Dans l’interview qu’il a bien voulu m’accorder, il déplore l’absence de prise de conscience des responsables politiques des enjeux liés à la sécurité informatique (qu’il qualifie de “bling bling“), le peu de moyens accordés à ceux qui, au sein même de l’appareil d’Etat, en ont la charge, l’amalgame entre Hadopi et pédophilie (au risque de voir tout le monde commencer à chiffrer ses communications).
Enfin, il appelle les autorités à s’appuyer sur les hackers, plutôt que de continuer à les diaboliser. Une interview à lire en complément du Petit manuel de contre-espionnage informatique que je publie en parallèle sur Owni.fr.
Eric Filiol est une personnalité à part dans le monde de la sécurité informatique. Du temps où il était militaire, il avait créé un laboratoire de virologie et de cryptologie, au sein de l’école militaire des transmissions (ESAT), chargé de former “les cadres compétents dont nos armées ont besoin pour la maîtrise de l’information“.
En quittant l’armée, il a emmené avec lui ce laboratoire, unique en son genre, qu’il dirige aujourd’hui au sein de l’Ecole supérieure d’informatique, électronique et automatique (ESIEA) de Laval.
“Corsaire” (et non “pirate“) informatique de la république, spécialiste des virus informatiques, au sujet desquels il a consacré plusieurs livres, Eric Filiol a aussi récemment décrit, dans la revue Défense Nationale, un scénario de “cyberguerre“ particulièrement élaboré et dont la lecture est à recommander à tous ceux qui s’intéressent à la guerre de l’information, ou à la stratégie militaire.
Pour lui, les problèmes de sécurité ne se situent pas seulement entre la chaise et le clavier, mais également au sommet, et dans les rouages, de l’appareil d’Etat.
Comment expliquez-vous ce peu de sensibilité à la sécurité informatique ?
Eric Filiol : les responsables ont une défiance totale vis-à-vis de l’informatique, ils sont complètement déconnectés des réalités de la sécurité informatique, et ils y sont d’autant moins sensibilisés que ça va trop vite, en tout cas tant qu’il n’y a pas de problème.
En France, la sécurité informatique ressemble aux nuages nucléaires : les problèmes s’arrêtent aux frontières. Pourtant, on a dénombré pas moins de 600 attaques critiques envers l’administration française en 2008 !
Il y a bien des problèmes, mais on mettra toujours ça sur le dos d’un administrateur : vous ne punirez jamais un haut fonctionnaire, un décideur ou un politique. La question qui reste à se poser, c’est de savoir s’il existera un jour des correctifs pour les êtres humains, et des versions particulières pour les responsables politiques.
Quand j’étais dans l’armée, j’avais coutume de dire qu’un virus ne salue pas à l’entrée d’un régiment : devant l’informatique nous sommes tous égaux. La bêtise d’un ministre est la même que celle d’un simple exécutant, et quand un homme politique ouvre un pièce jointe ça a le même effet qu’avec n’importe quel autre être humain. Or, c’est gênant pour un homme politique de découvrir qu’il est un humain comme les autres.
Quid de l’Agence nationale de la sécurité des systèmes d’information (ANSSI, créée en juillet 2009 pour “doter la France d’une véritable capacité de défense” informatique, rattachée au Secrétaire général de la défense et de la sécurité nationale et qui a notamment pour mission de “détecter et réagir au plus tôt en cas d’attaque informatique, prévenir la menace et jouer un rôle de conseil et de soutien aux administrations et aux opérateurs d’importance vitale” -NDLR) ?
Eric Filiol : j’aurais tendance à prendre la phrase de de Gaulle : c’est quoi ce machin ? Cela a permis de caser plus de hauts fonctionnaires et de gens sortis des grandes écoles, mais c’est une calamité en terme de ressources humaines.
Comment créer une véritable ressource humaine dans le domaine de la sécurité et une mémoire dans ce domaine, avec des personnels recrutés sur des contrats de 3 ans, renouvelable une seule fois ?
De plus, l’ANSSI n’aide que les administrations, voire les entreprises du CAC40. Les autres acteurs économiques du privé doivent se débrouiller tout seul. Quant à la DCRI, bien que très investie dans cette tâche, ils ne sont pas assez nombreux : 10, 20, c’est rien, et ils doivent se focaliser sur les entreprises qui relèvent du domaine stratégique…
Quid des répercussions politiques ?
