Ercom, de l'interception légale à la protection des données

Ercom, de l’interception légale à la protection des données

Chiffrement et tabous

Avatar de l'auteur
Guénaël Pépin

Publié dans

Internet

30/10/2017 11 minutes
57

Ercom, de l'interception légale à la protection des données

Vieille PME française, Ercom s'est fixée comme cap de protéger les terminaux et données des entreprises françaises. Après un passé dans l'interception légale, elle revient avec nous sur son rôle de défense, s'associant à Orange pour fournir son chiffrement de bout en bout aux petites entreprises.

Fondée il y a plus de 30 ans, Ercom « a eu plusieurs vies » nous déclare Yannick Dupuch, son président, dans un entretien aux Assises de la sécurité de Monaco. L'une d'elles a été l'interception légale, dont elle souhaite se détacher autant qu'elle le peut désormais.

Elle insiste sur son activité de protection, qui représenterait l'essentiel de ses revenus (au montant inconnu) aujourd'hui. Certains services de la PME sont fournis à l'Élysée, au ministère des Affaires étrangères, au ministère de la Défense (pour 20 000 personnes) ou l'Imprimerie nationale.

Du smartphone au stockage en ligne, en passant par la messagerie instantanée, la société veut remplacer les outils habituels par du chiffrement de bout en bout, géré par l'entreprise. Elle fournit trois solutions : Cryptosmart (protection des terminaux et du réseau), Cryptopass (WhatsApp) et Cryptobox (équivalent chiffré de Dropbox). Cryptosmart est certifié par l'ANSSI, avec un agrément « diffusion restreinte » depuis 2015.

La sécurité sur mobile est son cheval de bataille. « Nous sommes partis du constat qu'avec le développement du mobile, nous serions amenés à faire davantage de choses sur un terminal et que, mécaniquement la concentration des attaques sur PC allait se reporter sur mobile... avec plus d'informations critiques » conte l'entreprise, qui s'appuie désormais sur des partenariats pour toucher les PME.

L'interception légale « n'est pas une activité pérenne aujourd'hui »

« Historiquement, la boite a une activité sur la partie lawful intercept, sur les systèmes classiques » retrace Yannick Dupuch. Fin 2014, L'Expansion affirmait qu'Ercom concevait un cheval de Troie capable d'enregistrer les frappes de clavier, la caméra ou le micro d'un PC, voire le micro d'un smartphone. Fin 2016, IntelligenceOnline relatait qu'une filiale de la société proposait Wifileaks, un outil d'interception Wi-Fi.

Sur son activité dédiée à l'interception, « il y a une habilitation, mais on n'est plus compétitifs aujourd'hui » lâche Yannick Dupuch. En fait, il est hors de question d'associer les produits actuels d'Ercom à l'interception légale, martèle Raphaël Basset, son directeur marketing. La société protège, sans obligation légale de fournir les données. 

Pour le président de la PME, « avec l'arrivée de toutes ces messageries [type Signal ou WhatsApp], ces systèmes deviennent inopérants aujourd'hui. Après, il faut entrer dans un domaine plus sophistiqué avec du keylogger et ainsi de suite. C'est une usine à gaz, ce n'est pas une activité pérenne aujourd'hui, parce que les modèles économiques sont complètement défaillants ».

La cause ? Le besoin d'exploiter des vulnérabilités. « Des gens sont très bien placés dans le domaine, avec une approche qui ne nous plaît pas trop. À partir du moment où vous entrez dans le développement de ces failles et que vous les exploitez... Ce n'est pas du business » pointe Dupuch. Pourtant, « l'intrusion non consentie sur un appareil passe nécessairement par des failles », nous fait remarquer un bon connaisseur du domaine.

La PME change donc officiellement de vie, en misant sur Cryptosmart, une solution clés-en-main pour protéger les smartphones et communications d'une entreprise. « Cette histoire est venue d'un appel d'offres du ministère de la Défense il y a six, sept ans. Nous sommes rentrés dedans par cet appel d'offre puis c'est devenu le core business de l'entreprise » se souvient son président.

Cryptosmart, pour protéger les terminaux mobiles

Pour un programme de sécurité, le mobile est « un écosystème compliqué ». Concepteurs de systèmes, fabricants de terminaux, opérateurs, développeurs d'applications... Où la protection des données mobiles doit-elle se situer ?

« Les premières attaques consistent à récupérer la donnée. Il y a des attaques beaucoup plus sophistiquées qui piègent le matériel du téléphone, avec un keylogger, donnant un accès en temps réel à l'information affichée sur l'écran, au micro et au clavier » fait remarquer l'entreprise. Elle a donc décidé de partir du matériel, du gestionnaire de démarrage (bootloader) lui-même, donc contacter les fabricants.

Apple n'a pas répondu, Samsung si. Cryptosmart d'Ercom s'intègre à son système Knox, qui crée une zone protégée pour les applications professionnelles. Concrètement, la solution d'Ercom utilise une carte SD comme une enclave sécurisée, « dans laquelle on met nos secrets ». L'outil blinde aussi l'appareil contre les attaques physiques (USB), Bluetooth et les MMS.

Un VPN permanent route enfin toutes les communications vers une passerelle propre à l'entreprise. « Nous créons un réseau au-dessus des réseaux classiques » déclare Yannick Dupuch. Les appels et SMS sont, eux, chiffrés de bout en bout, l'échange de clé s'effectuant de téléphone à téléphone sans que la passerelle ne consulte le contenu.


Ercom aux Assises de la sécurité en 2015

Cryptosmart : gestion des clés et évolution

Les clés sont générées (en AES-256) à chaque communication et « enfouies » dans la carte mémoire. Si l'interlocuteur ne dispose pas de Cryptosmart, un appel sera chiffré jusqu'à la passerelle, puis renvoyé en clair sur le réseau mobile du correspondant. « Pour les gens qui font des affaires à l'étranger [appelant la France], pour un grand groupe, c'est très important » note Yannick Dupuch.

Un employé peut donc installer le service de son entreprise sur son smartphone. L'accès est protégé par un code, avec un outil d'effacement à distance en cas de perte. Notez tout de même une limitation : les communications passent via la data, et non par un réseau 2G comme c'est actuellement le cas ; les couvertures entre les deux ne sont pas du tout les mêmes.

À la fin de l'année, l'outil devrait être disponible pour les smartphones Samsung Galaxy supportant Knox, y compris ceux du commerce, soit les gammes A, J et S. « La solution de fin d'année permettra aussi d'utiliser la carte SIM pour gérer les clés via son secure element » nous promet l'entreprise. Enfin, chaque utilisateur pourra créer un espace personnel sur un smartphone fourni par son employeur.

Cryptobox, du Dropbox à la sauce chiffrement et blockchain

Cryptosmart reste un outil lourd, impossible à installer sur de nombreux appareils, iPhone en tête. La société conçoit donc deux applications destinées à combler ce vide : Cryptobox et Cryptopass, clones assumés de Dropbox et WhatsApp. Leur intérêt : du chiffrement de bout en bout et une gestion des permissions par l'entreprise.

Avec Cryptobox, une société doit garder le contrôle de ses données, en choisissant de l'héberger sur ses serveurs ou sur un service tiers. Tout le contenu et des métadonnées sont déchiffrés localement, l'administrateur ne voyant que l'espace de stockage occupé. Les documents sont stockés dans des espaces de travail, auxquels plusieurs personnes (dont extérieures à l'entreprise) peuvent accéder.

Les données sont notarisées sur une blockchain (publique ou privée). À chaque modification, une empreinte (hash) est générée à partir du contenu de l'espace de travail et envoyée. Une fonction qui intéresserait certains domaines sensibles, comme la banque. Pour leur part, les fichiers sont versionnés, comme sur la plupart des services du genre.

Cryptobox : coffres-forts à deux clés et simili-Slack

Le principal intérêt pour une société est pourtant ailleurs. Ercom mise sur la gestion des communautés par l'administrateur, qui a une vue des accès aux espaces de travail ; ce qu'il n'aurait pas sur un service grand public. La gestion des clés est aussi particulière.

Elle est séparée en deux : une partie sur le serveur de l'entreprise, l'autre sur le terminal. « C'est le principe du coffre à deux clés, j'ai besoin de ces deux clés qui se reconstituent pour ouvrir mon information, mon coffre-fort numérique ». Selon la société, cela permet de réduire le risque face à un smartphone ou PC perdu, mais cela ne change rien si un utilisateur se fait dérober son terminal alors qu'il est déjà connecté. 

Enfin, un mécanisme de tiers de confiance (passant par une personne connectée à la même plateforme) permet de récupérer un mot de passe oublié.

Si Cryptobox est disponible sur les principaux systèmes (Android, iOS, Windows...), « nous n'avons pas toutes les fonctionnalités d'un Dropbox », reconnaît Yannick Dupuch. La principale limite est l'indexation, très difficile sur des données chiffrées. Le président d'Ercom évoque l'idée du chiffrement homomorphe, qui n'est pas encore en place.

En plus de l'hébergement de fichiers, la plateforme intègre des discussions de groupe calquées sur Slack, liées ou non à des espaces de travail. Les utilisateurs sont censés avoir peu de raisons de sortir de cet environnement. Pour la suite, un client de synchronisation est prévu pour macOS, quand les applications Cryptopass et Cryptosmart doivent permettre de sauvegarder les données dans un espace Cryptobox.

Face à WhatsApp et Telegram, Cryptopass

Aujourd'hui, la question la plus médiatique est celle des communications. Quand l'Élysée est dopé à Telegram, d'autres administrations communiquent par WhatsApp... Alors que l'État dispose déjà d'outils « sûrs » comme Citadel de Thales ou Prim'x. Cryptopass d'Ercom vient s'ajouter à cette liste, une première certification de l'ANSSI étant en cours (CSPN avant de candidater pour une EAL3+).

Pour Ercom, l'enjeu est de fournir un outil aussi simple d'utilisation que les solutions grand public, toujours chiffré de bout en bout, mais au périmètre contrôlé par la société. « C'est un problème pour toutes les entreprises. Il y a une problématique de confiance, notamment vis-à-vis des organismes étatiques » qui voudraient accéder aux données d'un acteur mondial, estime Yannick Dupuch. 

« Ils ne maitrisent absolument rien sur WhatsApp et Telegram. Il n'y a pas de DLP [outil de prévention de la perte de données] qui va filtrer les documents, absolument rien. Notre enjeu est de proposer une alternative beaucoup plus professionnalisée, avec les mêmes fonctionnalités » ajoute le président d'Ercom, avec pour principale arme l'ergonomie.

