ARCSI
Association des Réservistes du Chiffre et de la Sécurité de l'Information

Les mots du Président

Mardi5décembre2023

L’emballement des progrès technologiques en matière de numérique ne met-il pas en péril la sécurité de l’information ?

15es Rencontres de l'ARCSI
La société du tout numérique dans laquelle nous sommes se caractérise aujourd’hui par un emballement des progrès technologiques, emballement au sens propre du terme, c’est-à-dire dont l’usage s’éloigne des intentions de ses concepteurs et échappe à tout contrôle. Les raisons en sont multiples, parmi lesquelles la pression des géants du numérique et l’enthousiasme des utilisateurs.

Mais ces innovations censées apporter un progrès possèdent, comme souvent et pratiquement toutes les technologies, une face cachée les rendant dangereuses pour la sécurité de l’information. Ces innovations favorisent également les capacités d’espionnage et d’intelligence économique des États ayant la volonté de dominer le monde, suscitant chez nous le désir de souveraineté nationale ou a minima européenne.

Même si le Pearl Harbor informatique tant redouté n’a pas encore eu lieu, des catastrophes majeures se sont déjà produites ou ont été évitées de justesse.

Au cours de la journée, seront examinés plusieurs faits concrets puisés dans l’actualité dans des domaines aussi variés que la santé, la défense, certaines infrastructures critiques dont les télécommunications, les objets connectés parmi lesquels la voiture, sans oublier un évènement vers lequel tous les regards convergent : les jeux olympiques.

On ne s’étonnera pas que la cryptologie chère à l’ARCSI et que d’aucuns considèrent comme le dernier rempart ne soit pas oubliée. Fort de son expérience millénaire de la bataille chiffrement/décryptement, la science du secret n’a pas attendu d’être bousculée par l’apparition annoncée des ordinateurs quantiques pour se préoccuper de nouveaux procédés capables de leur résister.

Nos intervenants évoqueront comment s’organiser techniquement et juridiquement pour éviter les dommages cyber ou pour en endiguer les conséquences. Ces efforts seront examinés sans éluder le débat conduisant certains à s’émouvoir du trop-plein de régulation accusé de freiner les investissements en Europe et aggravant paradoxalement sa dépendance. Ne seront pas occultés non plus les points de vue divergents entre défenseurs des libertés individuelles et sécuritaires forcenés.

Gal (2S) Jean Louis Desvignes, Président de l'ARCSI.

Jeudi20octobre2022

L’épopée de la carte à puce et son avenir

14es Rencontres de l'ARCSI

Après une interruption due à la crise sanitaire, l’ARCSI renoue avec la tradition de son colloque annuel. Cette année sera l’occasion de revenir sur l’histoire de cette merveilleuse invention française- la carte à puce- et de nous interroger sur son devenir. Ce thème était évoqué depuis longtemps dans nos rangs, mais il est devenu incontournable lorsqu’est tombée le 28 décembre 2021 la nouvelle de la mort de Michel Ugon le véritable inventeur de la carte à puce intelligente, la « smart card ».

Cette journée débutera par un hommage à cet ingénieur trop modeste et trop occupé par la tâche qu’il s’était fixée pour contrer l’invraisemblable holdup dont il fut victime de la part d’un personnage parfaitement aguerri aux techniques de communication et bénéficiant d’un soutien politico médiatique incontestable.

La matinée sera consacrée à l’histoire de cette formidable aventure racontée par ceux-là même qui ont contribué au succès de cette révolution technologique, l’une des dernières grandes réussites dans le domaine des technologies de l’information et de la communication à mettre au crédit de notre pays.

Se succéderont donc des personnalités du monde industriel et financier, de l’administration et du monde universitaire, s’étant réellement engagées pour faire triompher cet instrument qui se révélera bientôt incontournable dans notre vie quotidienne.

Ne seront pas oubliées les séquences qui auraient pu mettre un terme à cette aventure avec des témoins des combats de l’ombre menés par des acteurs concurrents ayant des appuis financiers et gouvernementaux considérables.

L’après-midi verra les représentants des grands acteurs du monde numérique nouveau nous éclairer sur la place que tiendra encore la carte à puce et sur ses nouvelles formes et fonctions tandis que nous interrogerons les garants de la sécurité des technologies de l’information ainsi que les gardiens de nos libertés sur le maintien des performances et des qualités intrinsèques qui ont fait le succès de cet outil de confiance universel.

Si ce programme vous tente, n’hésitez pas, nous serons heureux de vous accueillir dans le cadre somptueux de la Bibliothèque nationale de France à partir de 8h30 le 20 octobre. L’entrée est gratuite mais vous devez impérativement vous inscrire. Vous pourrez à l’occasion des pauses rendre visite à nos partenaires ainsi qu’à notre stand où vous seront communiquées toutes les informations dont vous pourriez avoir besoin. Enfin, mais ne le dites pas trop, le déjeuner vous sera offert.

Gal (2S) Jean Louis Desvignes, Président de l'ARCSI.

Jeudi26novembre2019

La confiance dans notre monde numérique peut-elle renaître ?

13es Rencontres de l'ARCSI

Le thème de la confiance dans les technologies du numérique a été régulièrement abordé lors de nos précédentes Rencontres. Pour cette 13e édition, nous nous proposons de réexaminer les raisons de la défiance qui s’est installée, sans hésiter à en rechercher des racines dans le passé, puis d’imaginer comment rebâtir la confiance au besoin en changeant radicalement les manières de l’instaurer.
Le passé nous révèle de grandes désillusions nées soit d’une méconnaissance des procédés de protection ou de la faiblesse de ceux-ci souvent jumelée à une sous-estimation de l’adversaire, soit de trahisons humaines imputables à une confiance accordée sur des bases difficilement opposables à la raison.

Les différents progrès enregistrés en cryptologie manuelle ou mécanique ont longtemps été handicapés par la nécessité de recourir à des assistants ayant accès aux éléments secrets du canal protégé (les clefs). Ces clercs (de confiance) pouvaient soit trahir comme Hans Thilo Schmidt, soit détourner à leur profit le moyen de communication protégé comme dans le cas du télégraphe de Chappe. L’avènement de moyens limitant la manipulation des clefs a repoussé les possibilités de compromission à un niveau plus élevé de la conception ou de l’utilisation des procédés. L’invention de la cryptologie à clef publique a semblé résoudre le problème en supprimant la nécessité d’un partage préalable de secrets.
Pourtant au fur et à mesure que de nouvelles technologies furent introduites dans la chaîne de confiance, apparurent de nouvelles vulnérabilités : ainsi l’électricité permit l’exploitation des parasites qu’elle engendrait, et l’informatique offrit un boulevard à la corruption tellement aisée des logiciels.

