Le premier Symposium sur la Sécurité des Technologies de l’Information et de la Communication (SSTIC) se tient à Rennes du 10 au 12 juin. Il confirme un tournant dans la perception, en France, du débat sur la sécurité informatique.
Cryptographie, pots de miel, guerre de l’information, "spywares" dans Windows XP, firewalls personnels, détection d’intrusions, sécurité des réseaux sans fil, etc. A travers les débats qu’il propose, le SSTIC apparaît comme la première conférence "sérieuse" à avoir lieu en France sur les questions liées à la sécurité des réseaux. Le SSTIC va en tout cas beaucoup plus loin que les habituels salons professionnels, dont l’enjeu se limite souvent à la promotion de tel ou tel système de protection.
Présenté comme une "conférence scientifique qui réunira parmi les plus grands experts français en sécurité informatique", le SSTIC a été mis en place en partenariat avec le Commissariat à l’énergie atomique (CEA), l’École supérieure et d’Application des Transmissions (ESAT), Supélec, Cartel Sécurité et le magazine MISC.
MISC a été lancé en janvier 2002 sous l’impulsion de Frédéric Raynal, suite au succès d’un numéro de Linux Magazine consacré à la sécurité. MISC ("Multi-systems & Internet Security Cookbook") se targue de ne publier que des articles "écrits par des experts dont la sécurité est le métier".
Jusqu’alors, exception faite de Pirates Mag’, émanation d’ACBM (le seul éditeur de presse informatique indépendant), les autres publications consacrées à la sécurité des systèmes d’information reflétaient une image pour le moins caricaturale de la question.
Généralement associée au piratage informatique, la sécurité informatique est souvent réduite en France aux seuls problèmes de virus informatiques, de "script kiddies" (pirates en herbe) ou d’espionnage technologique. Une approche souvent sentionnaliste qui laisse de côté les problèmes fondamentaux.
Hackers et militaires
Forts du sérieux de leurs contributeurs, MISC et le SSTIC tentent de relever le niveau.
Les "hackers" (notion intraduisible qui désigne les experts en sécurité informatique) sont souvent confondus avec les "pirates informatiques". En France, les hackers ne sont pas considérés comme des interlocuteurs "présentables". Aux Etats-Unis, ou en Allemagne, ils sont au contraire des acteurs à part entière de la vie politique lorsqu’il est question des libertés en matière de nouvelles technologies de la communication.
Aux Etats-Unis, la liberté d’utiliser des outils de cryptographie a fait l’objet d’une âpre bataille juridico-médiatique au mileu des années 90. Mais en France, il a fallu attendre 1999 pour qu’un cadre légal soit défini. Et le débat n’a guère trouvé d’écho auprès des médias.
S’il existe des hackers en France, personne ou presque n’ose s’y définir comme tel. Contrairement à leurs homologues américains, les hackers français se gardent bien de prendre part aux débats sur les projets de lois qui encadrent les libertés informatiques. Le rôle prépondérant de l’armée française dans le secteur, qui emploie directement ou indirectement nombre de professionnels de la sécurité des réseaux, y est probablement pour beaucoup.
Le SSTIC, qui devait initialement avoir lieu à l’ESAT (le plan Vigipirate l’a déplacé au campus de Supélec Rennes, situé à deux pas d’une caserne), est d’ailleurs clairement associé aux militaires.
Aujourd’hui, le général Jean-Louis Desvignes, ancien chef du service central de la sécurité des systèmes d’information et actuel commandant de l’ESAT, sera le premier à prendre la parole. Son allocution sera suivie d’un exposé sur la cryptanalyse (la science des "briseurs de code") présenté par Eric Filiol, chef du laboratoire de virologie et de cryptologie de l’ESAT. On attend aussi les interventions d’ingénieurs qui officient à la Direction centrale de la sécurité des systèmes d’information (DCSSI) ou au Centre d’électronique de l’armement (CELAR).