S'ouvrir aux PME mais éviter le grand public (et les terroristes)

Fin septembre, la société annonçait tout de même un partenariat avec Orange Cyberdefense, qui propose ses outils aux PME. « Nous sommes confrontés à la problématique générale des gens qui se moquent de la sécurité. C'est un marché à éduquer » résume encore son président.

Le cœur de sa stratégie est donc de fournir des plateformes abordables, contrôlées par l'entreprise elle-même. Pourquoi passer par Orange ? Venant du monde de la défense, Ercom n'avait simplement pas de contact vers les petites et moyennes entreprises. Pour l'opérateur, l'option peut être proposée pour améliorer l'expérience client ou pour augmenter le revenu moyen par abonné (ARPU), de manière simple.

Pour le moment, Orange commercialise ces solutions en hébergeant les « secrets » sur une carte SD. Il est bientôt censé l'intégrer directement à ses cartes SIM, via Idemia (ex-Oberthur), qui gère entièrement la logistique.

Il n'est, par contre, pas question de fournir d'application grand public. « C'est de la cryptographie de très haut niveau. On ne peut pas mettre ça entre les mains de n'importe qui. C'est pour ça qu'on ne veut pas faire d'application gratuite. Les produits certifiés EAL3+, EAL4+... Je n'ai pas envie que cela se retrouve demain matin dans les mains d'un groupuscule terroriste et nous en soyons rendus responsables » nous répond Yannick Dupuch. Contrairement à Telegram (et d'autres) qui mène un contrôle actif des canaux qu'il héberge.


À noter :

 

Cet article a été rédigé dans le cadre de notre participation aux Assises de la sécurité de Monaco, du 11 au 13 octobre, où nous avons été conviés par les organisateurs. Ces derniers ont pris en charge nos billets d'avion, notre hébergement et la restauration sur place. Conformément à nos engagements déontologiques, cela s'est fait sans aucune obligation éditoriale de notre part, et sans ingérence de la part des organisateurs.

Écrit par Guénaël Pépin

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

L'interception légale « n'est pas une activité pérenne aujourd'hui »

Cryptosmart, pour protéger les terminaux mobiles

Cryptosmart : gestion des clés et évolution

Cryptobox, du Dropbox à la sauce chiffrement et blockchain

Cryptobox : coffres-forts à deux clés et simili-Slack

Face à WhatsApp et Telegram, Cryptopass

S'ouvrir aux PME mais éviter le grand public (et les terroristes)

Commentaires (57)


C’est open-source la solution Cryptosmart ?



Parce que, sinon, ca veut-dire que je dois faire une confiance aveugle dans du code fermé écrit par une société spécialisée dans l’interception de données qui propose une solution certifiée par l’ANSSI (agence de la défense/sécurité nationale). Et là… heu… comment dire…


Non, ce n’est pas Open source. Mais il faut bien voir l’intérêt de Cryptosmart : c’est une application pensée pour le gouvernement et les gros groupes, pour protéger les intérêts de ces entreprises. L’état français n’a aucun intérêt à faire de l’espionnage industriel sur ses propres entreprises.



D’ailleurs l’ANSSI est là pour conseiller les entreprises françaises dans leur propre défense.








ErGo_404 a écrit :



Non, ce n’est pas Open source. Mais il faut bien voir l’intérêt de Cryptosmart : c’est une application pensée pour le gouvernement et les gros groupes, pour protéger les intérêts de ces entreprises. L’état français n’a aucun intérêt à faire de l’espionnage industriel sur ses propres entreprises.







Si on va par là, l’état français n’a aucun intérêt à faire de l’espionnage de ses propres citoyens. <img data-src=" />



Quoi qu’il en soit, ca ne me donne vraiment pas confiance quand je vois des phrases comme:





“C’est de la cryptographie de très haut niveau. On ne peut pas mettre ça entre les mains de n’importe qui. C’est pour ça qu’on ne veut pas faire d’application gratuite. Les produits certifiés EAL3+, EAL4+… Je n’ai pas envie que cela se retrouve demain matin dans les mains d’un groupuscule terroriste et nous en soyons rendus responsables”





<img data-src=" />



Les niveaux EAL n’ont rien a voir avec la complexité de la cryptographie. Cela concerne uniquement l’assurance qualité des méthodes de développement. Par exemple, “Windows XP Pro sp2” est certifié EAL4+…



Bref, pas confiance… Et sans confiance, pas de sécurité.



L’état français est là pour protéger les français, donc si une partie des français pose un risque, ça peut sembler légitime de les surveiller. Pour les entreprises, c’est différent. L’entreprise n’a pas de vie privée, soit elle respecte les règles et tout va bien soit elle ne le fait pas, mais l’état ne va certainement pas surveiller (illégalement !) les entreprises.

Après tu peux tomber dans la parano, c’est hyper facile. Mais dire que sans confiance, pas de sécurité, c’est un peu réducteur. Tu peux ne pas connaître le produit et ne pas lui faire confiance, ce n’est pas pour autant qu’il est mauvais et qu’il ne propose aucune sécurité.