L’arrivée d’Internet aggrava les choses dans des proportions inimaginables. Livré au public sans le moindre souci de sécurité, il a vite montré ses faiblesses mais pas assez vite pour qu’on songe à ne pas le déployer. Pour faire face à ses lacunes furent développées des protections telles que les chiffreurs IP et les pare-feu tandis que toute l’informatique entrait dans l’ère des rustines qui s’empilent. Aujourd’hui en raison d’une part de ces tares congénitales aggravées par la mise sur le marché trop rapide de produits informatiques inachevés mais aussi de failles supplémentaires introduites par certaines agences étatiques, le monde est entré en cyber insécurité. Insensiblement, on s’est résigné à un état de fait qui aurait été jugé impardonnable et sanctionné pour tout autre secteur d’activité.

Certains responsables de la sécurité ont pris goût à cette lutte et oubliant parfois leur mission première - veiller à rendre difficile le contournement des protections - ils ont privilégié ce qui semblait donner un aspect opérationnel attrayant à leur métier en privilégiant le volet réactif (les cyber pompiers) à la prévention (la réalisation "d’outils bien nés"). Une course à l’échalote sans fin entre pirates et cyber SAMU toujours à la traîne s’est dès lors engagée.

Y a-t-il des raisons d’espérer ? Oui sans doute, en agissant dans plusieurs directions et dont certaines seront sans doute jugées utopiques. C’est tout le débat de ces 13es Rencontres.

Gal (2S) Jean Louis Desvignes, Président de l'ARCSI.

Jeudi8novembre2018

La cryptologie, de la grande guerre au post-quantique

12es Rencontres de l'ARCSI

Les hommes on le sait, sont particulièrement inventifs lorsqu'il s'agit de s'entretuer. Les guerres sont en effet à l'origine de multiples progrès techniques dont heureusement certains trouvent une utilité une fois la paix retrouvée. La Grande guerre, dont nous célébrons le centenaire de la fin, n'a pas échappé à la règle : dans le domaine de compétence de l'ARCSI, la cryptographie et certains moyens de télécommunication qu'elle est venue renforcer ont fait des bonds de géant. C'est ce que notre prochain colloque se propose de montrer.

Celui-ci est en effet pour l'ARCSI l'occasion de célébrer un double anniversaire : le centenaire de la victoire de 1918 à laquelle on le sait peu, les cryptologues ont pris une part déterminante, et les 90 ans de notre association constituée en 1928 précisément par ces héros de l'ombre, soit 10 ans après leurs succès et alors que la nécessaire discrétion qui avait entouré leurs exploits avait déjà cédé la place à l'oubli... D'autres pays et surtout d'autres responsables politiques avaient su reconnaître ce qu'ils devaient à ce qui était en train de devenir la science du secret. Ils surent, quand la terre trembla de nouveau, lui donner rapidement les moyens leur permettant de vaincre. Ainsi fit Churchill à Bletchley Park. D'autres sauront s'en servir pour assurer leur domination sur la planète comme Snowden a pu le révéler.

Mais c'est aussi durant cette guerre de 1914-1918, comme cela sera présenté, que les grands principes régissant les systèmes cryptographiques énoncés par Kerchoffs ont été vérifiés tandis qu'était inventé par Vernam le procédé du « masque jetable » ou des « clefs une fois », qu'apparurent les premières machines ENIGMA ou que fut mis en application le « saut de fréquence » inventé par Nicolas Tesla.

Et c'est parce que cette période peut être considérée comme le point de départ de la cryptographie moderne que ce colloque se propose également de passer en revue les évolutions que sont : l'industrialisation de la cryptanalyse qui va accélérer le développement de l'informatique,la compression des signaux vocaux utilisée dans le téléphone sécurisé de Roosevelt intégrée dans tous nos joujoux d'aujourd'hui,la véritable histoire de l'invention des systèmes à clé publique, l'engouement actuel pour les « blockchains » ou encore la crainte que suscitent aujourd'hui les performances de nouveaux algorithmes de factorisation sans parler des très attendus et redoutés ordinateurs quantiques.

Tout cela sera abordé au cours de ce colloque exceptionnel par des experts de très grand talent. Avec une envie commune pour les intervenants : sortir des sentiers battus.

Venez nombreux, l'ARCSI vous attend.

Gal (2S) Jean Louis Desvignes, Président de l'ARCSI.

Mardi7novembre2017

Messageries et systèmes de confiance

11es Rencontres de l'ARCSI

Quel monde numérique allons-nous laisser à nos enfants ? La cybersécurité est-elle un combat perdu pour la quasi-totalité de l'humanité ? Vos manières de vivre peuvent-elles s'adapter dans un monde sans sécurité numérique ? Un jour l'Internet peut-il tomber ? Sommes-nous bien armés ? Faut-il reconstruire un nouvel Internet de confiance ?


Depuis plusieurs années nous cherchons comment rétablir la confiance dans les technologies de l'information et de la communication. Les plus perspicaces avaient sonné l'alarme bien avant la fin du siècle dernier. L'enthousiasme échevelé de la fin des années quatre-vingt-dix avec les promesses d'un nirvana numérique balaya les réticences de ces Cassandre rabat-joie. L'éclatement de la bulle Internet au début du deuxième millénaire aurait dû provoquer une réflexion dépassant les enjeux économiques et les spéculations sur le monde virtuel. Mais l'effondrement des Twin Towers entraîna nos responsables politiques dans une obsession sécuritaire dont les grands acteurs du numérique profitèrent pour mettre la main sur la vie de leurs clients consommateurs en leur proposant sous une apparente gratuité des services dont ceux-ci n'auraient jamais osé rêver. Ces derniers remisèrent leurs revendications libertaires pour s'adonner aux joies de la servitude béate.

