Le Monde a cordialement ouvert ses pages numériques à Michel Riguidel, professeur émérite à Télécom Paris Tech qui a aussi été missionné par l’Hadopi pour plancher sur la sécurisation. Titre de cette tribune ? Du léger : « Un chaos numérique est possible en 2015 ». Car voilà ce que prédit l’intéressé. Notez bien sur les agendas : 2015, pas 2014, non 2016, et encore moins 2012, quoi que…
Si l’on résume l’auteur, qui pourrait se lancer sans mal dans la Si Fi mode Steampunk :
1) internet est fragile.
2) il y a un risque de catastrophe concomitante type Fukushima.
3) il faut vite vite vite des mesures étatiques pour se protéger de ce mal qui vient jusque dans nos bras, égorger nos fils et vos compagnes.
Le texte est anxiogène au possible. Le champ lexical est celui de l’assureur qui, pour vous vendre de coûteuses options, vous évoque la possible chute possible d’OVNI sur votre véhicule fraichement acheté chez un concessionnaire de Coulommiers.
Une petite sélection toute subjective ?
« L’hégémonie de standards techniques, la généralisation d’Internet et l’utilisation de modèles communs de gestion ont formaté cet univers numérique en un édifice perméable à tous les usages. Les télécommunications gomment les frontières, les distances et la durée. Les accidents et assauts en cascade peuvent donc surgir de n’importe où, sans que l’on puisse les endiguer. » Le texte aurait pu s’arrêter sur ce constat d’échec annoncé… Mais curieusement, non.
Les voyous du net : FAI, hébergeurs, opérateurs mais aussi les internautes
L’intéressé tient en effet à nous dresser la liste de cette boue numérique dans laquelle nous risquons à jamais de nous engluer, citant « des logiciels opaques et des bases de données fragiles [qui] dévoilent une gouvernance déficiente ». Interdiction évidemment de penser à ces verrous dits labellisés sur lesquels Riguidel planche depuis des mois pour sauver le mercantile par la surveillance.
Continuons : « Les fautes et les intrusions se propagent par interopérabilité, du fait de l’uniformisation des logiciels de base et de la mutualisation imprudente avec des acteurs (opérateurs de télécommunications, fournisseurs de services) voyous. » Ces fichus « voyous » de FAI dont les vils faits d’armes s’amplifient par cette fichue « interopérabilité » . N’auraient-ils rien d’autre à faire que de ruiner notre processus de civilisation du net ?
Mais au fait… qu’est-ce qu’un « acteur voyou » ? Voyons… Requêtons “Riguidel +voyous” sur Google. Tap tap tap tap. Clic. Bingo ! On retrouve déjà dans son texte de 2008 ce bel hommage.
Michel Riguidel l’avait signé dans les Cahiers de la Sécurité. L’introduction est parfumée au compteur Geiger « doit-on craindre un Hiroshima numérique, une future guerre impitoyable des réseaux ? Doit-on redouter un Tchernobyl numérique où des apprentis sorciers provoqueraient une panne cataclysmique ? Peut-on imaginer la conjugaison d’attaques et de pannes entremêlées ? »
Un peu plus loin, il réclame une loi qui muscle la responsabilité des intermédiaires (comme ici). Mais il liste aussi les acteurs susceptibles d’engendrer ces menaces. Parmi eux, « des acteurs voyous : opérateur de télécoms résolu à déstabiliser la chaîne de confiance des opérateurs de téléphone mobile ; fournisseur d’accès borderline décidé à attirer les clients en leur offrant des services douteux ; fournisseur de services qui héberge des contenus illicites ou qui examine le contenu de leurs clients avec l’intention de leur offrir des publicités profilées ; éditeurs de logiciels qui profitent de l’opacité de leurs logiciels pour épier le comportement des utilisateurs ; ou simplement des utilisateurs malveillants ou inconscients réalisant des téléchargements illicites. » Plongez le tout dans une cocotte, faite chauffer jusqu’à ébullition, et vous obtenez un nuage radioactif-voyous.
Revenons justement à la tribune du Monde car l’appeau à anxiolytiques entre ici en fusion.
Y + X + administrateurs = boum
On en arrive en effet à la théorie du chaos et de ce papillon qui s’en bat royalement l’aile du désespoir engendré au loin. Le Professeur entrevoit en effet un possible « conflit asymétrique entre une cause défendue par un groupe anonyme X et une institution. Un conflit qui s’envenimerait en guérilla numérique entre groupes rivaux et gonflerait en un ouragan à l’échelle transcontinentale par des échanges agressifs ». Un amas de pannes viendrait compléter le tout pour préparer le magma chaotique.
Ensuite ? Une organisation Y « déploierait subrepticement une contagion de calculs nocifs et évolutifs, en utilisant la friche informatique du réseau mondial, qui déstabiliseraient des millions de serveurs pendant au moins une semaine, avec une puissance de l’ordre d’un exa-opérations (1 018) par seconde. La puissance numérique échappe peu à peu aux gouvernements ; elle est passée au secteur privé, avec l’émergence de grandes fermes de calcul et de stockage ». Et ? L’organisation Y rencontrerait ensuite un sieur X, puis des administrateurs informatiques Z, et tout ce beau monde s’associerait pour taper sur tout ce qui ressemble à une infrastructure humaine. Évident.
