer ce qui se passe réellement dans le monde gagne un avantage informationnel sur ces adversaires. Les enjeux de l'accès à l'information sont énormes, tant sur le plan économique que géostratégique.

La reconnaissance de ce fait a amené ces dernières années la plupart des pays industrialisés à mettre en œuvre une reconversion très large de l'action des services de renseignement à l'intelligence économique au profit des entreprises nationales. L'existence d'Échelon, réseau mondial d'interception et d'analyse des communications par téléphone, télex, fax, e-Mail, et son utilisation courante dans l'espionnage économique - au profit essentiellement des États-Unis - révélée début 1998 au grand public européen par le rapport du STOA au Parlement européen, en est l'illustration sans aucun doute la plus frappante par les moyens employés.

·        Méfiance de principe vis-à -vis des solutions cryptographiques étrangères

Des solutions sérieuses de sécurisation des systèmes d'information commencent aujourd'hui à émerger. Une voie particulièrement prometteuse semble être offerte par la cryptographie à clefs publiques et la certification électronique, qui proposent une solution opérable non seulement au problème de confidentialité, mais encore, à travers la signature électronique, à ceux d'intégrité du message, d'authentification de l'interlocuteur (et donc de contrôle d'accès) et de non-répudiation.

Mais sécuriser un système d'information, c’est aussi assurer la protection du patrimoine informationnel d'une organisation humaine contre d'éventuels actes malveillants d'intelligence stratégique de la part de concurrents ou de la part de Services d'un Etat étranger. Si l'information joue un rôle clef dans notre monde moderne, il ne faut pas s’étonner si chaque Etat cherche à protéger ses propres systèmes d'information tout en empêchant les autres États de rendre opaques les leurs aux attaques de ses Services. La diffusion à l'étranger de moyens cryptographiques forts et vraiment sûrs ne peut être vécu que comme un "drame" par tous les services de renseignement. Si tous les États possédaient et employaient de tels moyens, Échelon ne serait plus que d'une utilité relative pour les Anglo-Saxons.

Aussi, à cause de l'enjeu stratégique que représente pour chaque Etat l'accès à l'information des autres, une grande prudence s’impose-t-elle quant au choix de solutions de sécurisation de systèmes d'information, qu’il s’agisse du choix de produits ou même du choix d'un opérateur de confiance (autorité de certification, Key Recovery Center etc).

Les États-Unis, par exemple, appliquent depuis longtemps déjà un contrôle strict des exportations de solutions de sécurisation des systèmes d'information. Le Bureau of Export Control du Department of Commerce est en fait une dépendance de la NSA. L'argument officiellement invoqué pour le contrôle des exportations est qu’il faut empêcher que des moyens cryptographiques forts soient facilement accessibles à des organisations impliquées dans la criminalité internationale. La NSA impose de fait de fortes contraintes à l'industrie des technologies de l'information américaine, avec qui elle entretient parfois des liens incestueux. Les scandales relatifs aux backdoors présents dans Lotus Notes (IBM) ou dans Promis (Inslaw) sont connus. Un peu moins peut-être le fait que la NSA a financé divers programmes de R&D de Control Data, IBM, Cray ou General Electric, ou que plus de 250 cadres de la NSA ont été replacés dans des entreprises privées comme Cylink Corp., Trusted Information System, Allired Signal ou d'autres. En fait, il faut partir du principe que seules les solutions transparentes pour la NSA peuvent être exportées des États-Unis - il ne faut pas se faire d'illusion, même sur un produit aussi mythique que PGP, du moins dans sa version commerciale proposée par Network Associates. C’est un aspect que les vendeurs de solutions américaines évitent évidemment soigneusement de mentionner.

Il ne s’agit nullement ici de mettre au pilori les Américains et de dépeindre les autres pays en victimes. En réalité, les pratiques ne diffèrent guère dans leur nature d'un pays à l'autre - les différences se situent au niveau des moyens. D'ailleurs, il faut bien noter que l'accord de Wassenaar, signé en décembre 1998 par trente-trois pays dont la France, l'Allemagne ou le Japon - mais pas Israël ou l'Australie, par exemple -, généralise aux pays signataires les pratiques américaines en matière de contrôle sous forme de licences des exportations de solutions cryptographiques.

Wassenaar n'officialise en réalité que des pratiques locales souvent bien établies. Cet accord a peut-être pour principal mérite celui de forcer le grand public à ouvrir les yeux et à comprendre qu’il n'est pas rationnel d'accorder sa confiance à une solution de cryptographie étrangère. Et il ne faut surtout pas croire que ce principe ne s'applique qu’à l'aspect chiffrement de données. La certification électronique est tout aussi stratégique que le chiffrement, notamment parce que le contrôle d'accès aux systèmes d'information sera bientôt largement contrôlé par les certificats électroniques, qui permettent de lier par des techniques cryptographiques l'identité physique et l'identité virtuelle des individus. L'identité sera un enjeu clef de demain.