Sur Cryptosmart ce qui est certifié EAL4+, c’est la puce qui contient le “coeur” de la crypto dans ce produit. Le niveau EAL n’indique pas la complexité de la cryptographie, mais la qualité de l’implémentation de l’algo choisi. C’est quand même sacrément important quand on parle d’algorithmes aussi critiques.


La France, toujours en retard.


Et donc, la qualité de l’implémentation est tellement bonne qu’il ne faut pas le donner/vendre au grand public ?



Désolé, je ne cautionne pas cette façon de voir les choses.


Là on est d’accord. Mais connaissant bien le produit, je pense que c’est surtout qu’il n’est pas vraiment prêt pour du grand public. Il nécessite d’avoir un modèle très spécifique de téléphone (pour avoir le secure element nécessaire), d’un serveur sur lequel doivent être tous tes contacts et de solides connaissances techniques pour la mise en place.


L’article mélange un peu tout et n’est pas très clair. Mais ErGo_404 a raison, Ercom est clairement positionné sur le secteur gouvernemental, les entreprises Française et la société travaille de façon très proche avec l’ANSSI.&nbsp;

Ils sont en phase de développement et de conquête de marché. Il me parait normal qu’ils protègent leur code pour le moment. Comme la future version 5.2 s’intègre à Knox, il est probable qu’il y ai aussi des accords de confidentialité signé avec Samsung.


franchement vous savez, lancer le débat “c’est open source ?” à chaque solution de sécurité c’est toujours relancer le même débat…



Et clairement non une société de sécurité qui lance un produit ne le montrera pas à tous ses concurrent, c’est un choix commercial logique. Surtout si l’ANSSI labellise le dis code, c’est une marque de qualité, l’ANSSI c’est pas un ptit groupe d’étudiants en informatique qui n’y connaissent rien et applique les ordres du gouvernement hein ^^



En tout cas très intéressant pour les sociétés, je vais filer l’article à un ami, si les tarifs sont correcte ce serait très utile pour sa boite :)


Oui, il y aura la question sur l’open-source (ou plus généralement du contrôle externe) à chaque fois qu’on parlera de sécurité informatique.



Sinon ca revient à faire confiance aux déclarations sur l’honneur du vendeur. Remember PRISM ?


Tu compare PRISM à l’ANSSI ?



Je te parle de commerce, car cette société dois bien vendre son produit. Tu pense bien que si elle diffuse son code, 2 jours plus tard, tous les concurrents ont mis une équipe de rétro ingénierie dessus….



Finalement la seule question qui compte c’est ta confiance. Tu ne fais pas confiance à l’ANSSI. Dont acte.

Mais tu ferais plus confiance à une société qui ouvrirait son code permettant à tout le monde de le “tester” sous entendu à tout le monde de le “sécuriser” et là tu tombe de nouveau au pays des bisounours, car tu pense bien qu’un paquet de personnes vont “tester” puis vendre les moyens de perforer les défenses.



Finalement qu’est ce qui est le plus sur ? Une société qui ouvre toute les portes et les fenêtres ? Ou une société qui est “authentifiée” et “approuvée” par des experts dans le domaine.



Y à pas de bonne réponse, c’est pour ça que c’est un débat stérile. L’open source ne sécurise pas plus qu’un système fermé et inversement. Tu es expert ? Tu en connais un ? Je suis sur que s’il envoi une demande à la société pour tester leur code ils le feront, parfois il suffit de laisser les gens demander, organiser des hackathons, … plutôt que de lâcher tout aux quatres vents.



  1. security by obscurity: c’est sécurisé car personne ne sait comment ça fonctionne.





    1. security by minority: c’est sécurisé car seul un petit nombre de gens sait comment ça fonctionne.



    2. Open security: c’est sécurisé car tout le monde peut voir comment ça fonctionne.



      Visiblement tu défends les stratégies 1 et 2… moi, je préfère la 3. Dont acte.



Exacte, deux vision rigoureusement différentes. Surtout que ton point 3. est rigoureusement faux. Voir ne veux pas dire comprendre. Tu vois une montre, mais tu ne la comprend pas, c’est donc pas plus sécurisé ni moins opaque.



Je te donne un exemple, tu prend l’avion et moi j’en ai conçu.

Pourtant jamais ma société n’a diffusé les plans de l’avion sur le net en open source ? Est il pour autant non sécurisé ? Est tu pret à nous faire confiance à nous et aux autorités de régulations ?



Il en va de même pour les bâtiments et des millier d’autres procédés ou produits industriels.



Ce qui est amusant c’est que l’industrie s’est déjà posée ces questions il y à longtemps (d’ailleurs quasiment toutes les méthodes de management de projets viennent de Toyota donc de l’industrie) on en as déduit que finalement




  1. Peu de personne ont les capacités de comprendre un choix technique dans un environnement complexe

  2. La régulation et les normes sont publique, nous sommes audités et validés ou non

  3. En cas de problème remonté par nos équipes, nos soustraitants, les autorités ou des experts nous diffusons un correctif et analysons le problème de manière publique



    Est il nécessaire de diffuser les plans en open source au risque de détruire notre savoir faire ? non. clairement cela n’apporte aucune sécurité.


ce style d’argumentaire est aussi celui des boites qui vendent des solutions de vote électronique et des machines de vote, et pourtant dans cet exemple il est totalement foireux.



donc tout dépend évidemment de ce qu’on veut sécuriser.


