SSTIC, Serres & (Im)passe (SSI) 2005

03/06/2005, par jmm
[ Impression | 3 réactions ]

En 2003, j’avais consacré tout un dossier au Symposium sur la Sécurité des Technologies de l’Information et de la Communication (SSTIC).

En 2004, j’avais du me contenter d’en faire un seul « papier », suivi d’une interview, largement relayée.

En 2005, je n’y ai fait qu’un bref détour, d’un jour.

« C’est la présence qui fait le silence d’une chambre »

Je ne pourrais donc pas, cette année, faire état ni résumer ce qui s’y est passé. J’aurais bien voulu, mais j’en ai été empêché, pour d’obscures et regrettables raisons qui tiennent à la fois des conditions de travail des journalistes, et du devoir de réserve des militaires. Je me contentrai donc d’un bref résumé de cette première journée, pour info, en passant, et d’une façon forcément bien plus personnelle, tant qu’à faire (et puis je suis « chez moi« , là).

En résumé, donc, Henri Serres, « directeur central de la sécurité des systèmes d’information » à la Direction centrale de la sécurité des systèmes d’information (DCSSI), ouvrait le symposium. Consternant d’emblée la quasi-totalité des gens avec qui j’en ai parlé. Son intervention, « De la lutte informatique » (principal sujet du SSTIC 2005) est à l’image de sa retranscription dans les actes du colloque, à savoir une page… vierge.

« Il y a deux sortes d’auteurs : les uns écrivent l’histoire de leur temps, les autres leur biographie »

Nous avons en effet appris que la DCSSI -chargée de la sécurité informatique des infrastructures vitales du pays, publiques voire privées- disposait de plus en plus d’interlocuteurs au sein des différents ministères, et qu’elle était à même de répondre 24h/24 depuis… un mois seulement.

Mais aussi qu’elle avait embauché 6 personnes l’an passé, ses effectifs se montant donc à une petite centaine d’employés; contre plusieurs dizaines de milliers à la National Security Agency -NSA- américaine, remarquait dépité l’un des conférenciers (à ceci prêt que la DCSSI n’est pas, elle, chargée d’espionner le monde entier -voir aussi Echelon/Frenchelon : mythes et réalités)

« Ceux que nous aimons, nous pouvons les haïr. Les autres nous sont indifférents »

On apprit également (sourires en coin) que la DCSSI était un « accélérateur de carrières« , au vu… des récentes promotions de Dominique de Villepin et Thierry Breton (à qui le premier commanda une étude sur la cybercriminalité en septembre dernier, permettant à notre nouveau premier ministre de faire passer pour des nouvelles dispositions ce qu’il avait quasi-texto déjà proposé il y a des mois).

On apprit enfin que les plans de lutte antiterroriste datant d’avant le 11 septembre 2001 étaient un peu « conventionnels » et qu’ils ne comportaient pas de volet informatique, alors que, selon des « éléments concordants« , non seulement les terroristes utiliseraient l’internet (sans blagues ? voir aussi Terrorisme : les dessous de la filière porno ), mais que, toujours selon des « éléments concordants« , ils seraient en contact avec des script kiddies/pirates informatiques/guerriers de l’information (rayez la mention inutile, & pas mieux que les services de renseignement de la totalité des pays connectés, cela dit).

« Comme si l’on pouvait tuer le temps sans insulter à l’éternité »

Entre autres questions posées par le public, une chercheuse en cryptographie du CNRS -qui n’avait pas déclaré ses impôts en ligne parce que cela lui aurait pris plus de temps qu’avec le formulaire papier- demanda pourquoi les certificats étaient chiffrés avec une clef à 512 bits -alors qu’on considère qu’en-deça de 1024 bits, la sécurité n’est pas franchement assurée-, et s’étonna du fait que les contribuables n’étaient guère sensibilisés à la sécurité informatique, n’hésitant pas à stocker leur « signature électronique » sur des PC non sécurisés, voire empruntés pour l’occasion, entre autres failles de sécurité. Après avoir avoué qu’il ne pouvait expliquer le choix des 512 bits, Henri Serres… ne sut trop que répondre.

Je me permis alors de prendre le micro pour reposer une question que je lui avais déjà posé il y a deux ans, à savoir pourquoi le site de la CNIL n’explique que comment nous sommes espionnés sur l’internet, mais pas comment se protéger, et pourquoi le site de la DCSSI ne propose lui non plus aucune ressource à même d’aider un quidam (professionnel tenu au secret professionnel, ou citoyen lambda) à protéger son PC *. Comme il y a deux ans, le « directeur central de la sécurité des systèmes d’information » de notre Brave Patrie m’a ensuite déclaré que c’était une bonne question, et qu’il y (re)penserait.

« Le son de la pompe qui grince est aussi nécessaire que la musique des sphères »

En attendant, les Français ne disposent toujours pas officiellement d’endroits où apprendre à sécuriser leurs données, sauf à aller sur les sites de hackers, hacktivistes ou encore d’ancien traiteur, ce qu’un ancien des services allemands avaient comparé, la première fois où j’avais posé la question à Henri Serres, au fait de devoir aller au bordel pour découvrir les rudiments de l’éducation sexuelle.

