LES MENACES SUR LES TECHNOLOGIES DE L'INFORMATION ET DE LA COMMUNICATION
Les sociétés modernes sont de plus en plus dépendantes des technologies de l'information, y compris dans leur fonctionnement quotidien. Les transactions financières et commerciales se multiplient tandis que la production industrielle et la gestion de l'énergie (y compris nucléaire) reposent sur ces mêmes technologies. Nos sociétés sont donc particulièrement vulnérables face aux actes de malveillance visant les systèmes d'information qui en constituent désormais le cœur.
De même, les systèmes de défense incorporent de plus en plus d'informatique. Les engagements armés modernes impliquent, en effet, des systèmes fortement interconnectés entre eux. Ce rôle grandissant des technologies de l'information et de la communication dans les outils militaires occasionne donc également l'accroissement des vulnérabilités potentielles.
1.- Les vulnérabilités de l'État et des entreprises
Utilisant les mêmes outils de communication et d'information, l'État et les entreprises sont confrontés aux mêmes menaces.
Les microprocesseurs sont au cœur des systèmes d'information et en constituent le facteur déterminant de puissance. Ils conditionnent par conséquent directement la capacité et la rapidité de calcul, particulièrement déterminante pour les simulations à grande échelle, observables notamment dans les applications nucléaires ou de défense. L'enjeu stratégique des processeurs est clair : le processeur « PowerPC » de Motorola et d'IBM a été considéré initialement comme un matériel de guerre...
Mais les microprocesseurs peuvent être également à la source de vulnérabilités importantes pour les systèmes qui les embarquent. L'intégration toujours plus grande de fonctions « dans le silicium » conduit à la mise en place de microcodes non maîtrisés (et difficilement détectables) avec des risques latents de backdoors (failles du système) ou d'autres dispositifs de surveillance et de prise de contrôle à distance. Récemment, la polémique au sujet de la Trusted Computing Platform Alliance (TCPA) visant à intégrer au processeur, une partie cryptée directement utilisée par le système d'exploitation a mis en lumière ces enjeux. Les sociétés Microsoft et Intel comptaient ainsi pouvoir maîtriser le piratage des logiciels. Cependant, ces fonctionnalités pourraient également permettre à des personnes malintentionnées ou des services de renseignement étrangers, de disposer d'un moyen de contrôler à distance l'activation de tout ou partie des systèmes à l'insu de leurs utilisateurs.
Il faut souligner que le secteur industriel des processeurs ainsi que celui des mémoires ou des périphériques de stockage de données, est aujourd'hui totalement sous la maîtrise de sociétés américaines. Ni la France, ni l'Europe ne disposent plus des compétences et des industries nécessaires pour mettre au point un processeur compétitif sans coopération avec les États-Unis. Il s'agit là d'une vulnérabilité majeure pour l'avenir, même si l'Asie pourrait offrir, à terme, une alternative potentielle : la Chine s'est engagée dans le développement de ses propres microprocesseurs.
Les systèmes d'exploitation constituent le cœur des systèmes d'information. Même si la concurrence entre les sociétés Apple et Microsoft est aujourd'hui largement dépassée, ils sont au centre des enjeux du secteur informatique. Microsoft étant en situation quasi-monopolistique avec son système Windows, il n'existe plus de réel concurrent pour lui faire face. Le système d'exploitation de Apple ne touche plus qu'un public réduit et le système Unix, même s'il représente 40 % de parts de marché pour les serveurs, n'a jamais réussi à véritablement conquérir le marché des postes de travail.
La montée en puissance des logiciels libres - notamment Linux - pourrait constituer un nouvel espoir pour ceux qui souhaiteraient amoindrir l'hégémonie de Microsoft.
Les systèmes d'exploitation, constituent une des sources de vulnérabilité majeure des systèmes d'information : c'est par leur intermédiaire qu'il est possible de pénétrer les systèmes, en utilisant les backdoors et des « vers » (chevaux de troie). La France, comme la plupart des autres pays européens, présente une forte vulnérabilité technologique dans ce domaine et seule l'utilisation des logiciels libres de droit peut aujourd'hui encore constituer une parade possible.