Les révélations d'Edward Snowden sont venues confirmer, au-delà des craintes des plus initiés, l'ampleur de l'outil d'espionnage institué par les états-Unis, mais aussi l'implication des GAFAs. Dans le même temps le monde découvrit d'une part que la cyber guerre avait commencé notamment avec les attaques israélo-américaines sur les centrifugeuses iraniennes mais d'autre part que ces deux puissances du numérique n'avaient pas su conserver le secret des armes qu'ils avaient mis au point pour ce faire. Il est d'ailleurs cocasse de voir que les états-Unis toujours prompts à tancer leurs Alliés de l'OTAN coupables de la moindre négligence en la matière se sont fait subtiliser allègrement des quantités incommensurables de secrets parmi les plus compromettants.

Face à ces turpitudes découvertes sous un gouvernement démocrate et un président jouissant d'une certaine aura, les réactions furent étonnamment modérées. L'attitude majoritaire fut la résignation d'autant que la foule des utilisateurs des services les plus avides de données personnelles n'entendait pas généralement être sevrée de leurs addictions numériques.

Depuis, les attaques de grande ampleur en déni de service ou en infection par rançongiciels sont légion comme le sont les fraudes financières à grande échelle ou les opérations de piratage des élections dans les grandes démocraties. Maintenant, le Monde retient son souffle dans l'attente de ce cyber cataclysme annoncé et dont les attaques récentes ne seraient qu'un hors-d'œuvre.

Sommes-nous condamnés à vivre dans cette perpétuelle angoisse numérique dans laquelle nous avons plongé par facilité, par recherche du profit à court terme, par négligence et/ou par incompétence ? Résolument non ! Des voix s'élèvent nous exhortant à rechercher des solutions alternatives tant en termes techniques que de gouvernance permettant un recouvrement de notre souveraineté individuelle et collective.

Certes il n'est pas question de remplacer à court terme l'Internet (que ses fondements en termes de sécurité auraient dû disqualifier dès l'origine) mais de s'en accommoder en apprivoisant ses tares et en exigeant enfin de ceux qui en tirent profit (outre les GAFAs, les pourvoyeurs d'applications, les producteurs d'objets connectés, et bien entendu les pourvoyeurs de sécurité) les garanties que nous avons pourtant l'habitude de recevoir de la part de tous les fournisseurs « normaux » d'objets ou de services.

Pour le plus long terme nous devons examiner, encourager et soutenir les solutions les plus susceptibles de nous offrir enfin un monde numérique réellement sûr et enrichissant pour tous. Ce sera après un point de situation sur les dernières vulnérabilités et menaces, l'objet de ces nouvelles rencontres de l'ARCSI.

Gal (2S) Jean Louis Desvignes, Président de l'ARCSI.


Mercredi16novembre2016

La dépendance numérique

10es Rencontres de l'ARCSI

C'est un lieu commun désormais que de dénoncer la progression de notre asservissement non seulement à tous ces écrans tactiles qui peu à peu se sont substitués à nos antiques téléphones dépourvus d'intelligence, mais également de plus en plus à ces innombrables objets connectés censés nous faciliter la vie.

D'un côté de nombreux gadgets électroniques nous sont d'ores et déjà présentés comme incontournables comme ces capteurs pour sportifs ou malades chroniques, de l'autre, des objets familiers vont se voir ou se voient déjà connectés à l'Internet d'office avec ou sans notre consentement, pour toutes sortes de raisons : maintenance, sécurité, assurances, mode, etc. Ainsi nos voitures, nos appareils électros ménagers et autres automates ou robots vont-ils bientôt se mettre à la recherche de nouveaux « amis » sur le net tout comme le font nos adolescents pianotant frénétiquement sur Facebook ou Instagram durant les cours.

Ce faisant, nous sommes en train de perdre insensiblement, par nécessité professionnelle, par facilité, par résignation ou par paresse intellectuelle le contrôle d'une grande partie de notre vie, en délaissant certaines facultés jadis cultivées par nos maîtres comme celle de mémoriser, et plus insidieusement celle de notre libre arbitre. Cette sorte d'addiction à la technologie nous place dans une situation d'extrême dépendance sur bien des plans. Et cela ne fait que commencer.

Gal (2S) Jean Louis Desvignes, Président de l'ARCSI.

Vendredi13novembre2015

Renseignement et Liberté Numériques

9es Rencontres de l'ARCSI

 Beaucoup de techniques nouvelles ont eu des conséquences que leurs inventeurs n'avaient pas envisagées, certaines si considérables qu'elles ont profondément bouleversé nos sociétés : l'électricité, la vapeur, la radio, l'énergie nucléaire, etc.

Cependant, il en est une qui se distingue par la rapidité de sa diffusion, sa portée et par ses effets aussi porteurs de progrès et d'espoir que générateurs de craintes et d'angoisses. L'informatique née de la lutte contre l'oppression nazie dans le Manoir de Bletcheley Park sous l'impulsion géniale de Turing, a en effet révolutionné nos sociétés par l'efficacité qu'elle a introduite dans la plupart des activités humaines. Mais la rapidité de son développement s'est, hélas, souvent traduite par une piètre qualité des produits qu'elle a engendrés. C'est ainsi que les états-Unis nous ont livré le réseau le plus structurellement insécurisé qui puisse être imaginé : l'Internet. Un cadeau très séduisant mais empoisonné fait à l'humanité. Certes des solutions fondées sur la « science du secret » auraient pu contribuer à rétablir une certaine confiance dans les échanges que ce réseau permet. Mais là, sous couvert d'assurer notre sécurité, les mêmes bienfaiteurs n'ont eu de cesse que de limiter voire d'annihiler l'efficacité de ces artefacts à grand renfort de portes dérobées les fameuses back doors...

Les attentats du 11 septembre 2001 ont en effet permis aux services américains de revendiquer des pouvoirs d'investigation exorbitants. Les révélations de Snowden nous dévoilent chaque semaine les incroyables programmes d'espionnage internes et externes des états-Unis. Mais curieusement c'est au moment où l'indignation gagne du terrain outre Atlantique, où les mouvements libertaires relèvent la tête et qu'on remplace le Patriot Act par le Freedom Act, que nos parlementaires eux adoptent, en dépit des mises en garde solennelles des personnalités et des instances juridiques les plus qualifiées, une des lois les plus liberticides jamais votée dans un pays démocratique. Quelques actes criminels, sans commune mesure avec ceux du 11 septembre américain, ont suffi à emporter l'adhésion des chambres, une majorité de Français s'étant exprimée, selon des sondages, pour plus de sécurité...

