De l'optimalité de la législation...

Publié le 04 mai 2011 par Sid

L

a disparition de Patrick Roy, député métalleux haut en couleurs à l'instar de ses vestes rouges et poil à gratter de l'Assemblée, nous prive d'un homme dont on ne pouvait que se sentir proches, nous les geeks qui regardons le débat politique d'un œil méfiant. En particulier en ces temps plutôt hostiles où l'ignorance semble le disputer à l'incompétence...

Évidemment, je ne peux laisser une telle affirmation sans un exemple brûlant pour l'illustrer. C'est la désormais célèbre députée Muriel Marland-Militello qui me le fournit. Après nous avoir vanté les mérites de, je cite, l'optimalité d'Internet, la marotte de Bluetouff se fend d'un projet de loi visant à durcir les sanctions contre les auteurs de délits informatiques...

Cette "Proposition de loi pour renforcer l'efficience de la lutte contre les attaques informatiques, pour un monde numérique plus civilisé et donc plus fort" pourrait passer pour de la naïveté béotienne si elle n'essayait pas de camoufler une franche méconnaissance du sujet sous l'argument sans appel de la volonté présidentielle. Je ne me lancerai cependant pas sur un terrain qu'a déjà brillamment couvert Daniel Ventre dans son analyse de ce texte : un texte de plus, redondant qui plus est, qui ne servira à rien et qui se méprend sur les moyens.

Ce que m'inspire ce texte, c'est également une réflexion sur l'inadéquation de l'arsenal législatif français à la sécurisation des infrastructures françaises. Ce qui constitue, j'en conviens, le constat de départ de Mme Muriel Marland-Militello, mais c'est bien là que s'arrêtent les similitudes et que commence un profond désaccord. Car là où Madame la députée attribue cette inadéquation à une insuffisance, je l'attribue à un excès. Un excès de loi qui nous bride dans notre capacité à mettre en œuvre des systèmes dûment maîtrisés, et donc sécurisés.

Car de mon point de vue, ce n'est certainement pas l'arsenal juridique français qui va protéger nos infrastructures. Pour paraphraser Daniel Ventre, les vrais pirates, ceux qui savent ce qu'ils font, ceux qui se font des ministères, de grands éditeurs, de grosses majors, qui savent parfaitement ce qu'ils font et comment le faire en restant anonymes et ne pas se faire tracer, dans un monde où une traque aboutie relève plus de l'exception que de la règle, n'ont que faire de cet arsenal juridique qui ne protégera pas plus les cibles directes de ces intrusions que leurs victimes collatérales. Non seulement il ne dissuade pas les criminels efficaces opérant essentiellement hors de nos frontières, mais il ne protège pas nos systèmes et les données qu'ils contiennent de voir leurs vulnérabilités exploitées, pas plus qu'il n'incite les opérateurs des-dits systèmes à en renforcer la sécurité.

Ce qui protégera nos infrastructures, c'est une maîtrise de ce qu'on y déploie. Ce qui demande des moyens, beaucoup de moyens, à commencer par se doter de fortes compétences. Ceci dit, la compétence, et quoi qu'on en dise, on n'en manque pas en France. Ou plutôt on n'en manquerait pas si d'une part on savait valoriser et faire s'exprimer de manière productive celle dont on dispose déjà, ce qui aurait pour effet, entre autres, qu'elle n'ait pas cette fâcheuse tendance à vouloir s'expatrier sur laquelle on larmoie de bon cœur. La valorisation de cette expertise est un vaste sujet à lui tout seul, mais qui passe certainement par la faire s'exprimer de manière productive. Ce qui peut prendre de multiples formes, l'une d'entre elle étant de faire bosser les gens sur des sujets utiles.

Parmi ces sujets, il y en a un qui me tient particulièrement à cœur dans la sphère de la sécurité informatique, à savoir l'évaluation. Et en particulier sous sa forme agressive sur laquelle beaucoup apposent rudimentairement le terme étriqué de test d'intrusion qui est malheureusement bien loi de refléter l'étendue de ce qu'on peut être amené à faire. Car dans un pays quasiment dépourvu de toute industrie d'édition logicielle, la capacité à évaluer les produits qu'il déploie est incontournable dans le domaine de la sécurité[1]. On pourrait donc s'attendre à ce qu'une telle activité se voit facilitée, voire encouragée, par la réglementation ou le contexte législatif en vigueur. Or il n'en est rien, et ce serait même un peu le contraire je pense.

Prenons par exemple le sujet du reverse engineering, activité ô combien utile quand il s'agit de juger de la sécurité d'un logiciel. Si on a le droit de le pratiquer, dans un cadre très précis, à des fins d'interropérabilité, il n'est pas autorisé à des fins de sécurité. Ce qui veut dire que si je dois m'assurer de la sécurité d'un produit avant de le mettre en œuvre, je n'ai pas le droit d'y recourir : la loi me prive donc d'un moyen extrêmement efficace pour assurer ma mission, en particulier quand la plupart des produits utilisés sont des logiciels propriétaires produits à l'étranger[2]. D'aucuns se prennent à envisager que le droit à la sécurité inscrit dans la constitution puisse légitimement être considéré comme supérieur aux intérêts commerciaux liés à la propriété intellectuelle, surtout quand il n'y fait pas obstacle. Le soucis, c'est que personne n'a eu à juger de l'efficacité d'un tel argumentaire, et qu'en l'absence de jurisprudence, on considérera que le reverse engineering à des fins de sécurité n'est pas possible en France...