Totalement, c’est pour cela que je dis que la question est stérile car elle se pose pour chaque personne et à de nombreux niveaux.



Finalement la “réponse” ne sera pas la même pour un service aux entreprises, un aux particuliers, l’état, … Et inversement elle sera encore différente en fonction de qui se la pose, dans quel domaine et pour quelles raisons…



L’open source à du bon, du très bon même. Mais ce n’est de loin pas une solution universelle et parfaite.



&nbsp;En gros tu l’aura compris le :

&nbsp;“c’est open source ? Non alors c’est des menteurs ou des gens de mèche avec les services secret”

M’énerve un peu voir beaucoup … on fini par tomber dans un complotisme constant




En gros tu l’aura compris le : “c’est open source ? Non alors c’est des menteurs ou des gens de mèche avec les services secret” M’énerve un peu voir beaucoup … on fini par tomber dans un complotisme constant





Alors que tout le monde sait bien qu’il n’y a aucune raison de soupçonner les agences gouvernementales en charge de la sécurité.








127.0.0.1 a écrit :





  1. security by obscurity:(…). Visiblement tu défends les stratégies 1 et 2… moi, je préfère la 3. Dont acte.





    Je crois que personne n’a prétendu ni le point 1 ni le point 2. Il est évident qu’ils sont faux.



    Le débat n’est pas est-ce sécurisé parce que c’est restreint, mais est est-ce que ça peut être considéré comme sécurisé malgré le fait que ce soit restreint. Ça n’a absolument rien à voir avec la sécurité par l’obscurité.



    Il y a largement de quoi débattre sans caricaturer le discours de la partie adverse.



Ça dépend de qui tu es.

Pour une administration, une solution validée ANSSI, c’est parfait.


Si c’est pas ouvert, qu’il n’y a pas de communauté, ou à défaut une équipe conséquente de spécialistes hyper qualifiés,&nbsp; CryptoBox a juste pour vocation à se faire hacker sans qu’on s’en rende compte. Si j’étais eux, je ferais une version open sans les fonctionnalités entreprise pour au moins garder la base de la solution un peu auditée par la communauté.



Reste que l’argument “c’est de la cryptographie de très haut niveau, je ne veux pas que ça se retrouve entre les mains des terroristes”, ça ne me rassure pas sur le sérieux de la solution: Soit c’est des algos connus pour le chiffrement, et il n’y a pas d’intérêt&nbsp; à se la jouer ‘trop dangereux pour mettre entre toutes les mains’, soit c’est des nouveaux algorithmes et il y a fortement lieu de s’inquiéter si la communauté cryptographique n’a pas pu les analyser.

&nbsp;

Mais bon, comme ils viennent du monde de l’interception, il leur faudra sans-doutes un certain moment pour se rendre compte que la magie n’a pas sa place en sécurité.




Sur son activité dédiée à l’interception, « il y a une habilitation, mais on n’est plus compétitifs aujourd’hui » lâche Yannick Dupuch. En fait, il est hors de question d’associer les produits actuels d’Ercom à l’interception légale, martèle Raphaël Basset, son directeur marketing. La société protège, sans obligation légale de fournir les données.



J’avoue que ça me chagrine un peu : l’entreprise se dit elle-même non-compétitive sur l’exploitation de failles et l’accès aux données (pour interception légale), mais prétend en même temps protéger de l’exploitation de failles et l’accès aux données. Voilà un discours dont la ~cohérence n’est guère propice à rassurer les dirigeants de PME.



Si en plus ce sont des séides du Ministère de l’Intérieur… Bonne chance à eux.



En l’occurrence, quand tu es une entreprise française, suspecter l’ANSSI ou l’état de vouloir te surveiller, c’est crétin. Ils sont précisément là pour te protéger contre la surveillance des autres états.



Et l’Open source, malgré ses qualités, a quand même le gros défaut de la divulgation des sources. Pour une entreprise comme Ercom, la grosse plus value c’est le produit lui-même, pas le support, donc le modèle économique du code ouvert et gratuit et du support payant ne tient pas spécialement, puisque les concurrents pourraient reprendre le code et faire du payant un peu moins cher pour concurrencer.


C’est à ça que servent les audits. Tu n’es pas obligé de monter une équipe de hackers pour sécuriser ton produit, par contre ça ne t’empêche pas de te faire auditer régulièrement pour valider qu’il est fiable et sécurisé.


Il y a aussi un (petit) fossé entre le discours d’un PDG qui a essentiellement un background et un rôle commercial et l’équipe technique qu’il y a derrière. Son point de vue n’est pas forcément celui de ses employés, et les mots qu’il utilise ne sont pas forcément des plus précis d’un point de vue technique.


Heu… non. Je ne prétend pas que les deux premières stratégies sont “évidement fausses”.



Ce sont des très bonnes stratégies dans certains cas (par exemple cacher un double de ses clés de maison sous une dalle de la terrasse c’est de la security by obscurity).



Je m’explique beaucoup moins cette stratégie lorsqu’il s’agit de chiffrage de bout-en-bout des données… Qu’est-ce qui est donc si secret dans le traitement des données qu’il mérite de rester secret ? Est-ce que connaitre ce secret mettrait en péril la sécurité ? etc.


Perso je considère que la sécurité par l’obscurité n’est pas de la sécurité. Au mieux c’est de l’offuscation. Mais peu importe, c’était pas trop ça ce dont je voulais parler.