L'ARCSI qui se trouve compter dans ses rangs nombre de fonctionnaires issus des services de sécurité a toujours été attachée à l'efficacité de ceux-ci mais, tout aussi attachée au respect des principes sur lesquels repose notre démocratie, elle a souhaité se livrer à un ultime examen de cette loi sur le renseignement : les avantages qui en sont attendus mais aussi les risques et dangers que certains dénoncent et qui font encore débat, la presse juridique ayant décidé de l'attaquer devant la Cour européenne des Droits de l'Homme.

Pour cela L'ARCSI a réuni des acteurs parmi les plus éminents oeuvrant les uns à la protection des libertés individuelles et de la vie privée, les autres à la sécurité de notre pays, sans omettre un témoin célèbre victime d'abus de certaines agences de renseignement étrangères.

Ces rencontres loin de tout esprit polémique souhaitent au contraire éclairer sereinement un débat qui a trop souvent été passionnel car conduit dans un climat de peur irrationnelle.

Gal (2S) Jean Louis Desvignes, Président de l'ARCSI.



lundi24juin2015
Programmer un colloque sur ce thème au moment où les députés viennent d'adopter en première lecture la loi sur le renseignement peut sembler incongru dans un contexte où malgré les mises en gardes solennelles de nombreuses voix autorisées et d'organismes juridiques peu suspects d'irresponsabilité, les partisans de cette loi ont réussi à jouer de la peur du terrorisme pour offrir aux services de renseignement les instruments juridiques dont ceux-ci n'osaient même pas rêver.

Certes plusieurs responsables politiques subordonnent encore leur soutien à ce texte à l'adoption d'amendements sénatoriaux visant à renforcer le contrôle de ces dispositions d'exception mais il ne fait guère de doute que la majorité des Français étant prêts à sacrifier une liberté dont la plupart d'entre eux ne sont pas en mesure d'en apprécier la valeur à une sécurité qui restera pourtant illusoire, le texte le plus liberticide jamais proposé aux parlementaires d'une démocratie sera adopté.

Alors baroud d'honneur sans espoir ? Tout n'est peut-être pas dit. L'ARCSI qui le plus souvent s'est trouvée aux côtés des responsables en charge de préserver les intérêts supérieurs de la nation ne se reconnait pas vraiment dans cet arsenal insensé visant à recueillir un flot monstrueux de données sur une multitude de gens innocents alors que les faits ont montré que ce n'est pas un manque de renseignements sur les individus impliqués dans les événements récents mais un manque de suivi de ceux-ci et pour tout dire un manque de sérieux des services impliqués qui a permis leur passage à l'acte. On ne sait déjà pas traiter correctement ce que l'on sait mais on en demande davantage !

Mais le plus grave est ailleurs. Quand d'un côté on ne cesse de nous alerter sur la montée d'un mouvement politique n'ayant qu'un lointain rapport avec la démocratie et qui risque de s'emparer du pouvoir et de l'autre on s'ingénie à offrir à ce pouvoir totalitaire éventuel les instruments techniques et juridiques dont aucun dictateur n'a jamais disposé, il y a une contradiction incompréhensible. La seule et lamentable réponse d'un grand défenseur de cette loi étant : « eh bien il ne faudra pas voter pour eux ! »

Alors arrive l'argument incontournable : « mais vous acceptez bien Big brother quand c'est un géant privé tel Google, Face book ou Amazone qui vous ciblent et tracent avec encore plus de précision ! »

Eh bien non ! Si certains ont renoncé à se protéger et sont résignés par paresse ou je m'en foutisme à se prélasser dans les délices du e-confort béat d'autres ont entrepris de résister et c'est dans ce combat qu'ils attendent au contraire le soutien de leur État et non pas une collusion telle qu'elle a pu être observée outre Atlantique et parfois chez nous.

Alors si vous avez envie de réagir dans un sens ou dans un autre venez participer à ces rencontres au cours desquelles se confronteront différents points de vue techniques juridiques sociologiques, agrémentés de témoignages de grands noms victimes de cette incroyable surveillance...

Gal (2S) Jean Louis Desvignes, Président de l'ARCSI.

Vendredi13juin2014

Sécurité de l'Information

8es Rencontres de l'ARCSI

  • Après les révélations d'Edouard Snowden sur la surveillance planétaire des communications orchestrée par les États-Unis dans l'affaire PRISM;
  • Après les multiples attaques et arnaques informatiques de grande ampleur, mettant en péril des pans entiers de l'économie;
  • Après les sanctions lourdes de sens infligées à un célèbre moteur de recherche par la CNIL (Commission Nationale Informatique et Liberté)
Quelle confiance accorder à nos outils de communication (ordinateurs, téléphones, tablettes) devenus aussi indispensables qu'addictifs ?

Pour répondre à cette question cruciale pour un développement harmonieux et serein de la numérisation de notre société, l'ARCSI a souhaité interroger les plus éminents spécialistes ainsi que de hauts responsables de l'Administration.

Gal (2S) Jean Louis Desvignes, Président de l'ARCSI.




lundi26mai2014

Après les révélations d'Edward Snowden,
indignation et/ou résignation ?


Si l'ARCSI est longtemps restée l'une des seules, sinon la seule association à se préoccuper des questions de sécurité de l'information, cela n'est plus le cas aujourd'hui et c'est peu de le dire. En témoignent les multiples colloques, forums, cercles et média spécialisés et qui se sont lancés depuis quelques années sur ce créneau devenu porteur après avoir été négligé voire méprisé par nos élites. Les révélations d'Edward Snowden, ce contractuel sous-traitant de la NSA qui a étalé sur la place publique les us et coutumes de la puissante agence de sécurité pour laquelle il travaillait, ne sont pas étrangères à ce subit engouement pour la chose cybernétique. Considéré comme un héros par les uns, comme un traître et le pire espion de tous les temps par d'autres, il a réussi là où des générations d'agents, d'experts, de hauts responsables de la sécurité des systèmes d'information avaient échoué : sensibiliser les foules aux vulnérabilités et menaces pesant sur les technologies de l'information et de la communication.

De fait, nul désormais ne peut plus échapper à cette question : qui m'écoute quand je crois communiquer depuis mon smar tphone avec mon conseiller fiscal ou la meilleure amie de mon épouse ? Vers quel destinataire non prévu vont mes messages professionnels sensibles ? À qui profite ce logiciel malicieux tapi dans mon ordinateur et qui rapporte à son maître tout ce que je consulte ou produis ?

À ces révélations s'ajoutent presque quotidiennement d'autres nouvelles alarmantes : tel opérateur, telle enseigne réputée, telle banque, tel organisme gouvernemental aurait été victime d'une attaque massive à but frauduleux, politique ou stratégique. Enfin régulièrement nous est prédite une grande catastrophe, un Tchernobyl informatique provoqué par une organisation criminelle ou quelque État voyou disposant des compétences malveillantes désormais commercialisées.

De toute cette effervescence anxiogène est né un sentiment de défiance généralisé envers les TIC, envers les éditeurs, les opérateurs et fournisseurs de service suspectés de collusion avec les services de renseignement et de sécurité des États. Même de grands noms du monde de la recherche ont dû se justifier et se démarquer de ces pratiques après avoir largement vécu des subsides généreusement distribués par les agences incriminées.

Après les révélations d'Edward Snowden, indignation et/ou résignation ? Face à cette agitation deux attitudes sont observables.

Une indignation feinte ou sincère

- une indignation affichée par des politiques furieux de figurer dans la liste des cibles américaines, à une place plus qu'honorable, où ils côtoient des dictateurs et ennemis des États-Unis. Des politiques qui pourtant, à leur niveau et en fonction des moyens dont ils disposent s'adonnent eux-mêmes parfois goulûment à ce sport qu'est devenue l'investigation technique des communications. Quelques cyniques font semblant de s'indigner face aux récentes révélations comme d'autres l'avaient fait plus naïvement en découvrant ECHELON à la fin des années 90. Il s'en était suivi l'abandon de la politique de contrôle transparente et démocratique de la cryptologie par le gouvernement français en 1999 qui a fourni au directeur de la NSA le prétexte pour se tourner résolument vers la politique des « backdoors » mises en place par connivence avec les firmes informatiques qui n'en attendaient pas tant : aux failles endémiques polluant déjà leurs produits, ils en ont ajouté de nouvelles à la demande du gouvernement américain. C'est d'ailleurs l'un des principaux reproches qu'on peut faire à celui-ci : avoir interdit pour longtemps le développement d'une informatique de confiance.

- l'indignation a finalement gagné ces grandes firmes principalement américaines qui commencent à réaliser que leur image peut être entachée par cette aide aux pratiques d'espionnage tous azimuts ou d'atteinte à la vie privée et leur faire perdre des parts de marché.

- cette indignation est naturellement répandue par les médias spécialisés qui voient là une rente de situation tandis que d'autres y voient une atteinte intolérable à la préservation de leurs sources.

- quant au public qui devrait s'indigner le plus légitimement, sans doute par lassitude, il a tendance à se désintéresser du scandale. En France, en effet, après les affaires qui ont défrayé la chronique, tout le monde semblant écouter tout le monde, le recours à ces pratiques, hélas, n'offusque plus grand monde.

Et c'est ainsi qu'émerge une deuxième attitude : la résignation

La résignation face à l'ampleur des dégâts et l'impuissance dans laquelle notre pays se trouve en matière de dépendance technologique. Il est vrai que la France qui avait, il y a peu, des atouts considérables non seulement en matière de télécommunications et d'informatique mais aussi de sécurité (la carte à puce n'est-elle pas avant tout un produit de sécurité ?) a peu à peu laissé le champ libre aux pays asiatiques et aux États-Unis. Merci à ces PDG clairvoyants qui ont offert notre outil industriel en pâture. Certes il est toujours possible de bâtir des forteresses sur un terrain miné mais à quel coût ? Contraints de nous procurer désormais la plupart des briques de bases à l'étranger nous devons suspecter chacune d'elles de comporter des failles et devons déployer des efforts colossaux en matière d'architecture notamment pour nous garantir contre ces portes dérobées potentielles. Alors la tentation est grande pour une entreprise qui ne considère pas qu'elle constitue un enjeu colossal de faire l'impasse sur la sécurité et de s'en remettre au destin...

Mais il est une autre résignation qui de mon point de vue est plus importante encore, c'est celle de ces « honnêtes gens » qui face à ces pratiques d'espionnage généralisé, que celui-ci soit d'origine étrangère ou d'origine nationale, se réfugient derrière cette réaction mille fois entendue : « moi je m'en fiche, on peut bien m'écouter, je n'ai rien à cacher ! ».
Erreur funeste : d'abord nous avons tous quelque chose si ce n'est à cacher du moins à ne pas divulguer et nous avons tous parmi nos connaissances quelqu'un qui a besoin de se protéger. L'ancien président de la CNIL, Alex Türk, a souvent dénoncé cette forme de démission notamment de la part des jeunes qui ne voient pas toujours l'intérêt de protéger leurs données personnelles ni leur vie privée. Ensuite c'est surtout en pensant à d'autres temps plus sombres qu'il convient de se protéger contre ces formes d'investigation. Ne laissons pas se forger des outils pouvant tomber en des mains de personnages n'ayant pas le même sens que nous de la démocratie. L'actualité est là pour nous inciter à la vigilance. Peut-être est-il déjà trop tard ? À y regarder de près, sans doute les terroristes du 11 septembre 2001 ont-ils d'ores et déjà gagné : nos nations occidentales obnubilées par les questions de sécurité sont-elles encore des démocraties ? Dès lors que nous autorisons les forces de sécurité à se doter d'outils à l'usage difficilement contrôlable pour venir scruter le contenu de nos ordinateurs et autres équipements connectés, c'est-à-dire aujourd'hui des prothèses de notre cerveau n'abandonnons-nous pas toute maîtrise de notre vie, voire de notre pensée ?

Il est donc grand temps de réagir et nous en avons les moyens.