Eric Filiol : Des réponses -à de vrai problèmes comme le piratage ou la lutte contre le crime organisé- comme l’Hadopi ou la Loppsi sont prises dans une totale méconnaissance des dossiers : on croit imaginer qu’il suffit de mettre en place un logiciel pour surveiller les téléchargements…
Et ce qui est grave c’est qu’on a aussi fait un amalgame entre l’Hadopi et la pédophilie, et la façon qu’ils ont eu de le faire était la pire réponse, parce que le risque qu’on court, c’est que tout le monde commence à chiffrer ses communications, ce qui serait une calamité pour les policiers et gendarmes et les personnes chargées de la sécurité nationale.
On a un président de la république qui s’est fait pirater son compte bancaire, on est dans le “bling bling” de l’informatique : on a dans l’informatique ce qu’on a dans la politique. Il faut des menus déroulants partout, des interfaces flashys, mais dès qu’on parle de sécurité on est pris pour des emmerdeurs de première.
“Le problème, c’est que la France a longtemps diabolisé les hackers”
Début mai, à l’occasion d’Iawacs (International Alternative Workshop on Aggressive Computing and Security), une conférence internationale de sécurité informatique (voir En France, les hackers n’ont plus peur de faire leur coming out), Eric Filiol organisait un concours, PWN2KILL, destiné à tester la fiabilité des logiciels d’antivirus. Résultat : une seule des sept attaques lancées par les étudiants a été correctement reconnue, et bloquée par les quinze antivirus testés, ce qui fait bondir Eric Filiol, dans 01Net:
“Tous les antivirus sont à égalité dans la nullité. Ces résultats prouvent que la détection de signatures virales n’est plus suffisante. Le plus inquiétant est que sur une échelle de 1 à 10, le niveau technique moyen des attaques est de 4 environ. Face à des attaques plus sophistiquées, le résultat aurait été encore plus désastreux.
Autre constat alarmant : une des attaques reposait sur un code malveillant de trois lignes, vieux de dix ans et montré sur YouTube. Or, il a mis K.O tous les antivirus !”
Interrogé par ZDNet, Eric Filiol ne se contente pas de fustiger ceux qui vendent ce genre de logiciels censés nous protéger, mais aussi ceux qui les achètent :
“Le pire cauchemar, c’est le décideur qui écoute les messages marketing et pense qu’il suffit de réduire le personnel et d’installer un antivirus pour faire de la sécurité. Il faut que les entreprises sachent que la sécurité a un prix. On ne peut pas être un acteur passif.
Les choix des décideurs, les politiques de sécurité définies par les RSSI, les utilisateurs, tout le monde est concerné, et il n’est plus possible de déléguer la sécurité à un produit qui, on le voit bien, est extrêmement faible et peut être contourné assez simplement.”
Pour lui, “le problème c’est que la France a pendant longtemps diabolisé les hackers” :
“La conséquence c’est que nous souffrons d’un manque de recherches ouvertes, alors qu’il y a un excellent potentiel en France. Il faut laisser ce potentiel s’exprimer.
L’Etat ne peut plus payer de recherches parce que les budgets sont restreints. Il doit donc s’appuyer sur une communauté de hackers vivante et qui assez souvent est là pour aider. L’Etat doit comprendre que cette ressource existe et l’utiliser.
Pour le moment, la réponse c’est l’article 323 du code pénal qui n’est plus du tout adaptée et qui finalement met dans le même sac les pirates et les hackers. Et cela, c’est la pire erreur à faire.”
En 2004 déjà, lors d’une précédente interview qu’il m’avait accordé, Eric Filiol qualifiait de “catastrophe (et de) danger pour les intérêts et la souveraineté de l’État“, cet article de loi, qui punit de trois ans d’emprisonnement et de 45.000 euros d’amende «le fait, sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés» pour accéder ou se maintenir dans un système d’information, l’entraver ou y introduire, modifier ou supprimer des données :
“Je n’ai jamais vu autant de rejets face à un article de loi. On est dans une situation ubuesque: rien n’interdit à un individu de dénoncer le fait qu’une voiture soit vendue sans frein, dans le monde logiciel, l’individu serait condamné…”
Voir aussi, sur Owni.fr, mon Petit manuel de contre-espionnage informatique et, sur ce blog (BUG BROTHER) :
Rions un peu avec l’Hadopi
Internet, le meilleur du pire
Des milliers d’e-mails piratables sur les sites .gouv.fr
En France, les hackers n’ont plus peur de faire leur coming out
Les pédophiles n’ont rien à craindre de la LOPPSI. Les internautes, si.
Tout ce que vous avez toujours voulu pirater sans jamais savoir comment procéder
Auteurs : Jean-Marc Manach (sur Facebook) & (sur Twitter), BUG BROTHER.
Continuer avec Linkedin