Ce que je critiquais c’était ton opposition sécurité par l’obscurité vs open source, qui est à mon sens hors-sujet. Ercom ne fait pas (ou en tout cas cet article ne permet pas de le penser) de la sécurité par l’obscurité. Personne ici n’a prétendu que la sécurité de leur produit était ne serait-ce qu’en partie due à la non-divulgation de leurs source.



Ça ne retire rien à tes autres messages, qui posent la (bonne) question de la confiance qu’on peut avoir en eux malgré l’incapacité de contrôler ce que le logiciel fait.



Et pour répondre à la fin de ce dernier message, je pense comme d’autres l’ont dit que c’est avant tout un sujet commercial. S’ils avaient un moyen simple d’offrir la transparence sans que ce soit trivialement copiable, ils seraient bien contents de le faire, ne serait-ce que pour éviter les questions comme la tienne… mais je me trompe peut-être!

Je me base pour ça sur le fait que j’ai plutôt confiance dans l’ANSSI…. mais je me trompe peut-être aussi!








ErGo_404 a écrit :



En l’occurrence, quand tu es une entreprise française, suspecter l’ANSSI ou l’état de vouloir te surveiller, c’est crétin. Ils sont précisément là pour te protéger contre la surveillance des autres états.







Question: Qu’est-ce qui me prouve que Ercom, société financée par la nation pour fabriquer ses mouchards nationaux, n’a pas laissé un accès “lawfull” dans sa solution de chiffrement ?



Réponse: Non seulement la nation n’a que faire de collecter du renseignement, mais de plus Ercom a été accrédité par une agence qui s’occupe de la défense et de la sécurité de la nation.



Comme tu l’as dit toi même, c’est à chacun de voir. Dont acte. etc.



Question : qu’est-ce qu’ils en ont à foutre de te plaire à toi ?

Réponse : rien.



Je me répète, encore et encore, qu’est-ce que l’entreprise doit craindre de son propre gouvernement en termes de “mouchard” et d’espionnage ?


Rien a craindre, Rien a cacher… Le chiffrement c’est pour les paranos.


Mwais… c’est encore plus dramatique si c’est le pdg qui tient ces propos, parceque du coup&nbsp; ça dénote d’un problème de compréhension de ses propres activités. Si le PDG n’a même pas un semblant de culture de sécurité un peu sérieux et ne sait pas de quoi il parle, il vaut mieux parler avec d’autres fournisseurs.



&nbsp;« Nous sommes confrontés à la problématique générale des gens qui se moquent de la sécurité. C’est un marché à éduquer »


Comme je le disais un peu plus tôt, l’article est bardé d’approximations et de mal-compréhension des produits Ercom… Je suppose que le journaliste c’est un peu mélangé les pinceaux après la soirée au Méridien ;)


Ou alors c’est sont interlocuteur qui était bourré :)








ErGo_404 a écrit :



Je me répète, encore et encore, qu’est-ce que l’entreprise doit craindre de son propre gouvernement en termes de “mouchard” et d’espionnage ?





La même chose qu’elle a à craindre des gouvernements étrangers, je pense : fuite de secrets industriels et de savoir-faire, favoritisme (au profit de structures “amies”), etc. Les mêmes travers se retrouvent à toutes les échelles… Le mythe du gouvernement bienveillant par nature envers ses nationaux (entreprises comme individus) a vécu, dans ce système désormais mondial.



Non mais la France n’a aucun intérêt à revendre les secrets de ses propres entreprises à l’étranger.

Quand à la fuite inter entreprises… les solutions de sécurité d’Ercom sont plutôt axées gros (et très gros) groupes, soit les entreprises qui sont déjà les “favorites” du gouvernement.


Ton problème c’est que tu essayes de décrédibiliser les propos des autres (que ça soit l’entreprise ou nous) en déviant le débat dès qu’un argument te déplaît. Si tu ne veux pas passer pour un gros parano, décris nous exactement les risques d’une entreprise face à son propre gouvernement.



Moi je vois la situation comme ça : pourquoi le gouvernement se ferait chier à payer une boîte qui fait de la sécurité pour qu’elle espionne des boîtes qui utilisent ces services sur conseil du gouvernement, alors qu’il suffirait de ne pas pousser ces boîtes à chiffrer leurs échanges et à les surveiller directement sur le réseau ?








ErGo_404 a écrit :



Ton problème c’est que tu essayes de décrédibiliser les propos des autres (que ça soit l’entreprise ou nous) en déviant le débat dès qu’un argument te déplaît. Si tu ne veux pas passer pour un gros parano, décris nous exactement les risques d’une entreprise face à son propre gouvernement.







Le problème c’est que je donne mon avis personnel et tu essayes de me convaincre que j’ai tort.



MOI, PERSONNELLEMENT, je n’installerai pas une solution de chiffrement écrite par une société qui était financée par l’état pour coder les mouchards de la DGSE.



Après, VOUS faites comme vous-voulez…



Non, tu ne donnes pas ton avis personnel, tu assènes des contre vérités pour essayer de convaincre les autres (n’est-pas le seul intérêt de commenter ici, convaincre les autres ?).



