Eric Filiol (ESIEA) : « Sécurité IT : veut-on faire de l’argent ou vraiment protéger les gens ? »

CloudCyberDéfenseSécurité
eric-filiol-ESIEA-virulogie-cryptologie-securite-informatique

Interview du directeur du laboratoire ESIEA de virologie et de cryptologie opérationnelles : cyberattaque Elysée, cyberdéfense, antivirus…Il prend ses distances vis-à-vis des éditeurs de solutions de sécurité IT.

Eric Filiol est Directeur du laboratoire de virologie et de cryptologie opérationnelles de l’ESIEA (Ecole supérieure pour former des ingénieurs en informatique, électronique et automatique).

Cet expert reconnu de la sécurité IT revient sur certaines actualités de son domaine de prédilection : cyberattaque à l’Elysée, Livre Blanc de la Défense et cyberdéfense.

Il prend également ses distances vis-à-vis des « pratiques commerciales » des éditeurs de solutions de sécurité IT et préconise la création d’un « Comité d’éthique pour l’informatique ».

(Interview téléphonique réalisée le 20/12/12)

ITespresso.fr : A votre avis, le schéma décrit dans la presse à propos du piratage à l’Elysée est-il plausible ? (voir « Facebook, la porte d’entrée de la cyberattaque à l’Elysée ? ») 

Eric Filiol : C’est difficile de vous dire exactement ce qui s’est passé à l’Elysée. Mais, par rapport à ce que nous voyons en entreprise et par rapport au code des attaques que nous avons l’habitude d’analyser, la réponse est oui : c’est un scénario classique. Sur une échelle technique de 1 à 10, nous sommes entre les niveaux 2 et 3.

On dit que c’est une attaque sophistiquée, qu’il a fallu recourir à Duku et à Flame, le tout sur fond d’agitation médiatique et souvent de manipulations des éditeurs antivirus. Mais nos étudiants de l’ESIEA peuvent le faire avec une simple feuille Word piégée.

Tout ce qui est compliqué et qui réclame une attention particulière, c’est la préparation en amont de la partie tactique est plus délicate. C’est la démarche opérationnelle en passant par trois phases : le renseignement, la planification (dans ce cas, c’est de l’ingénierie sociale) et la conduite de la manœuvre (gestion de la cible et de ses réactions). Mais la partie technique est simple pour concevoir le code et contourner les solutions antivirus.

On l’a déjà vu en partie avec l’attaque de Bercy de 2011 : le plus compliqué, c’est l’ingénierie sociale et l’approche de la cible pour l’inciter à faire quelque chose et ensuite installer un code malveillant qui se révèle être un code espion à travers un support anodin.

ITespresso.fr : Pourtant, on peut aisément imaginer que des surcouches de sécurité IT ont été installées pour protéger l’Elysée…

Eric Filiol : On peut l’imaginer de manière naïve en se disant que c’est un haut lieu de l’Etat. Donc forcément, c’est sécurisé. Mais cela ne semble pas être le cas, en particulier s’agissant de la gestion humaine de la sécurité.

Est-il normal que des serviteurs de l’Etat collaborant en haut lieu disposent d’une page Facebook ?

Même le sanctuaire de l’Etat français ne fait pas de protection particulière. Ou, en tout cas, la protection n’est pas significativement différente de celle que l’on trouve dans des endroits moins sensibles.

ITespresso.fr : Et sur le fait que cette attaque proviendrait des Etats-Unis, vous y accordez un certain crédit ?
Eric Filiol : Cela me semble crédible. Pendant des années, nous avons eu le méchant Russe de service puis le méchant Chinois de service. Pour une fois que l’on nous dit que l’attaque provient de nos gentils amis américains, je serais tenté de le croire.

ITespresso.fr : Dans le cadre de la préparation du Livre Blanc sur la Défense, quelles priorités de cyberdéfense souhaiteriez-vous mettre l’accent ?

Eric Filiol : Ne pas oublier la partie cyber-attaque. Je ne sais pas comment on peut défendre un système si on ne sait pas comment l’attaquer. Il faut arrêter de se voiler la face et se contenter d’une partie de la réalité. La cyberdéfense, on en parle beaucoup dans les salons professionnels et mondains. Mais on n’en fait pas beaucoup. Il suffit de regarder les profils des experts qui président les chaires dédiées à la cyberdéfense. Ce sont des sociologues, des juristes…

La France a perdu sa capacité de formation de manière indépendante et opérationnelle. Ce dont on a besoin, ce sont des serviteurs de l’Etat – militaires ou non – qui soient capables de défendre efficacement les systèmes et éventuellement d’attaquer ceux des autres. C’est une dimension qui se développe partout ailleurs. Il faut oublier la vision académique et revenir sur une vision opérationnelle.

ITespresso.fr : Le rapport Bockel sur la cyberdéfense apporte des réponses dans ce sens, non ?

Eric Filiol : C’est difficile de critiquer le rapport Bockel sur la cyberdéfense car il a le mérite d’exister. Je pense que le sénateur n’a pas été assez loin, sans doute en raison d’un devoir de réserve. Je n’écarte pas non plus des tentatives de lobbying. Il faut que l’Etat conserve une capacité opérationnelle de formation.

Je prends un exemple concret : comment la France peut-elle assurer sa défense quand elle ne peut pas obtenir des éditeurs fournisseurs de solutions de sécurité IT ou de systèmes d’exploitation, des informations critiques sur le code livré et sur ce qu’il fait vraiment.

Actuellement, nous sommes incapables d’assurer notre souveraineté dans ce domaine. Quand on est condamné à choisir entre les routeurs Cisco (Etats-Unis) ou ceux de Huawei (Chine) sans avoir la capacité d’avoir nos propres routeurs, peut-on vraiment parler de cyberdéfense ?

ITespresso.fr : Vous considérez qu’il faut inscrire noir sur blanc des capacités pro-actives (d’attaques) dans le Livre Blanc sur la Défense ?

Eric Filiol : Tout à fait. J’aime bien le parallèle entre la cyberdéfense du XXIème siècle et l’apparition de l’arme aérienne au siècle précédent. Au début du XXème siècle, les soldats ont dû lever la tête. Imaginons que la France ait dit à l’époque : « Nous allons rester vertueux. Nous n’allons utiliser que les canons et les batteries anti-aériens. Nous ne développerons pas d’avions pour attaquer. »

C’est exactement la même chose avec la cyberdéfense. Si on veut rester un pays Bisounours et qu’on ne développe pas d’armes adéquates, nous ne serons pas en phase avec la réalité du terrain.

(Lire la fin de l’interview page 2) : pertinence des outils antivirus, protection des terminaux mobiles

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur