Prospective

HCFDC – De la sécurité informatique à la cyberdéfense

img_colloque_131108

Colloque HCFDC

Le Haut comité français pour la défense civile (HCFDC) organisait le 14 novembre 2008, dans les locaux de l’INHES à la Plaine Saint Denis (93), un colloque sur la « Cyberdéfense ». Il était conclu par une intervention du sénateur Roger ROMANI qui a été le rapporteur du rapport d’information de la commission des affaires étrangères, de la défense et des forces armées sur la Cyberdéfense.

Ce colloque était organisé en partenariat avec le Secrétariat général de la défense nationale (SGDN) et sa Direction centrale de la sécurité des systèmes d’information (DCSSI) et sponsorisé par Agilent et Thalès.

Le programme de la conférence était organisé autour de 4 tables rondes :

  • Typologie des menaces ;
  • Cartographie, enjeux et complexités ;
  • Cibles et impacts ;
  • Réponses et solutions.

Des différentes présentations on retiendra que :

  • il est encore difficile aujourd’hui d’évaluer l’impact des différentes attaques contre les systèmes d’information en France et dans le Monde ;
  • la future agence nationale de la sécurité des systèmes d’information est en bonne voie, avec un futur périmètre bien plus large que celui de la DCSSI actuelle et donc notamment avec un impact plus important sur la sécurité de l’information des entreprises et des citoyens (certification de logiciels et de solutions de sécurité) et certainement un pouvoir de contrainte plus fort sur la sécurité existant dans les administrations ;
  • des progrès sont reconnus dans la mise en place de politiques de sécurité des SI dans les grandes entreprises, les démarches semblent beaucoup plus mûres ;
  • le constat est maintenant tangible d’une évolution vers des cyberconflits, parallèles aux conflits physiques, comme l’ont montré les incidents des derniers mois (Estonie, Géorgie, attaques imputées à des chinois, etc.) et la France, l’Europe, doivent s’y préparer ;
  • les représentants des services dits répressifs (dont moi-même) ont beaucoup insisté sur l’intérêt d’associer mieux la sphère judiciaire dans la lutte contre les abus criminels contre les systèmes d’information et notamment sur la nécessité selon les cas de porter plainte ou de signaler les faits intéressants.

J’en retire aussi qu’il subsiste un grand flou autour des évolutions à venir de l’Internet et de la démarche de cyberdéfense :

  • quel avenir pour la gouvernance de l’Internet (rôle de l’ICANN, rôle que veut se donner l’Union Européenne, rôle des nouvelles puissances extrême-orientales,…) ?
  • quel va être l’impact d’IP v6 sur la sécurité des systèmes d’information et la cybercriminalité en général ?
  • quelle direction concrète doivent prendre des pays comme la France en matière de lutte informatique offensive (le Livre blanc sur la défense et la sécurité nationale donne quelques pistes, page 207) ?

Forum des droits sur l’Internet – Filtrage des sites web pédopornographiques

FDI

FDI

Le Forum des droits sur l’Internet (FDI) publiait ce matin le rapport d’un groupe de travail sur le filtrage des sites pédopornographiques. Il s’agissait d’étudier les modalités techniques et juridiques d’une telle mesure en France. Le FDI a entamé ces travaux suite à des demandes exprimées par le ministre de l’intérieur (Michèle ALLIOT-MARIE) et la secrétaire d’Etat chargée de la famille (Nadine MORANO).

Contexte international

Ce projet s’inscrit dans un projet suivi au niveau Européen, visant à harmoniser les politiques des Etats dans ce domaine. Ainsi, le groupe de coordination des chefs de police européens (COSPOL – Comprehensive Operational Strategic Planning for the Police) a engagé un projet dénommé CIRCAMP (COSPOL Internet related child abusive material project), dont une des missions identifiées a été de développer de bonnes pratiques dans le domaine du blocage : le « child sexual abuse anti distribution filter ».

