Rattaché directement auprès du premier ministre, le Centre d’analyse stratégique a pour mission « d’éclairer le Gouvernement dans la définition et la mise en œuvre de ses orientations stratégiques en matière économique, sociale, environnementale ou technologique ». Ses derniers travaux portent justement sur la sécurité informatique et notamment les verrous juridiques qui freinent les expérimentations (PDF).
Le document est précieux et s’inscrit dans la lignée du livre blanc de 2008 sur la défense et la sécurité, ou le rapport Bockel. Il rappelle ainsi que les institutions et les organisations d’importances stratégiques sont insuffisamment protégées pour faire face à des attaques informatiques de plus en plus élaborées. « Élever le niveau de cybersécurité est une urgence pour préserver la compétitivité économique et la souveraineté nationale » affirme le CAS.
Le Centre recommande de suivre quatre pistes. Il préconise de « renforcer les exigences de sécurité imposées aux opérateurs d’importance vitale (OIV), sous le contrôle de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) ». L’enjeu serait en outre de « développer et mettre à la disposition des petites et moyennes entreprises des outils simples pour gérer les risques. »
Ces mesures pourraient aussi passer par des missions élargies au sein de l’ANSSI afin « d‘accompagner le développement de l’offre française de solutions de cybersécurité ». Par exemple, l’Agence pourrait être chargée de fournir des indicateurs statistiques « fiables et reconnus pour évaluer le niveau de la menace (nombre, origine géographique et typologie des attaques) ». Le CAS demande aussi que les équipes du CERT (Computer Emergency) soient sollicitées pour partager l’information dont elles disposent. Et il recommande une liaison avec l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC).
Surtout, le CAS rappelle une problématique bien connue : les législations protectrices notamment des intérêts des ayants droit ont peu à peu enseveli la recherche informatique. Ces couches normatives sont les sources d’une insécurité juridique. « Les chercheurs en informatique se trouvent dans une situation d’insécurité juridique qui limite leur champ de travail et réduit un vivier de compétences pourtant indispensables pour anticiper, innover et améliorer la sécurité » regrette le CAS.
DRM, DADVSI et brevets logiciels
Il pointe spécialement les DRM ou mesures techniques de protection qui verrouillent les œuvres. Ces DRM « peuvent créer des vulnérabilités dans les systèmes d’information » témoigne-t-il. Pour preuve, il rappelle le sombre épisode du système de protection XCP qui « installait automatiquement un logiciel contenant des failles de sécurité lors de la lecture d’un CD audio » (le fameux rootkit Sony). Le comble est que les chercheurs ont l’interdiction de contourner ces mesures depuis la loi relative au droit d’auteur et aux droits voisins dans la société de l’information (DADVSI). Le contournement est en effet assimilé à une contrefaçon avec ses fameux 3 ans de prison et 300 000 euros d’amende...
Il y a d’autres grains de sable, par exemple les brevets logiciels. Cette technique juridique de protection « offre la possibilité d’obtenir un monopole sur des techniques algorithmiques, y compris lorsque celles-ci sont nécessaires pour assurer la sécurité ». Le CAS note très justement que l’article 52 de la Convention sur le brevet européen de 1973 exclut les logiciels du champ du brevetable. Cependant, tempère-t-il, « l’Office européen des brevets (OEB) délivre en pratique des brevets logiciels en raison d’une interprétation extensive de la Convention et d’un modèle économique et de gouvernance discutable » (voir sur le sujet cette interview.)
Loi Godfrain et la rétro-ingénierie
La loi Godfrain de 1988 a elle-même sécrété son lot de verrouillage. « Appliquée de manière stricte, elle condamne pénalement le fait de divulguer publiquement une faille de sécurité jusque-là inconnue (sécurité par transparence ou Full Disclosure) alors que cela incite les éditeurs de logiciels à concevoir des correctifs ». La Cour de cassation elle-même a rappelé que le Full Disclosure était un délit.
Tout autant pointé du doigt, l’encadrement du reverse engineering. La rétro-ingénierie en effet « est interdite lorsqu’elle est effectuée pour des raisons de sécurité informatique », constate le CAS. « C’est pourtant le seul moyen d’évaluer le degré de sécurité de produits propriétaires. »
Assouplir ce cadre, sous le contrôle de l'ANSSI
Le CAS estime qu’il serait donc judicieux d’assouplir ce cadre juridique afin de laisser un champ aux chercheurs pour leurs expérimentations en matière de sécurité des systèmes d’information. Il préconise que ces travaux puissent être faits, sous le contrôle de l’ANSSI et d’un comité d’éthique ad hoc, afin d’éprouver la sécurité des logiciels et les moyens de traiter les attaques. « Des initiatives telles que le Laboratoire de haute sécurité informatique de l’INRIA à Nancy pourraient être reproduites : placé dans un environnement fermé avec un réseau isolé et des locaux protégés accessibles par reconnaissance biométrique, il offre un cadre technologique et réglementaire fiable pour mener des expérimentations et manipulations à caractère sensible. »