Le contrôle d'accès est la partie la plus visible de la sécurité mais sans doute, paradoxalement, la moins sensible au plan de la vulnérabilité technologique nationale. Les acteurs français sont nombreux et performants dans ce domaine : Sagem, Bull et... Gemplus. Cette dernière société, dont le capital est désormais contrôlé par un fonds d'investissement américain (6), illustre bien le risque inhérent aux entreprises performantes mais dont le capital est mal protégé face à des aux investisseurs étrangers.
La transmission d'informations, dans un monde de plus en plus interconnecté, constitue une cible privilégiée pour accéder de façon illégale aux données. Les principales vulnérabilités des réseaux filaires se situent au niveau des routeurs. Ces équipements - intégrant un système d'exploitation généralement spécifique au fournisseur - comportent également des backdoors de service. Seules deux entreprises - Alcatel et Cisco- se partagent le marché mondial.
Les réseaux sans fil de type « WiFi », dont le développement est actuellement très rapide, présenteront vraisemblablement de nouvelles vulnérabilités dont la pleine mesure n'a pas encore pu être prise. Au-delà des vulnérabilités liées à la transmission radio (brouillage de fréquence ...), le protocole de cryptage des données prévu par la norme retenue n'apparaît pas véritablement performant. Ce défaut devrait être corrigé dans sa prochaine version. Peu d'entreprises françaises sont actives dans ce secteur. Or, pour la France, il peut s'agir pourtant à terme d'une vulnérabilité technologique importante : la transmission sans fil à longue distance offre de réelles potentialités tant pour des applications civiles que militaires.
Les applications bureautiques constituent une cible privilégiée pour accéder à l'information. La productivité des entreprises dépend, pour une large part, de ces logiciels. Microsoft a réussi à imposer un standard - Microsoft Office - et les grands acteurs, comme Adobe, sont américains. Comme pour les systèmes d'exploitation, l'alternative à l'hégémonie américaine pourrait venir des logiciels libres.
La France, pourtant fortement présente dans ce secteur avec Dassault Systèmes, reste technologiquement très vulnérable. Il conviendrait peut-être d'avancer l'idée d'une industrie nationale ou européenne du logiciel. En tout cas, il serait intéressant de mener une réflexion spécifique sur le mode de description des documents élaborés par ces logiciels pour faire émerger un format « neutre » de stockage, c'est-à-dire indépendant de l'applicatif ayant servi à le concevoir.
2.- Des moyens de lutte limités
Le développement de la société de l'information s'accompagne d'un accroissement tangible des menaces contre lesquelles les États sont le plus souvent désarmés et les parades entre les mains d'acteurs privés. La France s'est dotée de plusieurs outils pour répondre à cet enjeu, en particulier par la constitution de plans de prévention et de réaction à une attaque cyberterroriste et par la mise en place d'un organe opérationnel de veille, d'alerte et de réponse : le Centre de recensement et de traitement des attaques informatiques (CERTA). Ce dernier agit en réseau avec les centres d'expertises des ministères régaliens et des organismes spécialisés homologues (Renater pour la Recherche).
Comme il l'a déjà fait dans son rapport spécial sur les crédits du Secrétariat général pour la défense nationale (SGDN), votre Rapporteur souligne l'utilité de la fonction d'audit de la Direction centrale de la sécurité des systèmes d'information (DCSSI). La cellule qui en est chargée est composée de 6 personnes, recrutées parmi les meilleurs spécialistes informatiques. Cet effectif est dérisoire au regard de la tâche qui incombe à cette cellule, compétente pour l'ensemble des systèmes d'information de l'État. L'ensemble des ministères doit prendre conscience des risques liées aux attaques informatiques et de leur devoir de protéger les informations personnelles des citoyens contenues sur les différents serveurs.
Aucun commentaire:
Enregistrer un commentaire