Lorsque pour des raisons de cyber sécurité, les États-Unis inscrivent Huawei sur la liste des technologies interdites en environnement dit sensible, la décision n’est pas qu’un satisfécit du président Trump pour agacer son homologue chinois. On peut y voir l’existence d’une vraie porte dérobée (accès au système par un processus non déclaré au client et non détectable) sur les systèmes du leader chinois et plus particulièrement sur les émetteurs 5 G. Mais la réciprocité dans ces cas-là est juste.

Le gouvernement chinois interdit, sur les sites sensibles, l’exploitation de technologies américaines ou israéliennes comme Cisco ou CheckPoint. Ainsi, pour préserver sa souveraineté technologique, le gouvernement chinois équipe son administration de serveurs Inspur, troisième constructeur mondial, mais qui utilise des puces Intel ! Les Chinois ont eux aussi vu que les Américains produisaient des portes dérobées. Mais la différence dans la forme est de taille. Pour les Américains c’est une démarche légale et obligatoire alors que pour les Chinois c’est une démarche confidentielle !


C’est une nécessité vitale pour un État de pouvoir exercer son droit au renseignement tout autant que de protéger ses informations. Et vendre une technologie à un autre État, c’est une opportunité de faciliter la collecte de renseignement. Telle la mise à disposition d’un cheval de Troie. Les pays européens sont en général à la merci des deux grands protagonistes. La géopolitique européenne, un peu utopiste, ne protège pas sa technologie avec autant de persévérance que le ferait la Russie, le Japon et même l’Australie. En France la notion de Sureté nationale telle qu’on la connait dans la culture anglo-saxonne n’existe pas. L’État sait protéger les entreprises directement impliquées dans la fourniture de solutions ou de services dits sensibles sans jamais s’interroger sur les niveaux de sous-traitance à identifier. Du grand groupe à la start-up, beaucoup de sociétés ont des secrets qu’elles tentent de protéger sans culture de sécurité ni assistance économique et technique que l’État pourrait délivrer. L’Europe a une conception idéaliste de l’éthique de ses partenaires et alliés. L’Europe fait confiance. Si cette démarche est saine dans le cadre des accords militaires, à commencer par ceux régis par l’OTAN, plutôt malmenée depuis l’intervention turque et le discours du Président Macron lors du 148e sommet européen, pour les acteurs privés de ces pays, l’oncle Sam et la Chine sont des concurrents comme un autre.

Quand une entreprise européenne opère sur le marché international, elle n’a pas d’autre choix que de se doter de solutions technologiques informatiques américaines, d’origine israélienne ou chinoise et coréenne. Elle offre ainsi, sur un plateau, et gratuitement, toute son information, son savoir et sa valeur immatérielle aux agences de renseignements des pays producteurs des technologies installées. Puisque les États ne se cachent plus devant la vérité de l’existence de porte dérobée permettant de pénétrer un système sans y être invité ni détecté ; dans la plupart des cas, cette posture ne présente aucune gêne particulière. Sauf quand l’entreprise opère sur des marchés internationaux face auxquels les Américains ou les Chinois sont ses concurrents, ou quand elle doit préserver un secret de fabrication et qu’elle ne souhaite surtout pas être copiée. Ce fut le cas récent d’un laboratoire de recherche européen installé en Chine, qui n’a pas su protéger son innovation, car le chiffrement est interdit pour les étrangers en Chine.

La première solution pour se protéger consiste à respecter les configurations types du constructeur, tel un firewall (pare-feu informatique protégeant l’entreprise de l’Internet externe) et de l’installer tel qu’il est vendu, avec les règles de paramétrage recommandé. Dans ce cas, le système en place permet, sans aucune contrainte pour les services de renseignement, de pénétrer le système de l’organisation et de faire ce pour quoi il est en place : du renseignement ! C’est donc la pire stratégie de sécurité à appliquer.

Le client pense alors que tout va bien, sans jamais supposer que la serrure qu’il vient d’acheter comprend une clé de secours que le serrurier a conservé.

La seconde solution c’est de ne pas passer à côté de l’offre technologique américaine ou israélienne. Pourtant ces technologies sont en générales les meilleures du marché en termes de fonctionnalité, fiabilité et performance. Dans de nombreux cas, on peut bénéficier de l’avantage technologique de la solution sans y laisser sa porte dérobée ouverte à qui de droit : en ne respectant pas les règles du constructeur et en ajoutant un composant tiers, on produit une configuration atypique. Et en matière de cyber sécurité, ce qui est atypique est par définition résistant ! En effet, un peu de disruption dans la sécurité provoque automatiquement une amélioration de la résistance face aux attaques de masse cyber. Une configuration construite sans respect des standards préconisés, mais avec intelligence, impose un peu de travail pour le malveillant qui va devoir produire un schéma d’attaque type, unique et sur mesure pour pénétrer le système de l’organisation. Le premier gain de cette démarche c’est de passer à côté des attaques de masse et automatisées. Cette opération engendre une résistance naturelle au système d’information qui est le temps. Sur le principe même du cambrioleur qui ciblerait une maison doté d’une porte plus facile à fracturer que d’une villa avec caméra et blindage. Le voleur n’est pas le même selon qu’il détient le savoir de contourner un système d’alarme ou une serrure 3 points ou qu’il a dans ses mains un bélier !