En effet, il subsiste des paradis virtuels pour les diffuseurs de contenus illicites, hors de portée des décisions judiciaires et de la coopération policière.

Ainsi, les expériences menées en Norvège et au Royaume-Uni ont-elles pu montrer un intérêt à mettre en œuvre ce type de mesures préventives. Dans ces deux pays, il s’agit d’accords volontaires entre les pouvoirs publics et les opérateurs Internet. Les autres pays européens étudient donc des propositions similaires.

Résumé des conclusions du groupe de travail du FDI

Le FDI définit d’abord l’objectif possible d’une telle mesure:

« Dès lors, et s’agissant des sites hébergés à l’étranger, le filtrage des sites contenant des images ou représentations d’abus sexuels sur mineurs apparaît comme un levier supplémentaire permettant de lutter contre ce type de contenu. Une telle mesure permettrait également d’éviter leur banalisation. Par ailleurs, ces sites étant souvent de nature commerciale, cela limiterait leur accès à un potentiel marché français. »

Ensuite, le FDI procède à une étude juridique de la possibilité d’implémenter ce dispositif en France, qui se heurte à la fois aux dispositions des textes européens (neutralité des opérateurs définie notamment dans la directive 2000/31/CE du 08 juin 2000, mais qui prévoit aussi la possibilité pour une autorité officielle d’ordonner des mesures permettant de mettre un terme ou prévenir des violations) et aux dispositions de la loi pour la confiance dans l’économie numérique (article 6, I, 8 de la LCEN 2004-575 du 21 juin 2004, qui prévoit l’intervention d’un juge pour ordonner un blocage, comme cela fut le cas dans l’affaire AAARGH).

Partant de ce constat, le FDI propose qu’une disposition législative nouvelle vienne encadrer le dispositif, avec la création ou la désignation d’une autorité administrative qui aura pour mission de valider et de transmettre aux opérateurs une liste des sites situés à l’étranger et diffusant des images ou représentations de mineurs à caractère pornographique. Cette liste devrait être mise à jour régulièrement. L’internaute visitant volontairement ou involontairement un tel site serait redirigé vers une page d’information sur le dispositif et aucune trace de sa connexion ne sera conservée.

Cette autorité serait garante de la stricte conformité des sites bloqués aux critères définis par la loi, à savoir la diffusion de contenus rendus illicites par l’article 227-23 du code pénal et situés en dehors de l’Union Européenne.

Enfin, il est souligné que les solutions techniques ne devraient pas être imposées aux opérateurs qui resteraient ainsi maîtres de la qualité de service offerte aux Internautes pour la fourniture des services légitimes.

Le texte du rapport peut être consulté sur le site du Forum des droits sur l’Internet en suivant ce lien.

Que disent les opposants à un tel projet ?

Bien entendu, il n’y a pas de consensus général sur un tel projet. Ainsi sont évoquées la volonté de censurer l’Internet, comme cela est le cas dans des contrées moins démocratiques, la possibilité que ce dispositif soit étendu progressivement ou brutalement à des infractions dont la répression semble moins justifier des mesures aussi fortes ou surtout présente des risques techniques dans son implémentation, comme ce qui est arrivé en début d’année à l’opérateur national du Pakistan. On retrouve ces différents points dans le rapport cité supra, ainsi que sur différentes contributions publiées sur Internet comme celle de l’association « La Quadrature du Net ».

Que va-t-il se passer maintenant ?

Le débat n’est donc pas encore conclu sur ce sujet. La recommandation du FDI viendra certainement alimenter des débats à venir au Parlement, dans le cadre d’un futur projet de loi encadrant ce dispositif. Les différents acteurs sont en tous cas d’accord pour souligner qu’il s’agit avant tout d’un objectif de blocage (empêcher l’accès) plutôt que d’un objectif de filtrage (terme pouvant laisser supposer qu’on surveille les connexions de chacun des internautes français).