Dans la même veine, on pourra également citer le fameux article 323-3-1 du code pénal introduit en 2004 par la LCEN qui réprime "le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3". Ce qu'on peut résumer plus simplement à la détention et/ou la diffusion de toute information et/ou outil qui pourrait éventuellement servir à commettre une attaque informatique telle que définie par les articles dont Mme Marland-Militello veut renforcer les sanctions. Ce qui inclut également des informations et/ou outils que vous serez amenés à manipuler et/ou diffuser dans un processus d'évaluation et, le cas échéant, de qualification et de correction de faille. Le tout certes soumis à une exception de motif légitime, mais qui n'est malheureusement pas explicité et au sujet duquel la jurisprudence ne nous dit pas grand chose, à part fournir des exemples de pratiques qui n'en relèvent pas.

Là, on me dira que je psychote, que les juges sont sensés, que la réalité est loin d'être aussi noire. N'empêche que le cadre législatif français pose un problème qui me semble assez crucial quant à notre capacité à faire des choix technologiques éclairés et à nous les approprier pour les utiliser au mieux en terme de sécurité. J'entends déjà quelques voix s'élever au fond de la salle et scander quelques termes incantatoires tels que "critères communs", "EAL" ou encore "CSPN". Des outils dont je ne discuterai pas l'efficacité ici, mais qui sont indiscutablement insuffisants devant l'ampleur de l'enjeu. Car on parle de l'intégralité de l'Internet en France[3], que le Livre Blanc sur la Défense et la Sécurité Nationale de 2008 qualifie quasiment d'infrastructure critique, de Bercy aux PME, en passant par les entreprises du CAC40 et l'accès DSL de la famille Michu[4]. Bref, une quantité de travail largement hors de portée des acteurs habilités à conduire ce type d'évaluation.

Non content de faire réfléchir à deux fois les professionnels du secteur quand ils sont amenés à exercer leur métier, ce contexte nous prive également d'un vivier de compétences non négligeable : ce qu'on pourra appeler la société civile, que d'autres désignent quand ils en parlent sous le terme accrocheur de "hackers". Ceux que j'appellerai plus simplement les gens de bonne volonté qui, parce qu'intéressés par le sujet, se retrouvent à regarder de plus près la sécurité de systèmes mis à leur disposition. Car quoi qu'on en dise, le constat de ce côté n'est pas spécialement reluisant. Qu'il s'agisse de l'affaire Guillermito, de la condamnation de Zataz ou même du cas Tati vs. Kitetoa, force est de constater qu'on peut vite se retrouver au tribunal à vouloir remonter des failles, y compris de bonne foi. De quoi faire réfléchir à deux fois avant d'alerter un éditeur ou un webmaster, car même à s'en sortir blanchi, ce n'est pas une expérience particulièrement sympathique à vivre...

Pourtant, sur un marché sans aucune régulation dont le contexte favorise la médiocrité technique[5], on sent bien le besoin de ce qu'on pourrait qualifier de contre-pouvoir. L'affaire de l'HADOPIciel Orange en est un exemple parfait. En effet, sans l'intervention d'un groupe d'individus anonymes et indépendants de toute entité susceptible de faire autorité, la distribution de cet outil aurait pu compromettre la sécurité de dizaines de milliers d'utilisateurs, et par ce biais servir de relais à des attaques de plus grandes ampleurs sur le reste des infrastructures de communication du pays. Le tout sans qu'aucune organisation étatique ne s'en émeuve le moins du monde, s'agissant d'un produit commercial à destination du grand public, et non d'un opérateur d'infrastructure vitale ou d'un organisme gouvernemental.

Qu'on se comprenne bien. Je ne milite pas ici pour la délivrance au citoyen lambda d'un permis de brutaliser tous les logiciels et services en ligne du pays. Ce que je dis, c'est que le contexte législatif doit évoluer pour prendre en compte un besoin critique, sinon stratégique, d'évaluation efficace de la sécurité des outils que nous utilisons. Cela peut se faire par des processus longs et compliqués, comme réformer pour le code de la propriété intellectuelle pour y introduire un exception encadrée de sécurité à l'interdiction du reverse engineering par exemple, ou des actions plus simples comme la publication d'un processus de divulgation responsable de vulnérabilités par un organisme faisant autorité à l'échelle du pays[6]. Processus qui permettrait d'encadrer la remontée de failles et fournirait de fait aux individus de bonne volonté une protection contre tous les acteurs de mauvaise foi[7]...

Et ça, c'est quelque chose qui contribuerait à protéger nos infrastructures de manière autrement plus efficace que de rêver d'un Internet soi-disant civilisé en se voilant la face sur la réalité et l'étendue de la menace. Mais forcément, ça demande à sortir un peu du schéma mental qui a conduit à DADVSI, HADOPI et plus récemment au volet pédopornographie de LOPSSI. Le premier est un échec cuisant, le second en passe de le devenir et le troisième se trouve, je pense, en bonne position pour suivre le mouvement.

Alors au delà de la sympathie que j'avais pour le personnage de Patrick Roy[8], sa disparition nous prive d'un défenseur éclairé capable de secouer de telles initiatives. Je ne l'ai jamais rencontré, je ne le connaissais pas, pour autant, toute ma sympathie va à ses proches en ces tristes jours. Il va nous manquer...

Notes

[1] Mais pas que dans ce domaine ceci dit...

[2] Bonne chance pour vous faire une idée précise du niveau de sécurité sans soulever le capot

[3] Ce qui nous amène très loin au-delà de nos frontières en fait, pour autant qu'une telle notion existe dans le monde numérique...

[4] Que je salue au passage ;)

[5] Cf. Ackerlof et le concept d'asymétrie informationnelle.

[6] Suivez mon regard...

[7] L'inverse étant vrai aussi.

[8] Que la contrepèterie qui sert de titre à l'hommage de Bluetouff aurait probablement fait sourire :)