Trois théorèmes pour caractériser le cyberespace

Dossier : L'Intelligence économiqueMagazine N°640 Décembre 2008
Par Philippe WOLF (78)

Le cybere­space, espace virtuel con­tenant des sociétés arti­fi­cielles, peut se définir comme un espace social d’in­ter­ac­tion entre une tech­nolo­gie — la numéri­sa­tion de l’in­for­ma­tion et les proces­sus de com­mu­ni­ca­tions de celle-ci — et un ensem­ble d’êtres humains inter­agis­sant avec ces tech­niques. Il est la mar­que la plus écla­tante de la glob­al­i­sa­tion de l’é­conomie mais aus­si le miroir par­fois défor­mant des insta­bil­ités d’un monde sec­oué de con­vul­sions per­ma­nentes. Les sys­tèmes et réseaux infor­ma­tiques sont devenus des out­ils indis­pens­ables pour les tâch­es cri­tiques de la vie pro­fes­sion­nelle et par­fois même de la vie privée.

L’in­tel­li­gence économique — pour cer­tains la forme légale de l’in­tel­li­gence, dans son accep­tion anglo-sax­onne de ren­seigne­ment ou d’es­pi­onnage — a trou­vé, dans cette infos­phère, un champ d’ac­tion nou­veau à la fois dans sa dimen­sion tem­porelle d’im­mé­di­ateté, dans sa dimen­sion spa­tiale qui embrasse le monde et dans sa dimen­sion cog­ni­tive qui fait renaître l’e­sprit encyclopédique.

La cryp­togra­phie
La cryp­togra­phie est la seule tech­nique disponible pour pro­téger l’in­for­ma­tion en con­fi­den­tial­ité et en intégrité. Elle réalise une réduc­tion d’en­tropie sur les don­nées à pro­téger grâce à de mul­ti­ples clés (une clé = un usage) qu’il s’ag­it de gér­er comme les seuls secrets du sys­tème d’information.
La ges­tion de ces clés est un art dif­fi­cile qui néces­site une organ­i­sa­tion rigoureuse qui se sat­is­fait mal d’une exter­nal­i­sa­tion trop poussée ou d’un recours à des solu­tions toutes faites.
La cryp­togra­phie n’est pas la solu­tion mir­a­cle décrite par cer­tains car elle doit s’ac­com­pa­g­n­er d’une véri­ta­ble poli­tique de sécuri­sa­tion en pro­fondeur des sys­tèmes d’information.
Ain­si, pour soulign­er les dif­fi­cultés de toute nature s’op­posant à une util­i­sa­tion maîtrisée de cette tech­nique, l’usage de la sig­na­ture élec­tron­ique dite ” qual­i­fiée “, huit ans après la direc­tive com­mu­nau­taire, reste mar­ginale en France.
La cryp­togra­phie reste cepen­dant au cœur des prob­lèmes de gou­ver­nance d’In­ter­net. La créa­tion d’au­torités européennes de cer­ti­fi­ca­tion pour l’ensem­ble des logi­ciels de com­mu­ni­ca­tion (mes­sagerie, nav­i­ga­teur…) com­mer­cial­isés en Europe — une des mesures pré­con­isées par la Com­mis­sion européenne pour la libéra­tion de la crois­sance française — est tou­jours différée.

L’arme du renseignement numérique stratégique

Le ren­seigne­ment qu’il soit éta­tique ou privé, qui joue des ambiguïtés et des faib­less­es d’un droit inter­na­tion­al numérique large­ment à con­stru­ire, a résol­u­ment investi le cybermonde.

Toutes les manip­u­la­tions sont pos­si­bles sur les réseaux numériques ouverts

Au-delà des légitimes moti­va­tions de sécu­rité nationale, le ren­seigne­ment numérique stratégique est devenu une arme de la ” guerre économique ” qui provoque d’abord de la dis­tor­sion de con­cur­rence quand il n’est pas par­fois le moteur prin­ci­pal d’un développe­ment indus­triel fondé sur la contrefaçon.

