Lors de son intervention au cours du premier Symposium sur la sécurité des technologies de l’information et de la communication (SSTIC - Lire : Sécurité informatique : enfin un colloque "sérieux" en France) qui s’est tenu du 10 au 12 juin à Rennes, le général Jean-Louis Desvignes, ancien chef du service central de la sécurité des systèmes d’information et actuel commandant de l’Ecole supérieure et d’application des transmissions (l’ESAT, chargée de former les informaticiens de l’armée), a fait part de ses inquiétudes face à la tendance que suivent certaines technologies de l’information. Il a notamment évoqué la restriction du périmètre de la vie privée, le besoin de recourir plus massivement aux logiciels libres, ainsi que les erreurs commises par l’Etat français en matière de cryptologie.

"Le périmètre de notre vie privée s’est rétréci comme peau de chagrin, davantage encore depuis le 11 septembre 2001, et ce n’est pas fini", a délaré le général Jean-Louis Desvignes, lors de l’ouverture du symposium. Pour appuyer son propos sur l’ensemble des technologies aujourd’hui mises en place pour nous surveiller, il a brandi une caricature -de son cru- montrant un représentant des forces de l’ordre demandant à un petit vieux "Qui c’est cette Loana à qui tu as offert une montre Cartier de 9350 euros le 23/12/02 à 15h43 (... ) ?", avec ce commentaire sans appel : "Alzheimer peut bien frapper, nous sommes protégés, notre mémoire est externalisée !"

Levée de boucliers

Concernant les abus de certaines technologies en matière d’intrusion dans nos vies privées, il a souligné le rôle important de la Commission nationale informatique et libertés (Cnil). "Souvent décriée pour les contraintes qu’elle impose à tous les concepteurs de systèmes informatisés, elle est aussi notre rempart", a-t-il déclaré. Un rempart dont les membres doivent exercer leur vigilance sans relâche. "J’ai personnellement toujours la crainte de changements pouvant survenir à la suite d’une grave crise. Changements qui nous replaceraient dans une situation telle que celle qu’ont connue nos pères. Je préfère qu’on ne facilite par trop la tâche à ceux qui n’auraient pas la même conception que nous de la démocratie".

Jean-Louis Desvignes a aussi fait part de son inquiétude face à l’arrrivée des futures techniques "anti-piratages" signées par les poids lourds américains Microsoft et Intel.

Rappelant que le projet de tatouage des microprocesseurs par un identifiant unique avait finalement été abandonné par Intel suite à "une levée de boucliers des mouvements libertaires", le général constate que, depuis le 11 septembre, le procès antitrust contre Microsoft s’est soldé par un "deal" et que "le gendarme du monde ne s’embarrasse plus de scrupules pour assurer sa sécurité".

C’est dans ce contexte que se profile l’arrivée de nouvelles techniques destinées à lutter contre le piratage sous toutes ses formes, qui visent à contrôler l’utilisation des PC. Parmi ces techniques, les nouvelles puces "Fritz" et le projet d’"alliance pour une informatique de confiance" (Trusted Computing Platform Alliance, en VO), développé par Intel et couplé au logiciel Palladium de Microsoft (logiciel que Microsoft veut incorporer dans les futures versions de Windows et qui s’intallera dans les futures machines TCPA).

S’appuyant sur l’analyse de Ross Anderson, universitaire anglais mondialement réputé pour ses compétences en matière de sécurité informatique, Jean-Louis Desvignes souligne que "les conséquences de ces innovations peuvent être extrêmement lourdes, autant en termes économiques qu’en termes de souveraineté des Etats ou de libertés individuelles".

Motif supplémentaire d’inquiétude pour le général : les prises de participation dans Gemplus (lire Les sénateurs communistes demandent une enquête parlementaire sur Gemplus) et les transferts de brevets probablement que cela pourrait entrainer pourraient, avec le déploiement de l’architecture TCPA/Palladium, assécher le marché de la carte à puce, qu’il considère comme "l’élément qui a le meilleur rapport coût/efficacité" en matière de sécurité.

Ironie de l’histoire : alors que les Américains ont longtemps dénigré cette technologie, la National Security Agency (NSA) avait appelé le général à l’aide, en 1999 : les USA avaient alors décidé de doter d’une carte à puce l’ensemble du personnel du département de la Défense.

"Vive les logiciels libres !"

Si la suprématie des américains en matière de technologies de l’information est une réalité tangible, notamment avec la prédominance des logiciels de Microsoft et des processeurs Intel et AMD (qui participe aussi au projet TCPA), il n’en va pas de même dans d’autres secteurs : "Nous avons réussi dans les domaines de l’énergie nucléaire, de l’aéronautique et de l’espace, à gagner notre indépendance, pourquoi ne tenterions-nous pas de conquérir notre autonomie dans les technologies de l’information ?" Pour le général, cette indépendance passe par le recours aux logiciels libres.

