ClownGueuleDeBoisJe ne prends plus beaucoup le temps d’écrire, submergé par des activités professionnelles pour le moins… actives, restreint sur un sujet, la sécurité informatique, où le consultant jouit d’un privilège de ministre, celui de « fermer… etc, etc. » (pourtant les situations croustillantes abondent, la plume démange…, mais l’inoubliable « Botus et mouche cousue » de l’ineffable Dupont veille au silence indéfectible des consciences…).

Cependant deux faits d’actualité m’ont récemment fait sourire.

Le premier est plutôt anecdotique et gentillet : un collégien tenté par le piratage du système informatique de son école, accessoirement pour offrir à sa moyenne une petite cure de jouvence. Nous sommes bien dans le film WarGames, à ceci près que l’histoire rocambolesque des années 80 se révèle de nos jours d’une décevante banalité. Dans cet incident, certains auront essentiellement remarqué la faute de l’étudiant. Il y a triche, certes, du moins tentative, et il convient d’expliquer à ce pirate en herbe pris la main dans le système que le piratage est un jeu dangereux. Mais tout ceci n’est pas bien grave et met au moins en évidence chez lui l’existence d’un certain talent (à exploiter, monsieur le juge, que la Force soit avec nous !). De son côté, le consultant en sécurité informatique observe plutôt autre chose : le fait qu’un système réputé sensible (l’administration d’une école, tout de même) ait eu droit à sa ration d’intrusion, comme tout le monde, au même titre que n’importe quel site web. Cela montre une fois de plus, s’il en était besoin, à quel point la protection des systèmes et des informations sensibles demeure aujourd’hui mal maîtrisée.

Une autre vanne de potache nous vient tout droit d’un petit logiciel de divertissement accessible sur Internet pour la modique somme de 26$. Conçu pour la lecture de flux multimédia diffusés par satellite (musique, images, films), il offre des caractéristiques supplémentaires intéressantes, comme l’interception de flux vidéo émis en temps réel… par les drones américains ! Oui, oui, par les drones américains. La préparation de missions, le suivi des points stratégiques visés, la surveillance des opérations militaires sur le champ de bataille, la stratégie américaine en matière de défense, le tout en 3 / 4 clics dans son fauteuil, pour un prix défiant toute concurrence comparé à celui, pharaonique, d’un drone (à propos, les utilisateurs du logiciel payent-ils réellement leur licence ?). Autant dire que cet utilitaire fait actuellement fureur en Irak. Là aussi on est dans WarGames, mais plutôt l’autre facette du film, celle des milieux informés qui se mettent à flipper. Cependant, aux toutes dernières nouvelles, il n’y aurait pas lieu de s’inquiéter : selon le Wall Street Journal, « les officiels américains disent qu’il n’y a aucune preuve que les militants sont capables de prendre le contrôle des drones ». Ouf ! S’ils le disent… on respire… Car un drone US, armé, s’écrasant par erreur sur Israël à la suite d’un piratage informatique, cela ferait désordre ! Bon allez, on veut bien croire au scénario de la fuite volontaire de fausses données militaires ultra sensibles ; sinon à ce prix là, il y a des pros de l’écoute ou de la contre-mesure électronique qui vont boire le bouillon. Sans parler de l’image de marque désastreuse pour certaines agences…

Alors quelle morale pour ces histoires ? Juste une constatation qui ne cesse de se confirmer : dès que l’informatique s’en mêle (et elle s’emmêle toujours…), plus un secret est secret, et moins il est secret. Ça ne loupe jamais, même les systèmes embarqués, réputés fort impénétrables, s’y collent ! Beaucoup de professionnels de la SSI pensent que le combat pour la confidentialité, dans le monde du logiciel, est perdu d’avance. On a beau inventer barrières et autres mécanismes de protection sophistiquées, on oublie juste un détail, tous reposent par la force des choses sur des logiciels (OS, services, applications) qui, d’un point de vue résistance aux attaques, ne sont comporteront jamais autrement que comme des gruyères souffreteux atteints d’ostéoporose. Soyons honnêtes : soit l’information est très secrète et mieux vaut éviter l’informatique pour la traiter (ou alors on peut l’exploiter mais avec un système physiquement dédié et déconnecté de la source de la menace – un PC coûte moins de 400 euros !), soit on accepte avec lucidité qu’elle tombera dans l’escarcelle publique (ou du moins deviendra accessible à ceux dont on ne veut surtout pas qu’ils aient à en connaître !!). Non, vraiment, à quelques rares exceptions près, le problème de la confidentialité de l’information ne se traite plus aujourd’hui par les moyens, ni selon les méthodes, qui pouvaient à la rigueur se justifier au début des années 2000. Mais ceci est un autre sujet.