Il serait donc faux d’avancer qu’Henri Serres à l’art de parler pour ne rien dire, comme de nombreux conférenciers semblaient le penser. Malgré son art consommé de la langue de coton, on apprit finalement beaucoup de choses, certes inconsistantes pour les personnes présentes au SSTIC, mais le tout ayant eu pour fond d’écran un bureau « Windows » affichant, entre autres icônes, Outlook Express, Internet Explorer, Windows Media Player, DivX Player & Movie, on ne peut que s’incliner devant une telle affirmation de la volonté d’indépendance et de puissance de la notion de Sécurité des Systèmes d’Information (SSI) à la française.

« Sous un gouvernement qui emprisonne injustement, la place de l’homme juste est aussi en prison »

Heureusement, le symposium a par la suite embrayé sur des choses autrement plus pointues, et pertinentes, que ce soit sur la scène ou en coulisse. Je ne sais cela dit si d’autres journalistes en parleront.

Les intertitres sont d’Henry David Thoreau, connu entre autres pour son essai sur « La Désobéissance civile ».

* [mise à jour du 06/06/05] un gradé de l’armée répondit alors à la cantonnade qu’il fallait aller sur protegetonordi.com, qui allait être lancé, et qui répondait à ma question. Ne connaissant pas le site en question, lancé ce 3 juin à l’occasion de la semaine de la sécurité informatique, je ne pouvais, bien que sceptique quant au choix du « .com », guère rebondir.

De fait, il s’agit surtout de rassurer la ménagère de moins de 50 ans (& ses déclinaisons multimédia), en l’enjoignant à « mettre un anti-virus, mettre un pare-feu, mettre à jour ses logiciels & mettre en place un contrôle parental« .

Toutes choses qui ne répondent aucunement aux problèmes auxquels sont confrontés ceux qui, d’un point de vue professionnel (chefs d’entreprise ou cadres supérieurs, chercheurs & fonctionnaires, comptables & commerciaux, etc.) et/ou déontologique (journalistes, avocats, magistrats, médecins, huissiers, etc.) stockent dans leurs ordis des données sensibles.

Le SSTIC m’a en effet appris qu’un « pirate » motivé pouvait en effet contourner les passerelles anti-virus, passer au travers d’un firewall, y compris lorsque les logiciels étaient mis à jour.

Quant au « contrôle parental« , il n’a rien à voir avec la sécurité informatique, sinon qu’il donne l’illusion de bloquer les contenus « offensants« , le site peacefire.org ayant pour sa part démontré depuis belle lurette qu’il était, non seulement plus ou moins facile de passer outre, mais que les filtres en question bloquaient nombre de contenus tout ce qu’il y a de plus légitimes.

Certes, « mettre un anti-virus, mettre un pare-feu, mettre à jour ses logiciels & mettre en place un contrôle parental » donne un semblant de sécurité, et fait effectivement partie (contrôle parental excepté) des toutes premières mesures à prendre dès lors qu’on connecte son PC à l’internet. Mais cela ne permet aucunement de protéger ses données.

Share/Save/Bookmark
Et/ou suivez-moi par RSS (),
sur Twitter, ou via la newsletter :

Réf. [ (Cyber)surveillance, (In)sécurité, Guerrelec, InfoGuerre ]
Imprimer | Répondre | Me contacter
Feed RSS des commentaires
10 929 views | Permalien | Trackback

3 Réponses a “SSTIC, Serres & (Im)passe (SSI) 2005”

  1. Traces évidentes... :

    Retour du SSTIC

    Rennes, depuis Limoges, c’est loin, très loin. Si loin que vous devez commencez par prendre le train pour paris, puis changer de gare et reprendre le train pour arriver à Rennes. Gare moderne, spacieuse, avec plein d’escalators, c’est formidable. …

  2. jmm :

    pour info, les articles, billets et compte-rendus publiés depuis ici ou là au sujet du SSTIC :

    http://bruno.kerouanton.net/papers/sstic05-bk-synthese.doc
    http://www.point-libre.fr.eu.org/~jop/blog/index.php/2005/06/21/96-retour-du-sstic
    http://www.hsc-news.com/archives/2005/000024.html
    http://www.reseaux-telecoms.com/cso_btree/05_07_01_124058_106/Newscso_view
    http://www.point-libre.fr.eu.org/~jop/blog/index.php/2005/07/03/98-retour-du-sstic-suite
    http://www.point-libre.fr.eu.org/~jop/blog/index.php/2005/07/07/102-retour-du-sstic-et-fin
    + les actes, en cours : http://actes.sstic.org/SSTIC05/

  3. rewriting.net » Archive » De “l’espionnage assisté par ordinateur” :

    […] l’enceinte d’une caserne militaire, ce qui n’est pas sans poser quelques problèmes. Le fait que les services de renseignement français se soient intéressés, d� […]

Répondre