Au plan technique, nous avons heureusement encore quelques champions capables de produire les solutions matérielles et logicielles susceptibles de nous mettre à l'abri des principales vulnérabilités. En l'absence d'infrastructures sécurisées pour de nombreuses années encore, c'est-à-dire un nouveau protocole d'interconnexion en remplacement de ce piètre « IP » conçu sans la moindre préoccupation sécuritaire, nous sommes condamnés à nous concentrer sur la protection des données durant leur stockage et leur traitement et à veiller à les faire voyager en wagons blindés c'est-à-dire chiffrées avec des moyens dûment évalués et labellisés. Ce qui représente un coût et souvent des contraintes. Encore faut-il que les dirigeants d'entreprise et d'organismes étatiques importants soient convaincus de la nécessité de se protéger. Si les PDG des entreprises qui viennent de subir de graves attaques ne sont plus à convaincre, combien espèrent encore passer à travers les gouttes ? C'est surtout au niveau des PME que le danger est grand. En effet bien souvent nos PME les plus sensibles sont des « Start-up » innovantes dont les patrons sont tout à la fois porteurs de l'idée originale, manager, responsable du personnel, directeur financier, directeur du développement, etc. Comment pourraient-ils être également au top en matière de sécurité de l'information surtout s'ils n'ont pas été initiés à des pratiques vertueuses durant leur formation ? Or, livrer son entreprise à l'appétit de prédateurs n'est pas une fatalité pour peu que l'on applique quelques règles qualifiées par l'ANSSI « d'hygiène informatique ». Les investissements plus coûteux en matière de protection ne doivent venir qu'après une analyse rigoureuse du risque et se traduire par un recours à des solutions réellement efficaces.

Les truands et criminels de tous bords, essentiellement par appât du gain, se livrent à toutes les formes de détournement des technologies de l'information. Au plan juridique si nous devons être armés, et je crois que nous le sommes, contre ce type de délinquance nous devons aussi être conscients de la difficulté de contrôler l'usage des armes de cyber sécurité censées aider à les démasquer. Nous devons donc veiller à ce que ceux qui élaborent les lois touchant à la sécurité de notre vie quotidienne soient sensibilisés à cette difficulté et n'accèdent pas aveuglément aux doléances et exigences des forces de sécurité toujours plus avides en la matière. Veillons également à ne pas déléguer au secteur privé des tâches régaliennes, l'exemple de l'habilitation extravagante d'Edward Snowden est là pour nous le rappeler. Or nous avons déjà mis le doigt dans l'engrenage avec l'HADOPI, celle-ci confiant à une entreprise privée le soin de venir espionner nos téléchargements illégaux éventuels. Dans une certaine mesure les systèmes chargés de recueillir l'écotaxe pourraient être concernés également. Dans ma grande naïveté je pensais que tous ces portiques truffés de caméras sophistiquées devaient être à double usage : le contrôle des véhicules de transport bien entendu mais aussi une capacité d'appoint en vidéo pour les forces de sécurité ; comme en Angleterre ce grand pays démocratique qui a transformé son système de vidéo à but écologique en système de flicage. Vu le recul observé par le gouvernement sans doute étais-je dans l'erreur...
J'espère ne pas lui avoir donné une mauvaise idée...

En tout état de cause, la proportionnalité entre les moyens mis à la disposition de la Justice et des forces de police et les menaces auxquelles celles-ci doivent faire face doit demeurer la règle.

Mais tant au plan technique que juridique, seuls, nous ne pouvons rien faire d'efficace. Seules des actions conduites internationalement cherchant autant que faire se peut à éliminer toute forme d'hégémonie technique, juridique ou culturelle peuvent avoir une chance de réussir. Nous devons impérativement rechercher une coopération aussi large que possible au besoin en commençant par une relation privilégiée avec un pays présentant des similitudes avec le nôtre. À cet égard l'Allemagne avec qui nous coopérons déjà étroitement serait certainement le meilleur partenaire pour tenter de reconstruire sinon un système complet du moins les composants essentiels d'un système dans lequel la cyber confiance pourrait revenir. C'est en tout cas le vœu que je formule.

Gal (2S) Jean Louis Desvignes, Président de l'ARCSI.

lundi3septembre2012

Présentation de l'Association des Réservistes du Chiffre et de la Sécurité de l'information (ARCSI).1



L'ARCSI est une vieille dame âgée de 83 ans. Pourtant en dépit de cet âge respectable, sa population s'est considérablement rajeunie et fait preuve d'un dynamisme remarqué.

A l'origine, il s'agissait d'une amicale des officiers de réserve employés au service du chiffre parmi lesquels figuraient les orfèvres de la cryptographie qui avaient largement contribué à la victoire lors de la Grande Guerre mais dont les exploits étaient restés le plus souvent occultés, d'abord pour ne pas révéler à l'adversaire qu'on lisait ses dépêches et ainsi maintenir un avantage chèrement acquis ensuite, faut-il l'avouer, pour ne pas ternir le mérite de nos grands stratèges. Le plus célèbre de nos cryptologues fut le capitaine Georges Painvain sorti major de l'X et qui tout au long du conflit sut entretenir au profit de l'Etat-major une intimité très profitable (et heureusement non partagée) avec la messagerie de l'ennemi. Son plus bel exploit fut de casser le chiffre allemand qui venait d'être modifié juste avant la dernière grande offensive que l'ennemi préparait au printemps 1918. L'incertitude sur le lieu et la direction de celle-ci rendait le haut commandement allié fébrile. Painvin, au terme d'un travail acharné, leva le doute en permettant le décryptement d'un message logistique qui décida le général Mangin de lancer sa contre-offensive victorieuse. La deuxième Bataille de la Marne était gagnée. Dès lors l'initiative et les offensives allaient changer de camp jusqu'à la victoire finale. « A elle-seule la petite équipe du chiffre avait pesé plus qu'un corps d'armée » ! Cette déclaration que certains attribuent à Clémenceau lui-même, explique la discrétion qui entoura l'exploit... De la discrétion à l'oubli il n'y a hélas qu'un pas et les enseignements de cette guerre ne furent que très partiellement exploités. Toujours est-il que les artisans de ce succès décidèrent de continuer à se réunir afin de perpétuer l'esprit qui les avait animés estimant que la République tôt ou tard ne tarderait pas à faire appel à leurs services.

L'amicale se transforma en Association des Réservistes du Chiffre(ARC) et s'ouvrit à d'autres catégories de chiffreurs, le chiffre étant naturellement en plein essor du fait notamment du développement des communications radio électriques.

Au fil du temps l'association accueillit ainsi les exploitants du chiffre pour la plupart des sous-officiers, masculins et féminins, des différentes armées, mais aussi les chiffreurs (souvent d'anciens sous-officiers) du ministère des Affaires étrangères et du ministère de l'Intérieur.