Ainsi, un paramétrage atypique peut offrir un réel avantage, mais il reste deux conditions pour qu’il soit totalement efficace. La première est d’ajouter à son infrastructure de cyber sécurité un chiffrement souverain qui provient d’un État protégeant la production, la vente et les clients du chiffrement. La Finlande est particulièrement bien dotée, la Suisse un peu moins, car de nombreux acteurs de cyber sécurité peuvent être détenus en capitaux par des sociétés américaines ce qui inhibe tout l’avantage politique de la société.

Plus confidentielle, l’Islande sait offrir des clés de chiffrements performantes et enfin la Suède, mais qui est membre de l’OTAN.

La condition essentielle est que les systèmes de chiffrement utilisés ne soient pas américains, chinois, israéliens, ou produit par un état membre de l’OTAN ou Russes par exemple. Il faut que le système de chiffrement provienne d’une société qui siège dans un pays qui détient une législation qui protège le chiffrement. Les trois pays cités précédemment sont ceux qui considèrent que la détention d’un secret est un droit inaliénable à son détenteur. Il s’agit de la Finlande, de l’Islande depuis sa réforme constitutionnelle de 2004 et bien sûr la Suisse. Ces trois nations ont un point commun : Elles protègent la donnée personnelle par un droit législatif très précis, elles ne font pas partie de l’OTAN ni du marché européen et ne reconnaissent pas les lois extra territoriales des autres États.
Aux États-Unis il est interdit pour un citoyen d’avoir un secret que l’État ne pourrait pas connaitre. Ce conditionnel en dit long sur les limites de la liberté selon le modèle américain. On retrouve ce schéma partout dans le monde avec des degrés de tolérance variable et des processus législatifs similaires. C’est en effet une condition non négociable pour un État de pouvoir savoir ce qu’il se passe sur son territoire et ainsi produire une stratégie de défense régalienne qui assure la pérennité de sa souveraineté et la protection de son territoire.

En France et pour l’ensemble des États membres de l’OTAN, le chiffrement est contraint. Et peu d’États possèdent son propre chiffreur. C’est un outil de cyber sécurité qui permet de produire un chiffrement unique dans les transmissions de données de l’organisation. Le rapport de la délégation parlementaire du renseignement de l’Assemblée nationale invoquait en 2017 que le choix du chiffreur pour les PME était restreint, tout en reconnaissant que la majorité des attaques informatiques n’étaient pas malveillantes, mais dans un seul but d’espionnage industriel. La solution pour l’entreprise et de s’équiper d’un chiffreur non souverain et produit à l’étranger ou d’un chiffreur souverain, mais dans ce cas classifié Secret Défense et donc contraint et cher à l’acquisition. Les puissances nucléaires protègent leurs installations, les secrets d’État et leurs bastions grâce à cela et heureusement. Mais quand, dans le domaine civil on achète une clé dans la boutique de la rue d’en face, il ne faut pas s’attendre à détenir une clé unique. La preuve en est quand sur le Dark Web, vous trouvez sur certains sites, souvent russes, des clés WhatsApp pour quelques centièmes de Bitcoin. En septembre, une clé WhatsApp se vendait 0,5 Bitcoin, soit environ 4 000 € au cours du moment.

Ce qui est curieux c’est de pouvoir trouver des milliers de clés pour des centaines de solutions, du Firewall au VPN (Virtual Private Network) en passant par les systèmes de messagerie cryptés.

La résistance d’une architecture est tributaire de son exotisme technologique

Ainsi, il est fréquent de rencontrer des entreprises équipées d’un environnement informatique ultra sécurisé et particulièrement efficace payé à prix fort. Mais leurs vulnérabilités se détectent parfois dans l’absence de secret quand aux équipements exploités. Trop souvent les éditeurs et constructeurs se targuent de citer un client comme référence et cette information est en soi un secret. Et bien souvent, c’est l’usage des configurations, trop standard qui rend la vulnérabilité plus présente associée à une architecture matérielle mono marque ou bimarque provenant toutes des États-Unis. Le paradoxe c’est qu’il suffit d’être un hacker un peu fortuné et compétent pour s’offrir une clé copiée. Et pourtant, pour quelques dizaines d’euros de plus, le bastion de l’organisation peut devenir subitement ultra résistant, car il rayonne sur l’internet via des systèmes exotiques.

 

La résistance cyber est tributaire de son exotisme.

Plus la configuration est éloignée des standards du marché, plus elle engendre de la résistance. C’est sans omettre l’ajout d’une petite solution pragmatique, intelligente et surtout souveraine, qui, assemblée sur une architecture standard, génère cette résistance.

Ainsi, ne jamais parler de sa cyber sécurité devra être un principe. À commencer par s’interdire toute publicité au travers des partenaires, constructeurs et éditeurs de solution de sécurité. Renforcer le cadre contractuel de la confidentialité pour les fournisseurs et sensibiliser son personnel est une première étape gratuite et particulièrement efficace. Enfin, se remettre en question chaque jour, considérant qu’il est toujours possible d’améliorer sa résistance devrait être une philosophie acquise, car elle fait vivre les configurations.
La dynamique des réglages offre une résistance toujours inattendue au point que les bastions impénétrables sont ceux que l’on ne connait pas parce qu’ils ont su rester secrets. Ils changent chaque jour d’identité parce qu’ils sont agiles et surtout, ils n’appliquent pas les prescriptions systématiques des éditeurs et constructeurs sans jamais se priver d’utiliser ici ou là, un petit complément technologique souverain qui fera toute la différence. Ainsi, en cyber sécurité et sur Internet ne pas porter le même costume que les autres permet, curieusement, de ne pas être vu.