L’in­tel­li­gence économique numérique (IEN) procède en pre­mier de l’ensem­ble des tech­nolo­gies infor­ma­tiques automa­ti­sant aus­si loin que pos­si­ble la pyra­mide clas­sique du ren­seigne­ment qui va de la don­née brute à la syn­thèse intel­li­gente. La maîtrise de ces tech­nolo­gies est un fac­teur essen­tiel de com­péti­tiv­ité. L’in­no­va­tion dans les tech­niques de fouille infor­ma­tion­nelle ou ” data min­ing ” est très active et féconde. Au-delà des out­ils, l’in­tel­li­gence humaine et ses failles y occu­pent, bien sûr, une place cen­trale. Mais cet essor numérique s’est accom­pa­g­né d’un développe­ment des men­aces liées à de nou­velles formes de crim­i­nal­ité allant des actions quo­ti­di­ennes du cyber­van­dal­isme ou du cyber­crime aux modes d’ac­tions cachées de la cyber­guerre ou du cybert­er­ror­isme — s’il existe ailleurs que dans les romans ou dans les films — bien plus dif­fi­ciles à car­ac­téris­er ou à recon­naître. La dimen­sion duale du recueil de ren­seigne­ments con­siste aus­si à faire face à ces nou­veaux risques.

Les caractéristiques du cyberespace

Il con­vient avant d’abor­der, dans l’ar­ti­cle suiv­ant, le recueil et le traite­ment de l’in­for­ma­tion numérique et la pro­tec­tion de ses pro­pres sys­tèmes d’in­for­ma­tion, de mieux com­pren­dre la nature pro­fonde du monde numérique et des tech­nolo­gies qui l’ani­ment. Car, sans capac­ité de pro­téger son pro­pre pat­ri­moine infor­ma­tion­nel, aucune action d’in­tel­li­gence économique numérique ne peut être vrai­ment effi­cace. Trois ” théorèmes ” peu­vent car­ac­téris­er le cybermonde.

Théorème 1 : toute infor­ma­tion n’est pas bonne à numériser
Un fichi­er numérique se clone par­faite­ment. Il s’ag­it là d’une tau­tolo­gie mais cer­tains com­porte­ments numériques feignent de l’ig­nor­er, même quand cela touche à l’in­tim­ité ou à l’affectif.

L’a­vance américaine
La poli­tique ” d’in­for­ma­tion dom­i­nance “, prônée par les États-Unis depuis les travaux fon­da­teurs des années 1990, s’ac­com­plit réelle­ment dans la maîtrise tech­nologique des pièces logi­cielles et matérielles con­sti­tu­ant les sys­tèmes numériques d’au­jour­d’hui mais égale­ment par la mise en place d’une hyper­sur­veil­lance dont l’emblème est le réseau Ech­e­lon. Ce terme désigne le sys­tème mon­di­al d’in­ter­cep­tion des com­mu­ni­ca­tions privées et publiques, élaboré par les États-Unis, le Roy­aume-Uni, le Cana­da, l’Aus­tralie et la Nou­velle-Zélande dans le cadre du traité UKUSA ” UKUSA Agree­ment “. Depuis l’ac­ti­va­tion en jan­vi­er 1993 du ” Nation­al Indus­try Secu­ri­ty Pro­gram ” qui organ­ise avec le Départe­ment de la Défense et une ving­taine d’a­gences gou­verne­men­tales la pro­tec­tion des entre­pris­es, des uni­ver­sités et des cen­tres de recherche améri­cains, ces moyens ont été ori­en­tés égale­ment vers l’in­tel­li­gence économique. Bill Clin­ton con­fir­ma explicite­ment en 1994 le rôle du ren­seigne­ment en la matière. Con­crète­ment, c’est ” l’Of­fice of Exec­u­tive Sup­port ” au sein du Départe­ment du Com­merce qui assume le lien entre les négo­ci­a­teurs du monde économique et les agences de ren­seigne­ments. Des rap­ports européens dis­cu­tent sans fin sur l’im­pact réel de ce sys­tème dont le fonc­tion­nement relève du secret de défense. Ech­e­lon reste l’arché­type des sys­tèmes d’in­tel­li­gence numérique stratégique dont sont dotées divers­es agences de renseignements.

Une infor­ma­tion, dès sa numéri­sa­tion achevée, peut être dupliquée à l’in­fi­ni. Sa pub­li­ca­tion sur Inter­net lui pro­cure instan­ta­né­ment une dif­fu­sion glob­ale et une réma­nence qu’il est impos­si­ble de mesur­er. Cela ne sig­ni­fie pas que l’in­for­ma­tion est éter­nelle et une bonne poli­tique d’IEN se préoc­cupe aus­si, au-delà des prob­lèmes de for­mats numériques retenus, des for­mats physiques de stock­age de ces don­nées numériques et du prob­lème de l’en­tre­tien de ces stocks numériques sur des sup­ports qui subis­sent des dégra­da­tions et des altéra­tions. Sig­nalons d’ailleurs que la nor­mal­i­sa­tion des for­mats numériques est aujour­d’hui l’ob­jet d’une bataille frontale entre les ten­ants des for­mats libres et ceux des for­mats pro­prié­taires. Elle pro­longe les débats houleux autour des breve­tages logi­ciels. Ce clon­age favorise les fuites d’in­for­ma­tion organ­isées ou acci­den­telles qui pren­nent par­fois un reten­tisse­ment que ne com­pense que la volatil­ité extrême des points d’in­térêt. Toutes les manip­u­la­tions sont pos­si­bles sur les réseaux numériques ouverts. Le faux y côtoie le vrai sans que le recoupe­ment des sources ne per­me­tte, comme dans le ren­seigne­ment tra­di­tion­nel, une véri­ta­ble qual­i­fi­ca­tion de la fia­bil­ité de l’in­for­ma­tion. Enfin les rumeurs, les ” trafi­co­tages de list­ings ” et autres can­u­lars peu­plent le cyber­monde avec des con­séquences par­fois démesurées comme des manip­u­la­tions de cours en Bourse ou des désta­bil­i­sa­tions de cadres d’entreprise.

Notons d’ailleurs que l’un­der­ground de l’In­ter­net (siège des échanges inter­per­son­nels) recèle une masse d’in­for­ma­tions non vis­i­bles directe­ment sur les nav­i­ga­teurs usuels mais acces­si­bles par des out­ils large­ment dif­fusés. Au-delà des échanges de fichiers sous droits d’au­teur (musiques et films), ces logi­ciels per­me­t­tent la dif­fu­sion d’un savoir-faire autre­fois cou­vert par le secret. On trou­ve par exem­ple sur Inter­net, pour qui sait fouiller, des recettes d’ex­plosifs et des boîtes à out­ils per­me­t­tant de con­stru­ire des pièges infor­ma­tiques. On peut y acheter égale­ment, par des ventes en ligne qui se jouent des fron­tières et par­fois des lois locales, toute la panoplie des matériels d’es­pi­onnage (ou de con­trôle domes­tique, comme cela est présen­té pudique­ment out­re-Atlan­tique) que la minia­tur­i­sa­tion de l’élec­tron­ique et la sophis­ti­ca­tion des tech­nolo­gies sans fil ren­dent dif­fi­cile­ment détectables.

Théorème 2 dit de la con­fi­ance : pour pou­voir par­ler d’in­for­ma­tique de con­fi­ance, il faut en maîtris­er les techniques

Seule une iso­la­tion physique per­met d’assurer une vraie protection

Dans un arti­cle célèbre pub­lié en 1984 (Reflec­tions on Trust­ing Trust), Ken Thomp­son, pio­nnier des sys­tèmes d’ex­ploita­tion et des logi­ciels de pro­gram­ma­tion mod­ernes, piège native­ment le ” login ” (fonc­tion d’i­den­ti­fi­ca­tion d’un sys­tème d’ex­ploita­tion) en créant une porte dérobée qua­si­ment indé­tectable1. Sa démon­stra­tion fait encore régulière­ment l’ob­jet de débats pas­sion­nés, mais traduit une réal­ité indéniable.

Au-delà du souhait de dis­pos­er de pro­duits de sécu­rité pour essay­er de con­tr­er ces dis­posi­tifs, il sera égale­ment pri­mor­dial de bien appréci­er, par un tra­vail de veille active, les travaux futurs allant vers l’In­ter­net des objets (développe­ments autour de l’In­ter­net chi­nois, etc.). Dans ces déli­cats prob­lèmes de con­fi­ance, un exem­ple plus insi­dieux est celui de cer­tains pro­duits du marché qui savent séduire les décideurs par leur ergonomie certes pra­tique, mais qui en font des cibles de choix pour l’in­tel­li­gence économique. Enfin, des développe­ments matériels déjà réal­isés autour de coprocesseurs de sécu­rité, qui équipent les machines infor­ma­tiques, font peser une lourde hypothèque sur les capac­ités futures de maîtrise partagée du cybermonde.