Faire face aux nouveaux défis de la délinquance numérique

France 2025

Pour ce premier article, je vais reproduire ici ce que j’ai écrit en contribution à France 2025 :

http://www.france2025.fr/xwiki/bin/view/France2025/Fairefaceauxnouveauxdefisdeladelinquancenumerique

La délinquance liée aux technologies numériques est d’ores et déjà reconnue comme un domaine à part entière parmi les phénomènes criminels contre lequel il convient d’avoir une action efficace. En 2025, cette forme de délinquance fera pleinement partie du quotidien, comme la délinquance routière aujourd’hui ou l’utilisation des moyens de transport par les délinquants.

Les technologies numériques seront ainsi pleinement intégrées dans les usages des citoyens et dans le fonctionnement intime des institutions et des entreprises françaises. Ils en seront d’autant plus vulnérables à toutes les atteintes ciblant spécifiquement ces outils, mais ils y seront évidemment beaucoup mieux préparés.

Les délinquants seront aussi beaucoup plus à l’aise dans l’utilisation des moyens numériques. Là où en 2008, seuls certains d’entre eux les utilisent pleinement ou ont les compétences techniques pour les détourner finement, en 2025 cette forme de délinquance sera généralisée :

  • les moyens de communication numérique seront pleinement maîtrisés par les délinquants, y compris les façons de rendre ces communications plus discrètes comme le chiffrement, l’utilisation de canaux cachés ou l’exploitation des failles dans les produits commercialisés et notamment leur difficile traçabilité ;
  • des équipes très organisées de hackers malhonnêtes seront ainsi facilement constituées, elles s’affranchiront des frontières géographiques et linguistiques, et s’échangeront leurs compétences pour trouver rapidement les défauts des systèmes, mettre en place des flux de blanchiment encore plus efficaces, abuser d’un maximum de systèmes inter-connectés – ce que préfigurent les botnets rencontrés aujourd’hui ;
  • les techniques « anti-forensiques », permettant aux délinquants de se protéger des investigations seront beaucoup plus largement répandues, que ce soit des techniques de chiffrement une fois encore, d’effacement de traces sur les systèmes et les réseaux et l’exploitation des possibilités de rebonds sur les systèmes mal sécurisés qui seront toujours très nombreux.

Avec les nouveaux usages et les nouveaux outils numériques apparaîtront à chaque fois de nouvelles formes de délinquance.

Ainsi, la généralisation de l’usage d’une forme d’identité numérique entraînera des tentatives multiples d’abus de cette identité. Si on peut imaginer que les supports officiels de l’identité seront fortement sécurisés et très certainement l’objet d’attaques, ils ne seront pas les seuls. Que ce soient les supports mis en place par les commerçants et les fournisseurs de services en ligne, liés à une identité réelle ou à une identité virtuelle (pseudonymat) ou totalement anonyme, tous n’auront pas forcément les mêmes niveaux de protection. Ainsi, le format des moyens de paiement sera démultiplié, et le niveau de sécurisation des identifiants numériques utilisés sur différents sites communautaires ne sera pas égal.

A contrario, on peut imaginer qu’un lien plus fort à l’identité sera recherché par l’utilisateur et que l’internaute sera plus familier avec les moyens permettant de vérifier l’identité de ses interlocuteurs : non seulement la véracité de la signature (SSL aujourd’hui) du certificat d’un site de commerce en ligne, mais aussi des personnes avec lesquelles il sera en contact (signature électronique, présentation de certificats d’identité reconnus). Toutefois, il n’est pas certain que la course entre les utilisations bien cadrées et les utilisations plus libres soit gagnée par les premières, notamment sur les sites communautaires de nature ludique.