La théorisation de la cryptologie et son industrialisation amena à accueillir également les concepteurs de systèmes cryptographiques qu'ils soient de l'université ou des firmes réalisant les produits de sécurité.

Une évolution importante intervint au milieu des années 80 lorsque fut clairement perçue la nécessité d'intégrer la problématique introduite par les automates programmables traitant parfois des informations confidentielles autrement dit, les ordinateurs. C'est d'ailleurs en 1986 que fut bâtie la nouvelle organisation autour de la notion plus globale de « sécurité des systèmes d'information ». Rappelons que dans le même temps, l'Agence de l'OTAN pour la sécurité des communications (ACSA)2 prit un deuxième C pour prendre en compte les « Computers » tandis que l'agence d'évaluation de l'OTAN, SECAN, située dans les locaux de la célèbre National Security Agency (NSA) s'efforçait d'étendre également son mandat à la sécurité informatique.

L'ARC ne pouvait pas ne pas prendre ce virage et devint quelques années plus tard L'ARCSI. Ce qui ne se fit pas sans quelques récriminations de la part des purs chiffreurs... mais ainsi va la vie.

Plus récemment la question fut posée de changer d'appellation, certains trouvant que le terme de « réservistes » faisait un peu ringard ! Après délibération il fut décidé à la fois par fidélité à nos anciens mais aussi parce que la nouvelle Réserve venait, avec la professionnalisation de nos armées, de redorer son blason, de la conserver. De fait l'ARCSI justifie parfaitement son nom car elle constitue aujourd'hui un véritable réservoir de compétences pouvant être mis à la disposition du pays. Au demeurant certains de ses membres sont à la fois officiers de réserve et experts en SSI. Il est de plus envisagé de proposer à certains de ses adhérents de bénéficier du statut de la « réserve citoyenne ».

L'ARCSI accueille de plus en plus de jeunes talents de très diverses origines. Les critères d'adhésion se sont considérablement assouplis et si jadis seuls des personnes travaillant ou ayant travaillé au service de l'Etat étaient admises, aujourd'hui cette notion s'est étendue à tous ceux qui d'une manière ou d'une autre contribuent à la préservation du patrimoine informationnel de notre pays. Mieux, notre association depuis peu s'est internationalisée et compte parmi ses adhérents deux citoyens américains dont l'historien de la cryptologie mondialement connu, David Kahn3, deux citoyens belges dont le non moins célèbre professeur Jean-Jacques Quisquater4 et un citoyen espagnol.

L'ARCSI organise régulièrement des colloques de haute tenue ouverts au public et ayant toujours un grand retentissement de par la qualité des intervenants qui s'y expriment. Elle veille à travers une liste de diffusion et à travers un bulletin, à entretenir les connaissances de ses membres dans des domaines en évolution constante. Et des évolutions, les spécialistes en ont connues beaucoup.

D'abord il y eu les progrès liés à la conceptualisation mathématique des techniques de chiffrement : c'est ainsi que dès le XIX ème siècle Kerckhoffs émettait ses principes, toujours d'actualité. Parmi ceux-ci : un bon procédé de chiffrement doit être mathématiquement indécryptable, il doit pouvoir être perdu et le secret ne doit reposer que sur les clefs au demeurant facilement mémorisables.

La plupart des évolutions technologiques, par exemple le recours à l'électricité qui permit de réaliser des machines à chiffrer (des cryptographes) rapides et fiables ne ralentissant plus l'acheminement des dépêches introduisit a contrario de nouvelles vulnérabilités. Ainsi l'électro-mécanisation conduisit au phénomène des signaux parasites compromettants qui causa de graves déboires dans nos ambassades dans les années 70. Celui-ci dut être contré à grands frais par la « tempestisation5 » des équipements et/ou des installations. Evidemment cette fuite insidieuse d'informations que l'on croyait protégées par le chiffre se retrouvait aussi bien dans une simple machine à écrire que dans les systèmes informatiques.

Or, cette menace était à peine prise en compte qu'une autre commença à faire des ravages lorsque les informaticiens s'avisèrent de faire communiquer entre elles leurs précieuses machines. La mise en réseau allait ouvrir la possibilité de conduire des attaques à distance en utilisant au besoin toutes les failles détectées sur des ordinateurs intermédiaires. Un virus introduit sur une machine isolée c'était amusant, mais un virus qui se propageait et se reproduisait était infiniment plus rigolo...

Même si celles-ci n'ont pas disparu, on est loin des compromissions dues aux erreurs de manipulation des opérateurs de CX52, TAREC, et autre TM32 quand les menaces actuelles qui pèsent sur nos systèmes d'information s'appellent STUXNET ou FLAME, ces virus redoutables capables de neutraliser voire de détruire des systèmes automatisés qu'il s'agisse de systèmes de messagerie ou de systèmes de pilotage industriels (SCADA) comme les Iraniens ont pu le constater à leurs dépens lorsque furent détruites les centrifugeuses de leur programme nucléaire. Le plus troublant est d'apprendre que ces virus datent de plusieurs années et ont pu sévir autrement que par des actions de destruction. Aux « espions dormants » de la guerre froide ont succédé des logiciels malveillants parfaitement dissimulé et difficilement détectables. Les exploits de Bletcheley Park ont été révélés quelque 30 ans après la guerre. Qu'apprendrons-nous dans quelques années sur l'herméticité réelle de nos propres systèmes d'aujourd'hui ?

Si la cryptologie apparait désormais comme une technique parmi d'autres concourant à la sécurité des systèmes d'information, elle n'a rien perdu de son importance et s'est au contraire immiscée sans qu'on s'en aperçoive dans notre vie quotidienne. Qui en effet a conscience de mettre en œuvre plusieurs fois par jour des algorithmes cryptographiques sophistiqués ? Que ce soit pour payer un achat sur Internet, retirer de l'argent dans un distributeur, régler son ordonnance chez le Pharmacien après une visite chez son médecin, remplir sa déclaration d'impôts, ouvrir les portes de sa voiture, et bientôt consulter sa consommation d'énergie... Les applications qui ont recours à la cryptologie sont sans cesse plus nombreuses.