La puce Fritz
” Trust­ed Plat­form Mod­ule ” (TPM) désigne les spé­ci­fi­ca­tions détail­lées et publiques d’un cryp­to­processeur sécurisé appelé sou­vent ” puce Fritz ” du nom de Fritz Hollings, séna­teur de la Car­o­line du Sud, qui tra­vaille d’ar­rache-pied au con­grès des États-Unis pour ren­dre ce com­posant oblig­a­toire dans toute l’élec­tron­ique grand public.
À l’im­age d’une carte à puce, ce cir­cuit sert à enfuir des clés cryp­tographiques dans les matériels infor­ma­tiques en les mar­quant indi­vidu­elle­ment. À par­tir de ce cof­fre à clés peu­vent être dévelop­pées tout un ensem­ble de fonc­tions de sécu­rité comme la ges­tion des droits numériques — les fameuses DRM si décriées -, et d’autres plus com­plex­es comme l’iso­la­tion mémoire, la pro­tec­tion inter­ap­pli­ca­tions, les entrées-sor­ties sécurisées, le stock­age scel­lé ou l’at­tes­ta­tion à distance.
Ces fonc­tions per­me­t­tront, peut-être, de lut­ter con­tre la pira­terie infor­ma­tique mais ver­rouilleront, à coup sûr, un usage libre de l’informatique.
La maîtrise de ces tech­niques sera un enjeu essen­tiel des ” guer­res de l’in­for­ma­tion ” futures. Il est à crain­dre que les con­cen­tra­tions indus­trielles sur les marchés du soft­ware et du hard­ware qui se font majori­taire­ment en dehors de l’Eu­rope ne nous lais­sent dans une sit­u­a­tion de réelle défi­ance vis-à-vis de ces développements.

Théorème 3 dit ” théorème du virus ” : la détec­tion d’un virus est indé­cid­able à la fois par une analyse a pri­ori ou par une analyse dynamique

La sécu­rité par l’obscurité
Les fil­tres anti-tout com­mer­cial­isés par le marché de la sécu­rité infor­ma­tique (antivirus, anti­spy­ware, antiphish­ing, anti-rootk­its, anti­spam, etc.) pas plus que la cryp­togra­phie ne sont les solu­tions mir­a­cle annon­cées. Ils par­ticipent de la ” sécu­rité par l’ob­scu­rité ” qui n’a jamais démon­tré ses ver­tus dans la lutte effec­tive con­tre la crim­i­nal­ité infor­ma­tique dont le maître mot est : ” pas vu, pas pris “. Le pre­mier virus de l’his­toire (ver Mor­ris de 1988) a paralysé l’embryon d’In­ter­net en s’at­taquant à une faille du ser­vice de mes­sagerie. Le cour­riel reste aujour­d’hui le vecteur priv­ilégié des attaques informatiques.

Ce théorème, exposé en 1984 par Fred Cohen qui a réal­isé la pre­mière étude in vivo sur les virus infor­ma­tiques au sein de la ” Nation­al Secu­ri­ty Agency “, est une vari­ante logique du théorème de Rice qui démon­tre, en théorie de la cal­cu­la­bil­ité, que le prob­lème de l’ar­rêt d’un pro­gramme infor­ma­tique quel­conque n’est pas décid­able. Au-delà de l’aspect math­é­ma­tique, il man­i­feste une dou­ble réal­ité : les pièges infor­ma­tiques nou­veaux con­tour­nent régulière­ment les bar­rières instal­lées et la for­tune des vendeurs d’an­tivirus est assurée pour toujours.

Quand les enjeux de sécu­rité sont impor­tants, seule une iso­la­tion physique d’un sys­tème d’in­for­ma­tion per­met d’as­sur­er une vraie pro­tec­tion, le risque zéro exis­tant ici moins qu’ailleurs. Pour citer un exem­ple, la France s’est ain­si dotée d’un intranet sécurisé inter­min­istériel pour la syn­ergie gou­verne­men­tale (ISIS) qui est le pre­mier sys­tème d’in­for­ma­tion sécurisé nation­al per­me­t­tant l’échange et le partage de doc­u­ments clas­si­fiés au titre du secret de défense entre acteurs gou­verne­men­taux. Out­il de tra­vail quo­ti­di­en pour le traite­ment des infor­ma­tions clas­si­fiées, c’est aus­si un out­il de con­duite de l’ac­tion gou­verne­men­tale lors d’une sit­u­a­tion d’ur­gence ou d’une crise.

1. The moral is obvi­ous. You can’t trust code that you did not total­ly cre­ate your­self (espe­cial­ly code from com­pa­nies that employ peo­ple like me).

Poster un commentaire