Par exemple, dire qu’ils sont financés par l’état est faux. L’état est un de leurs clients, mais ils ne sont pas financés par l’état. Ils ont développé des logiciels d’écoute, certes, mais ça ne rend pas les autres produits foncièrement mauvais, contrairement à ce que tu penses.



Mais comme je l’ai dit plus haut, ne fais pas l’erreur de croire que j’essaye de TE convaincre. Tu n’es pas la cible du produit, je n’ai aucune raison d’essayer de le vendre, simplement je le connais bien et ça me fait un peu mal que tu craches dessus avec des idées reçues grosses comme les clés de chiffrement de Cryptosmart.


Le bullshit c’est comme le reste, il faut respecter la posologie, sinon on arrive rapidement au stade ou plus personne ne comprend de quoi il est question.








ErGo_404 a écrit :



Par exemple, dire qu’ils sont financés par l’état est faux. L’état est un de leurs clients, mais ils ne sont pas financés par l’état. Ils ont développé des logiciels d’écoute, certes, mais ça ne rend pas les autres produits foncièrement mauvais, contrairement à ce que tu penses.







Google est ton ami… fais toi plaisir en tapant Ercom + FSI





Mais comme je l’ai dit plus haut, ne fais pas l’erreur de croire que j’essaye de TE convaincre. Tu n’es pas la cible du produit, je n’ai aucune raison d’essayer de le vendre, simplement je le connais bien et ça me fait un peu mal que tu craches dessus avec des idées reçues grosses comme les clés de chiffrement de Cryptosmart.





Pour moi (personnellement moi-même) une solution de chiffrement de Ercom, c’est comme une solution d’anonymisation de TMG: j’ai pas confiance. Appelons ca le principe de précaution et restons en là !









127.0.0.1 a écrit :



Et donc, la qualité de l’implémentation est tellement bonne qu’il ne faut pas le donner/vendre au grand public ?



Désolé, je ne cautionne pas cette façon de voir les choses.







Ca tombe bien, cette solution ne te concerne pas.<img data-src=" />









secouss a écrit :



Tu compare PRISM à l’ANSSI ?



Je te parle de commerce, car cette société dois bien vendre son produit. Tu pense bien que si elle diffuse son code, 2 jours plus tard, tous les concurrents ont mis une équipe de rétro ingénierie dessus….





La rétro ingénierie, c’est quand on a pas le code justement. Si on l’a, l’ingénierie inverse ne sert à rien.<img data-src=" />









ErGo_404 a écrit :



Non mais la France n’a aucun intérêt à revendre les secrets de ses propres entreprises à l’étranger.





Bah Sarkozy l’a bien fait en Chine avec Airbus. Et maintenant les Chinois produisent un avion de ligne 3 fois moins cher qu’un Airbus. Il devait bien avoir un intérêt qui nous échappe non ?









Ricard a écrit :



Ca tombe bien, cette solution ne te concerne pas.<img data-src=" />







Ercom refuse que la solution me concerne… c’est différent.



Je ne suis qu’un individu (un “n’importe qui” dans leur argumentaire) et je ne mérite pas d’avoir accès à de la cryptographie de très haut niveau (kesako ?).





“C’est de la cryptographie de très haut niveau. On ne peut pas mettre ça entre les mains de n’importe qui. C’est pour ça qu’on ne veut pas faire d’application gratuite. Les produits certifiés EAL3+, EAL4+… Je n’ai pas envie que cela se retrouve demain matin dans les mains d’un groupuscule terroriste et nous en soyons rendus responsables ”




Est-ce que tu fais confiance à l’éditeur de ta solution antivirus ? La confiance, c’est le nerf de la guerre, un produit Open Source a l’avantage de jouer carte sur table, à l’inverse un produit “fermé” doit nous amener à nous interroger et à rester méfiant, surtout si nous optons pour ce type de solution.



Je pose la question de l’antivirus, car dans le monde de l’Open Source, je ne trouve pas de solution aussi performante que les produits du marché. Et dans le monde de la sécurité en général c’est un peu la même chose, trouver une solution de firewalling Open Source aussi performante qu’un Palo Alto, une solution de patch management, de bastion d’administration, etc.


Je ne demande pas que ce tous les logiciels du monde soient toujours Open-Source par idéologie. J’utilise des tas de logiciels closed-source, même certains liés à la sécurité (ce qui n’empêche pas de contrôler ce que fond ces logiciels et de mettre des protections/gardes-fous).



Là il s’agit du cas particulier de la société Ercom. Vu le passé de la société, la seule façon pour moi d’avoir confiance dans le produit de Ercom c’est de voir le code source.



C’est comme je l’ai dit dans cette discussion, c’est comme si TMG proposait un service de VPN ou un client P2P…


Bah si, à vérifier que le code que l’on te fait observer est le même que celui qui est compilé dans l’application <img data-src=" />


Dans ce cas là, libre à toi de filtrer les flux sortants et voir ce qu’il y a dans les paquets <img data-src=" /> ça te permettra un contrôle bien plus rigoureux et t’amènera ou pas, à leur faire confiance.



Je comprends bien que leur historique ne te permet pas de leur faire confiance, maintenant on peut dire aussi que l’horreur erreur est humaine, et qu’ils ont pu changer/évoluer dans le bon sens <img data-src=" />




Dans ce cas là, libre à toi de filtrer les flux sortants et voir ce qu’il y a dans les paquets





bah non… justement je ne peux pas voir ce qu’il y a dedans puisque c’est un chiffrement de bout-en-bout avec de la “cryptographie de très haut niveau” qu’on ne peut pas mettre en toutes les mains.