C'est pourquoi l'ARCSI, dont le rôle est aussi de conserver le patrimoine historique que lui ont légué les générations précédentes, a décidé de monter, en s'appuyant sur les compétences du Musée de tradition de l'arme des Transmissions, une exposition sur cette science du secret dont l'origine remonte à l'antiquité. L'un des objectifs principaux de cette exposition est de montrer, à travers les exemples les plus frappants, à quel point la cryptologie a joué un rôle important dans l'Histoire et plus particulièrement au cours des derniers conflits. Certaines leçons de l'Histoire n'ont pourtant pas été retenues. Ainsi fin 2010, nous apprenions que, faute d'une protection efficace, les images du théâtre afghan transmises par les drones américains étaient regardées en temps réel par... les Talibans,! Et plus récemment l'ancien chef d'état-major des armées des Etats-Unis reconnaissait que le F35, joyau de l'aviation américaine, était vulnérable à des opérations de cyber-guerre...

Heureusement, de telles erreurs sont absolument impossibles en France...


1 Site: www arcsi.fr
2 ACSA : Allied Communications Security Agency; ACCSA : idem... and Computers... idem.
3 David Kahn auteur notamment en 1967 du best seller : The Codebreakers.
4 Jean-Jacques Quisquater : professeur à l'université de Louvain, auteur de nombreux ouvrages et de brevets sur la sécurité des cartes à puce dans laquelle il a réussi à introduire une cryptologie forte.
5 Tempestisation : opération visant à rendre les équipements conformes à la norme TEMPEST de l'OTAN en ayant recours le plus souvent à des techniques de blindage et de filtrage ou encore à les contenir dans une cage de Faraday.

samedi28août2010

Pourquoi ouvrir un site WEB ?



L'ARCSI a fêté ses 80 ans en 2008. En 80 ans, la matière qui est à son origine et qui rassemble ses membres - le chiffre - s'est considérablement développée et se retrouve aujourd'hui dans une multitude d'applications. Domaine à l'origine strictement confidentiel au double sens du terme, c'est-à-dire à la fois caractérisé par le secret et par le nombre restreint des personnes initiées qui s'en occupaient, la cryptologie a en effet envahi notre vie quotidienne sans même que nous nous en rendions compte. Des procédés qui autrefois protégeaient les correspondances de nos princes entrent aujourd'hui dans les mécanismes concourant à la sécurité des transactions électroniques de toute nature et constituent souvent la pierre angulaire de ce qu'il est convenu d'appeler « la sécurité des systèmes d'information ».

L'ARCSI qui, à l'origine, n'était qu'une amicale des réservistes du chiffre (elle s'appelait alors ARC) et ne rassemblait alors qu'une petite élite de spécialistes militaires, s'est donc naturellement et progressivement ouverte à une population plus nombreuse et plus diversifiée. Longtemps couverte par le secret de défense la liste de ses membres s'est allongée et comprend aujourd'hui nombre d'hommes et de femmes &œlig;uvrant ou ayant &œlig;uvré non pas seulement dans des organismes gouvernementaux mais également dans l'industrie, les banques, l'enseignement etc.

Aujourd'hui d'autres associations commerciales ou à but non lucratif ont vu le jour et regroupent des spécialistes de la sécurisation des technologies de l'information et de la communication. De nombreuses revues ont été créées et de multiples forums, salons et autres symposiums se tiennent qui traitent de ce sujet devenu particulièrement important. Les médias généralistes abordent régulièrement ces questions qu'il s'agisse de nous faire peur ou de nous rassurer sur les turpitudes des hackers videurs de comptes bancaires ou des terroristes du cyberespace. Des élus ont commis des rapports alertant le gouvernement sur l'importance des enjeux liés à la maîtrise de nos systèmes d'information et récemment le livre blanc sur la défense et la sécurité lui-même a mis l'accent sur ce nouveau volet de la défense des intérêts vitaux de notre pays. Bref, le domaine s'est largement vulgarisé et la problématique de la sécurité des informations concerne aujourd'hui tout un chacun.

Face à l'ampleur du besoin d'information que requiert aujourd'hui notre société extrêmement dépendante de ces technologies il a semblé aux responsables de l'ARCSI qu'il était temps d'ouvrir ses portes plus largement et de permettre au public d'accéder à la fois à la connaissance de son patrimoine documentaire et à la réflexion de notre communauté au gré de l'actualité mais aussi le cas échéant de participer à l'enrichissement de ce patrimoine et de cette réflexion. Le patrimoine peut en effet aider à mieux comprendre les enjeux que recèlent ces techniques au nom barbare qui pendant longtemps ont effrayé, voire rebuté nos hauts responsables militaires et gouvernementaux, et qui ont souvent causé la perte de ceux qui en avaient négligé les règles. Les échanges sont sources de meilleure compréhension et de meilleure appréhension des problèmes auxquels se heurtent ceux qui sont en prise directe sur les affaires de notre pays.

C'est pourquoi l'ARCSI a décidé d'ouvrir son site WEB à tous. Dans un premier temps ce site sera ouvert à titre expérimental pour mesurer l'intérêt d'une telle initiative. Ce portail unique ARCSI.FR comportera également un espace à accès restreint aux membres de l'association.

Le but de cet outil actuel de communication est, dans le respect des statuts de l'association :
  • De porter à la connaissance du grand public un certain nombre d'articles du bulletin annuel de l'ARCSI depuis les plus anciens jusqu'aux plus récents parmi ceux qui paraissent les plus intéressants d'un point de vue technique ou historique ;
  • De rendre accessible à tous les membres de l'ARCSI le patrimoine informationnel de l'association stocké sous format papier dans les locaux d'archives et de leur permettre le suivi en temps réel de l'activité interne de l'association ;
  • D'annoncer les projets et actions de l'ARCSI, soit publics, soit privés et de publier les contenus de ses colloques, ses autres manifestations et ses échanges avec d'autres associations françaises ou étrangères ;
  • De permettre l'enregistrement en ligne des participants à ses différents événements associatifs ou consacrés au Chiffre et à la Sécurité de l'Information.
La mise en ligne des contenus sur le site ARCSI se fera sous le contrôle de nos modérateurs, ceux-ci n'intervenant que pour éviter les transgressions flagrantes aux règles de déontologie qui siéent à un site de cette nature.



 
spacer
Jean-Louis Desvignes
spacer
Le Président
Jean-Louis Desvignes
Partie réservée
aux membres
Bulletins, albums photos,
AG, dîners annuels, etc.
+
version numérique des
magazines MISC,
GSMag et L'1FO-CR