Afficher les résultats
Comment, entre cybersécurité et «lutte informatique offensive», la France gère-t-elle la question, particulièrement sensible, des vulnérabilités pas encore rendues publiques ni corrigées (dites «zero-day»), sur lesquelles reposent certaines armes numériques ? Début avril, cette chronique revenait sur la visite d’Emmanuel Macron à Bruz (Ille-et-Vilaine), dans les installations de la Direction générale de l’armement-Maîtrise de l’information (DGA-MI), qui conçoit les «armes cyber»destinées au ministère des Armées. Or la DGA-MI assure partager le «diagnostic sur les failles» dont elle a connaissance avec l’Agence nationale de la sécurité des systèmes d’information (Anssi), chargée de la protection des réseaux de l’Etat et des entreprises sensibles – mais sans dire «lesquelles elle exploite».
A LIRE AUSSI :Le dilemme du fabricant de «cyberarmes»
Prime à la défense… ou presque
L’affaire est en réalité plus complexe, comme l’a expliqué le patron de l’Anssi, Guillaume Poupard, interrogé par Libération lors d’une conférence de presse, le 15 avril. «La doctrine française est très claire : à chaque fois que c’est possible, cela bénéficie à la défense», a-t-il indiqué. En pratique : si une faille peut être corrigée (par une mise à jour de sécurité pour un logiciel ou un système d’exploitation, par exemple), l’Anssi en sera avertie, et alertera à son tour l’éditeur pour qu’il agisse en conséquence. Mais – c’est là toute la subtilité… – si la faille est «beaucoup plus compliquée» voire «impossible» à corriger, «la partie offensive peut s’autoriser à [la] garder» pour son propre usage – autrement dit, la DGA ne partage pas nécessairement tout ce qu’elle trouve. Il s’agit d’une «doctrine globale de la France», précise également Poupard ; elle s’applique donc aussi à la DGSE, le renseignement extérieur français, qui a longtemps eu l’apanage des opérations offensives.
Autre élément : peut-il y avoir un délai entre le moment où la «partie offensive» a connaissance d’une faille, et celui où l’Anssi est notifiée ? «Probablement : par définition, je ne vois que ce qui m’est transmis, formellement, répond le patron de l’agence. Cela ne nous empêche pas, évidemment, d’avoir des discussions intelligentes pour savoir quel est le meilleur compromis à trouver.» Ce qui, dans le modèle français qui sépare attaque et défense, peut «mobiliser parfois les plus hautes autorités».
«Accords de confidentialité»
Aux Etats-Unis, où la NSA est en charge à la fois de l’espionnage en ligne et de la protection des réseaux étatiques, la recherche de ce type de «compromis» a fait l’objet d’une codification : c’est le «processus d’évaluation et de gestion des vulnérabilités» (Vulnerabilities Equities Process, ou VEP), mis en place en 2010 et déclassifié à partir de 2016. La gestion des failles y engage à la fois les agences de renseignement et les principaux ministères ; dans le choix de les divulguer ou de les conserver, plusieurs critères sont pris en compte : leur impact potentiel sur la sécurité des réseaux, la facilité ou la difficulté à les exploiter, leur «valeur opérationnelle» du point de vue offensif…
D’autres pays – Royaume-Uni, Pays-Bas, Australie – ont adopté des VEP, et un équivalent est en cours de développement en Allemagne. Reste que le processus américain fait toujours l’objet de critiques, notamment parce que des «accords de confidentialité» avec des partenaires étrangers ou privés peuvent s’imposer au gouvernement des Etats-Unis. Autrement dit, des failles communiquées par de très proches alliés ou achetées à des entreprises qui en font commerce pourront passer sous le radar…
Créer mon blog