J’en déduis que ce qui circule n’est pas un simple chiffrement du fichier avec aescrypt comme je le fais actuellement.








KzR a écrit :



Bah si, à vérifier que le code que l’on te fait observer est le même que celui qui est compilé dans l’application <img data-src=" />





Relis bien mon post et essaye de le comprendre.<img data-src=" />









127.0.0.1 a écrit :



Ercom refuse que la solution me concerne… c’est différent.







Pas plus qu’ une entreprise qui vend du matériel médical (scanner, IRM…) par exemple. Tu ne t’en offusques pas pour autant, si ?





Je ne suis qu’un individu (un “n’importe qui” dans leur argumentaire) et je ne mérite pas d’avoir accès à de la cryptographie de très haut niveau (kesako ?).



Crypto de très haut niveau, c’est juste du marketing. Du E2E en AES 256, t’en trouves partout. Et c’est aussi sécurisé.



Je l’ai bien lu, relis bien mon post et essaye de le comprendre <img data-src=" />


À mon avis c’est avant tout marketing, ça serait à tester en mettant un de tes équipements de filtrage dans cette chaine de communication :)



Mais bon, après il y a d’autres produits qui pourront sans doute répondre à ton besoin et pour lesquels tu auras davantage confiance, chez StormShield par exemple, je crois qu’ils ont un équivalent.








Ricard a écrit :



Pas plus qu’ une entreprise qui vend du matériel médical (scanner, IRM…) par exemple. Tu ne t’en offusques pas pour autant, si ?







Je suis justement dans une entreprise qui vend du matériel médical destinés aux “gros” laboratoires.



Ca ne signifie pas pou autant qu’on refusera de les vendre aux particuliers au motif que “c’est une technologie trop avancée, t’as pas le niveau, casse-toi sale bouseux”.









secouss a écrit :



Exacte, deux vision rigoureusement différentes. Surtout que ton point 3. est rigoureusement faux. Voir ne veux pas dire comprendre. Tu vois une montre, mais tu ne la comprend pas, c’est donc pas plus sécurisé ni moins opaque. &nbsp;



&nbsp;

&nbsp;Pour moi c’est simple : Si la solution 3 ne garantie rien (car , effectivement, c’est pas parce que c’est OpenSource qu’il n’y pas pas de bugs d’implémentation / de logique / qu’on y comprenne quelque chose, le meilleur exemple c’est OpenSSL), le problème des solution 1 et 2 c’est le damage-control le jour où le ou les problèmes sortent. Le meilleur exemple de ça est encore tout récent avec le CVE-2017-15361 et ses conséquences.

Le jour où on trouvera une faille dans KNOX, ERCOM pourra toujours aller pleurer à samsung, mais leurs clients seront le bec dans l’eau sans moyen de se défendre. Et n’imaginons même pas si ERCOM disparait ou se fait racheter….

L’opensource c’est pas seulement une possibilité (non garantie) de sécurité, c’est surtout un moyen de se rendre indépendant du fournisseur (yubico l’apprend à la dure en ce moment). C’est sur qu’enfermer ses clients c’est bon pour cette entreprise, mais de la a dire que c’est bon pour ses clients….









KzR a écrit :



Je pose la question de l’antivirus, car dans le monde de l’Open Source, je ne trouve pas de solution aussi performante que les produits du marché. Et dans le monde de la sécurité en général c’est un peu la même chose, trouver une solution de firewalling Open Source aussi performante qu’un Palo Alto, une solution de patch management, de bastion d’administration, etc.





Les antivirus, ces dernières années, sont devenus de grandes cibles du hacking et sont devenus eux-mêmes des vecteurs d’attaque… tout en ayant une efficacité en sérieux déclin.



&nbsp;Et ne parlons même pas de la qualité d’intégration à l’OS avec jusqu’à il y a peu, de trop nombreux antivirus incapables de tourner sans désactiver SELinux, s’insérant via des hooks douteux plutôt que de fonctionner via l’interface LSM (linux security modules), et bloquant les mises à jour du kernel.



La majorité des softs de gestion-sécurité closed source que j’ai pu voir dans ma carrière, que cela vienne de C.A. IBM, BMC, et les autres, étaient souvent des florilèges de mauvaises pratiques absolument inaptes à tourner dans le monde de l’entreprise à l’heure des APT, mais achetés sous grâce à la force commerciale des fournisseurs et en dépit des résultats des tests de validation.



Pour moi, si une solution n’est pas open, c’est qu’elle a au minimum sa médiocrité à cacher.









127.0.0.1 a écrit :



Je suis justement dans une entreprise qui vend du matériel médical destinés aux “gros” laboratoires.



Ca ne signifie pas pou autant qu’on refusera de les vendre aux particuliers au motif que “c’est une technologie trop avancée, t’as pas le niveau, casse-toi sale bouseux”.





lol









KzR a écrit :



Je l’ai bien lu, relis bien mon post et essaye de le comprendre <img data-src=" />







L’ingenierie inverse ça sert pas à comparer du code qu’on a déjà, mais des fonctionnalités supposées et/ou hypothétiques hein.<img data-src=" />