Julien Stern est directeur scientifique de Cryptolog, une société de conseil en cryptographie. Il revient sur la démarche des chercheurs de Princeton University qui portent plainte contre le lobby américain de l’industrie musicale.
Que pensez-vous de l’initiative de vos confrères américains ? Le cadre législatif en vigueur aux ...tats-Unis (DMCA) peut-il engendrer un risque réel pour le travail scientifique dans le domaine du numérique ?
Je suis très content que les chercheurs de Princeton aient pris cette initiative. Je pense que le DMCA [Digital Millenium Copyright Act] met réellement en danger la recherche en cryptologie et en sécurité informatique. Par ailleurs, il occulte les vrais problèmes de sécurité. Une société préférera mentir à ses clients et leur fournir un logiciel dont la sécurité est mauvaise, plutôt que d’investir dans un bon système puisque toute attaque contre ce système, même théorique, est actuellement légalement punissable. En pervertissant un peu le raisonnement, on pourrait aboutir à des situations où un chercheur serait dans l’impossibilité de révéler qu’un médicament est mortel pour l’homme. De façon générale, interdire la publication scientifique de failles de sécurité, c’est mettre en danger le consommateur du produit.
Vous avez réussi, comme vos collègues américains, à cracker les logiciels de cryptage du SDMI. Avez-vous également subi des pressions émanant de l’industrie du disque ?
Nous n’avons pas été contactés. Nous n’avons subi ni pression ni menace, et d’ailleurs nous avons publié nos résultats lors de la conférence "Information Hiding Workshop" qui a eu lieu à Pittsburgh [Pennsylvanie], en avril dernier.
La situation est-elle si différente en France ?
J’aimerais bien le savoir... D’après ce que j’ai compris, elle est actuellement meilleure, mais elle risque de devenir encore pire qu’aux ...tats-Unis, si la directive européenne sur la cybercriminalité n’est pas modifiée. Cette directive traite, semble-t-il, les chercheurs comme des criminels en puissance. De façon amusante, il semble qu’à l’heure actuelle, si un chercheur ne révèle pas qu’une faille de sécurité affecte un système important (par exemple un système de paiement), il puisse également être poursuivi. Je ne sais pas quelle sera la version finale de cette directive, mais les chercheurs risquent, effectivement, d’être pris entre deux feux et de ne plus pouvoir travailler dans de bonnes conditions. Une fois de plus, il faut bien comprendre que si une faille de sécurité existe, le simple fait d’interdire sa publication ne la fera pas disparaître. La seule différence c’est que cette faille risque d’être exploitée par des gens malhonnêtes, sans que l’utilisateur - ou l’entité qui offre le système - soit au courant. La vision actuelle des failles de sécurité est très biaisée, comme le montre la réticence des entreprises à révéler les attaques contre leurs systèmes. Pourtant, si une faille est découverte dans un système et publiée, il n’en sera que plus sûr !