Le déploiement du nouveau système d’adresses Internet IP v6 va rendre la traçabilité des connexions et des échanges plus riche. Ainsi chaque objet connecté à Internet sera clairement identifié et éventuellement associé fortement à son propriétaire. Toutefois le volume d’informations à conserver et à échanger va croître de façon exponentielle : un même utilisateur qui en 2008 utilise une adresse IP à son domicile, une autre à son travail et éventuellement une autre de façon nomade, sera associé en 2025 à plusieurs centaines d’adresses différentes qui ne lui seront pas forcément toutes directement reliées. Certaines seront même anonymes, reliées à des objets numériques achetés dans des distributeurs automatiques ou la grande distribution, comme la montre qu’il porte à son poignet (qui pourra l’avertir des courriers électroniques qui lui sont destinés) ou ses lunettes de vision (qui lui permettront d’accéder à des canaux d’information divers). Et les délinquants sauront abuser de toutes ces possibilités.

Le très haut débit, enfin, sera généralisé et s’il permettra en 2025 une richesse d’accès à une information en temps réel, avec des images animées en haute définition et en relief, des bases de données multiples accessibles instantanément, il autorisera aussi de camoufler très facilement et plus discrètement à cause de la vitesse de transmission, les communications des délinquants au milieu de cette masse phénoménale d’informations en circulation.

Serons-nous préparés à ces défis ?

Tout d’abord un constat : la France, ses chercheurs et ses ingénieurs sont très dynamiques dans le domaine des technologies numériques et notamment en ce qui concerne la cryptologie ou la sécurité des systèmes d’information. Ainsi, on peut citer l’invention de la carte à puce ou des équipes de chercheurs mondialement reconnus dans le domaine de la cryptanalyse.

Mais contrairement à beaucoup de nos partenaires, notamment anglo-saxons, la recherche et l’innovation dans les domaines plus spécifiques de la lutte contre la délinquance numérique, se concentrant sur une posture préventive. Ainsi, en 2025, il est essentiel que la France et ses partenaires européens disposent de pôles de compétence expérimentés dédiés à la lutte contre la criminalité liée aux technologies numériques, afin de développer :

  • des outils innovants en matière d’analyse forensique des traces sur les systèmes et les réseaux numériques ;
  • la recherche sur les techniques anti-forensiques et les moyens de les prévenir ;
  • les moyens concrets d’une traçabilité sûre des échanges sur les réseaux, qui garantisse encore mieux la vie privée des internautes tout en permettant les investigations judiciaires et surtout réponde efficacement au défi des volumes d’information à traiter ;
  • et évidemment contribuer à la veille sur les risques sur la sécurité des systèmes d’information par des échanges efficaces avec la communauté des chercheurs travaillant sur ces domaines.

Ces pôles de compétence, à construire dès aujourd’hui, devront associer des universitaires, des compétences industrielles (notamment opérateurs et sociétés développant des logiciels et des matériels) et le soutien des services chargés des investigations.

Trop souvent aujourd’hui, ainsi que le montrent par exemple les études successives présentées par le Clusif (Club français de la sécurité des systèmes d’information), les dépôts de plainte et les signalements aux autorités compétentes des incidents rencontrés sont très rares. il est donc indispensable qu’en 2025 soient en place des espaces d’échange entre les différentes parties prenantes : pouvoirs publics, industriels et éventuellement chercheurs pour pouvoir dialoguer en toute confiance sur les incidents graves ou moins graves, les risques envisagés. Ces espaces pourront être organisés par branches professionnelles (banque, opérateurs de communications électroniques, développeurs de logiciels,…) et selon les sujets abordés (sécurité des systèmes, fraudes), plus ou moins restreints et surtout devront reposer sur des chartes couvrant la confidentialité des débats, l’engagement à la transparence entre les partenaires et surtout à agir promptement en fonction des mesures arrêtées ensemble.

L’ensemble de ces dispositifs s’inscrivent évidemment dans un contexte de coopération internationale qui devra se poursuivre et être renforcée en 2025, mais il est indispensable que la France soit dotée d’outils et de compétences adaptés à la lutte contre les phénomènes de délinquance numérique.