Tout comme les États devraient encourager leurs entreprises à développer des solutions cryptographiques nationales sûres, de même devraient-ils œuvrer en vue de faciliter la création d'un réseau international d'autorités de certification nationales interopérables, seul moyen de répondre à la fois aux exigences de sécurité et aux exigences d'interopérabilité internationale.

  • Sorbas von Coester, Ancien élève de l’École polytechnique, PhD (Econ) London School of Economics est Managing Partner de Gheran (Paris) (svc@gheran.com)

 


Derniers articles

Verdun 2016 : La légende de la « tranchée des baïonnettes »
Eyes in the Dark: Navy Dive Helmet Display Emerges as Game-Changer
OIR Official: Captured Info Describes ISIL Operations in Manbij
Cyber, Space, Middle East Join Nuclear Triad Topics at Deterrence Meeting
Carter Opens Second DoD Innovation Hub in Boston
Triomphe de St-Cyr : le Vietnam sur les rangs
Dwight D. Eisenhower Conducts First OIR Missions from Arabian Gulf
L’amiral Prazuck prend la manœuvre de la Marine
Airmen Practice Rescuing Downed Pilots in Pacific Thunder 16-2
On ne lutte pas contre les moustiques avec une Kalachnikov...
Enemy Mine: Underwater Drones Hunt Buried Targets, Save Lives
Daesh Publications Are Translated Into Eleven Languages
Opération Chammal : 10 000 heures de vol en opération pour les Mirage 2000 basés en Jordanie
Le Drian : Daech : une réponse à plusieurs niveaux
Carter: Defense Ministers Agree on Next Steps in Counter-ISIL Fight
Carter Convenes Counter-ISIL Coalition Meeting at Andrews
Carter Welcomes France’s Increased Counter-ISIL Support
100-Plus Aircraft Fly in for Exercise Red Flag 16-3
Growlers Soar With B-1s Around Ellsworth AFB
A-10s Deploy to Slovakia for Cross-Border Training
We Don’t Fight Against Mosquitoes With a Kalashnikov
Bug-Hunting Computers to Compete in DARPA Cyber Grand Challenge
Chiefs of US and Chinese Navies Agree on Need for Cooperation
DoD Cyber Strategy Defines How Officials Discern Cyber Incidents from Armed Attacks
Vice Adm. Tighe Takes Charge of Information Warfare, Naval Intelligence
Truman Strike Group Completes Eight-Month Deployment
KC-46 Completes Milestone by Refueling Fighter Jet, Cargo Plane
Air Dominance and the Critical Role of Fifth Generation Fighters
Une nation est une âme
The Challenges of Ungoverned Spaces
Carter Salutes Iraqi Forces, Announces 560 U.S. Troops to Deploy to Iraq
Obama: U.S. Commitment to European Security is Unwavering in Pivotal Time for NATO
International Court to Decide Sovereignty Issue in South China Sea
La SPA 75 est centenaire !
U.S. to Deploy THAAD Missile Battery to South Korea
Maintien en condition des matériels : reprendre l’initiative
La veste « léopard », premier uniforme militaire de camouflage
Océan Indien 2016 : Opérations & Coopération
Truman Transits Strait of Gibraltar
Navy Unveils National Museum of the American Sailor
New Navy, Old Tar
Marcel Dassault parrain de la nouvelle promotion d’officiers de l’École de l’Air
RIMPAC 2016 : Ravitaillement à la mer pour le Prairial avant l’arrivée à Hawaii
Bataille de la Somme, l’oubliée
U.S., Iceland Sign Security Cooperation Agreement
Cléopatra : la frégate Jean Bart entre dans l’histoire du BPC Gamal Abdel Nasser
Surveiller l’espace maritime français aussi par satellite
America's Navy-Marine Corps Team Fuse for RIMPAC 2016
Stratégie France : Plaidoyer pour une véritable coopération franco-allemande
La lumière du Droit rayonne au bout du chemin





Directeur de la publication : Joël-François Dumont
Comité de rédaction : Jacques de Lestapis, Hugues Dumont, François de Vries (Bruxelles), Hans-Ulrich Helfer (Suisse), Michael Hellerforth (Allemagne).
Comité militaire : VAE Guy Labouérie (†), GAA François Mermet (2S), CF Patrice Théry (Asie).

Contact