Illustrant ses propos par un autre de ses dessins représentant le général de Gaulle, les bras en V, clamant "Vive les logiciels libres !", Desvignes, qui déclarait déjà, il y a deux ans, que "dans les forces armées, Bill Gates règne aujourd’hui en maître", estime que "pour faire face à ce double problème de monopole et de défiance, une voie existait pourtant, insuffisamment explorée quand il était encore temps de ne pas se livrer corps et âmes à ce cher, très cher Bill ! Celle des logiciels libres".

S’il reconnaît que nombre des solutions basées sur les logiciels libres exigent "des prestations grassement rémunérées" et qu’elles débouchent sur "des produits propriétaires", le général persiste à penser qu’un recours aux logiciels libres est possible et serait hautement bénéfique, "tant en termes de coût que de confiance".

Alors que la migration de nombreux ordinateurs militaires vers Windows XP est prévue, Desvignes estime que l’administration devrait justement donner l’exemple, mais aussi que le recours aux logiciels libres "prendrait plus de sens s’il était réellement soutenu à l’échelle de l’Union Européenne".

Rappelant que l’évaluation des systèmes de sécurité étaient auparavant confié à "une agence de l’OTAN située en fait au sein de la NSA", Desvignes se félicite qu’une première étape ait été franchie il y a peu de temps, avec la prochaine création d’une agence européenne de la sécurité des systèmes d’information.

Crypto : les vrais problèmes sont ailleurs

Revenant sur la libéralisation de la cryptologie, à laquelle il s’était opposé, le général regrette d’avoir, "pour simplifier le débat à l’intention des politiques, quelque peu caricaturé la problématique". Jusqu’en 1999, la taille des clefs des outils de cryptographie librement utilisables en France (taille qui conditionne, en partie, la sécurité de ces outils) était limitée de façon à ce que les services de l’Etat soient en mesure de les casser.

Or, s’il est désormais possible d’utiliser des clefs théoriquement incassables, ce changement ne résoud pas tous les problèmes de sécurité. "Les vrais problèmes étaient ailleurs (...) Pendant que l’on guerroyait entre spécialistes de fraîche date sur la longueur des clefs, d’autres imaginaient comment rester maître des systèmes informatiques".

Desvignes, lui-même ancien du Chiffre (le service des armées chargé de définir les règles en matière de cryptologie), note que "ce que certains politiques ont pris pour un remède miracle contre les actes de piratage de toutes sortes (rappelez-vous Echelon), s’est en fait traduit par l’arrivée massive de produits de sécurité aussi efficaces qu’un placebo".

Comparant nombre de modules cryptographiques à "une porte blindée fixée sur des cloisons en placoplâtre", Desvignes dénonce le faux sentiment de sécurité occasionné par la libéralisation de la cryptologie : "A quoi bon s’encombrer d’une clef de 128 bits, si seulement 8 bits sont effectivement utilisés, si votre clef se promène quelque part sur votre ordinateur ou si elle est transmise à votre insu avec vos messages ? A quoi bon s’embêter à chiffrer ses fichiers avant de les envoyer, si ceux-ci sont accessibles lorsqu’ils sont encore disponibles, non cryptés, en utilisant, via Internet, l’une des multiples failles du système d’exploitation devenu le standard mondial dont on ne veut pas nous donner les sources."

Pour lui, le débat sur la cryptographie n’était qu’un écran de fumée. "S’il était loin d’être secondaire, il n’en a pas moins servi à occulter celui, plus délicat, de la sécurité informatique".

Heureusement, les mentalités évoluent. Si "une foule de responsables n’a pas encore pris la juste mesure des enjeux (...) certains dirigeants ont saisi que, si nous ne maîtrisons pas nous-même la sécurité des systèmes d’information, il n’y aura pas de véritable indépendance ni de véritable liberté. Souhaitons qu’ils agissent avant qu’il ne soit trop tard". Concluant sur une note optimiste, le général constate ainsi qu’il a "cessé de prêcher dans le désert".

ESAT
http://www.esat.terre.defense.gouv.fr

SSTIC
http://www.sstic.org

Sécurité informatique: enfin un colloque "sérieux" en France (Transfert.net)
http://www.transfert.net/a8935

FAQ TCPA / Palladium
http://www.lebars.org/sec/tcpa-faq.html

La guerre de l’information tient salon (Transfert.net)
http://www.transfert.net/a7492

Transmissions militaires: de Windows XP au... Morse
http://news.zdnet.fr/story/0,,t118-...