La panne-attaque de 2015
Mais… quand est-ce qu’interviendra ce tsunami ? Pas « en 2011 [voyons, car] les dispositifs informatiques sont incapables de mettre en œuvre de telles forces », pas en 2012, ni en 2013, ni en 2014, mais en 2015 quand « une panne-attaque distribuée, anodine au premier abord, prenant de l’ampleur avec son évolution, s’avérera désastreuse et peu identifiable. »
Vite, inventons des instruments de sécurité
Bref, le méta-black-out est à nos portes. Que faire, professeur ? Simple : « Il est urgent d’inventer des instruments de sécurité, opérés par des instances légales. Ce peut être une infrastructure additionnelle transversale de résilience renforcée, à l’image de tiges d’acier dans un édifice de béton armé, ou bien un dispositif réticulaire de survie, qui s’autocicatrise en rétrécissant ses tuyaux automatiquement ». En clair : « une ingérence numérique démocratique afin de reconquérir notre souveraineté numérique. » La conclusion est à peu près similaire l’article de 2008 (*).
ANSSI soit-il !
Cette ingérence civilisatrice tombe à merveille. Contextualisons.
Au Japon, une succession d’évènements naturels ont montré à quelle vitesse ces infrastructures pouvaient tomber. De plus, voilà quelques semaines l’Anssi a été désignée via le décret du 11 février 2011, comme autorité nationale de défense des systèmes d’information. Dans son éventail des réactions, elle se voit dotée de la possibilité d’ordonner toutes les mesures nécessaires pour répondre à des situations de « crises » qui menacent la sécurité des systèmes d’information. Celle des autorités publiques comme celle des opérateurs d’importance vitale (électricité, nucléaire, etc. voir notre interview).
Le rapport Riguidel sur les moyens de sécurisations labellisés
Autre chose, dans quelques jours, le Pr Riguidel rendra son rapport sur les verrous labellisés. Ce sont ces fameuses spécifications fonctionnelles auxquelles devront répondre les logiciels de sécurisation antitéléchargement pour se voir attribuer un label « Hadopi approved ».
Normalement, on ne devrait plus (trop?) parler de deep packet inspection comme ce fut craint lors du premier jet. Mais qui sait ? Les relation incestueuses entre le pétillant brevet Riguidel qui couple sécurisation et DPI et cette mission Riguidel totalement indépendante attendront leur heure.
Un rapport pour rien
Restera encore et toujours ce charme absolu dont seule la reconquête d’une souveraineté numérique a le secret : un abonné qui a installé ce bidule labellisé ne sera pas abrité juridiquement d’un risque de suspension d’accès si jamais son IP était flashée par trois fois sur les réseaux P2P.
Pourquoi ? Car il n’y a pas de lien juridique entre ce logiciel et les éléments constitutifs de l’infraction de non-sécurisation. Un détail qui sera évidemment difficilement affiché sur la boite de ces softs, sauf en tout petit dans les CGV. Conclusion ?
Des centaines de milliers de personnes vont installer en toute confiance des logiciels fermés en se croyant protégés. Alors qu’elles ne le sont pas juridiquement.
Et techniquement non plus.
Un danger pour tous
Car échafaudons le pire : imaginons un de ces logiciels mal ficelés qui serait poussé en avant par un grand opérateur-pas-voyou. Ce logiciel serait installé aveuglément par des brochettes de Mme Michu qui feront confiance-puisqu’il-y-a-l’autocollant-hadopi.
Il faudrait alors être sot et idiot pour envisager un trou de sécurité sur le bidule puisqu’ici c’est sérieux : il s’agit d’une cavalcade civilisatrice vers la souveraineté numérique. Impossible donc que des voyous profitent de ce trou pour s’en prendre à la base de tous les utilisateurs via un serveur central mal ficelé. Impossible aussi que puissent être déversés virus et autres malwares sur les écrans rassurés de nos Michus d’ici et d’ailleurs.
Impossible, ou presque.
Car c’était grosso modo ce qui était sur le point d’arriver lorsque l’Orange d’Albanel s’est sentie obligée de publier son logiciel « Contrôle du Téléchargement ». Un logiciel qui répondait en tout point à ce qu’avait annoncé l’Hadopi-la-civilisatrice.
En quelques heures, la tentative frôle l’accident nucléaire de Niveau 7. Quantité d’internautes sont menacés par cette faille, Orange déconnecte au plus vite son usine à sécurisation et, mais ça,on le savait, les auteurs n’ont évidemment pas un kopek de revenus en plus. Gros #fail comme on dit chez les voyous.
Sinon, pour finir, nous vous invitons à lire la prose de Stéphane Bortzmeyer, indigène émérite de l’Internet pas encore civilisé, qui a décidé « qu’il était temps de dire clairement que Riguidel est à l’Internet ce que les frères Bogdanoff sont à l’astrophysique. »
(*) « Dans un monde violent et globalisé, le repère de nos valeurs, la défense de nos principes et de notre modèle devront guider notre action afin d’organiser sainement le renseignement numérique et protéger l’indépendance, la souveraineté et l’intégrité du patrimoine numérique des citoyens, des entreprises et de notre pays, en parallèle avec la lutte offensive contre la criminalité, le trafic de drogue et la corruption ».
Source : PC Inpact