Face aux routeurs chinois, l’ANSSI oppose l’analyse de risque

Face aux routeurs chinois, l’ANSSI oppose l’analyse de risque

ZTE et Huawei tendent l'oreille

Avatar de l'auteur
Marc Rees

Publié dans

Logiciel

03/10/2012 4 minutes
31

Face aux routeurs chinois, l’ANSSI oppose l’analyse de risque

En direct depuis Monaco. Dans le rapport sur la Cyberdéfense, le sénateur Jean-Marie Bockel avait mis en cause les équipements chinois placés dans le cœur du réseau. Aux Assises de la sécurité, Patrick Pailloux, directeur de l’ANSSI a été interrogé sur la question.

Huawei routeur

 

Le parlementaire du Haut Rhin avait créé l’émoi chez les géants chinois de l’électronique :  il voudrait « interdire sur le territoire national et à l’échelle européenne le déploiement et l’utilisation de « routeurs » ou d’autres équipements de coeur de réseaux qui présentent un risque pour la sécurité nationale, en particulier les « routeurs » et certains équipements d’origine chinoise ». Il pointe du doigt, nommément, les géants Huawei et ZTE, craignant qu’un pays producteur puisse placer dans ces produits des dispositifs de surveillance ou d’interception en cœur de réseau.

De l’analyse de risque

Interrogé aux assises de la sécurité à Monaco, Patrick Pailloux, numéro un de l’ANSSI, refusera de commenter la proposition du législateur… ou plutôt, concentrera sa réponse sur les fondamentaux de l’analyse de risque. « La question qu’il faut se poser c’est, quand vous avez des systèmes essentiels, comment vous assurez que vos systèmes font exactement ce pour quoi ils sont faits et qu’ils fonctionnent correctement ? C’est un problème d’analyse de risque. »


Plutôt qu’une réponse frontale, le représentant de l’autorité donnera un exemple concret, qualifié d’extrême. « Dans le domaine du secret défense, quand on veut protéger des informations essentielles à la survie de la nation, on s’adresse à des industriels pour exiger que la totalité du matériel soit sous contrôle national. Typiquement, on a un nouveau téléphone ‘secret défense’. Il s’appelle Théorème et a été conçu par Thales - je passe sur le jeu de mot. Il a été fabriqué 100% en France. Un tel téléphone ne coûte pas le même prix que celui que vous avez à la maison et est évidemment d’un degré de convivialité moindre… »
 

Si l’Anssi, émanation du pouvoir exécutif refuse de commenter la proposition du législateur, elle appelle cependant la communauté à mener ce travail d’analyse de risque. Une analyse qui passe nécessairement par la prise de précautions importantes, notamment au regard du fournisseur.

Maitrise des règles

Patrick Pailloux rebondira sur Facebook. « Indépendamment de savoir si le réseau social a bien ou mal géré la protection des données personnelles, Facebook offre un service gratuit que l’utilisateur ne maitrise pas. Bon, pas bon, utile, pas utile, ce n’est pas mon débat ; les règles qui s’appliquent sont celles proposées par l’entreprise. Personne ne vous oblige à l’utiliser simplement vous ne les maitrisez pas. Est-ce grave ou est-ce que cela ne l’est pas ? Ce qu’on répète à longueur de journée est que quand vous êtes une entreprise et que vous avez des données sensibles, il faut que vous puissiez, d’une certaine limite, garder la maitrise de votre système d’information ; et donc vous ne pouvez pas faire appel à des solutions dans lesquelles vous n’avez pas les moyens de négocier a minima un certain nombre de clauses. »
 

L’ANSSI avait d’ailleurs publié un guide sur l’externationalisation riche d’une liste de clauses qu’un client peut exiger du prestataire. « Face à Google sur le cloud, face à Gmail ou Facebook, ce travail ne peut pas être fait. Ce n’est pas un reproche : ils ont défini un certain niveau de sécurité - bon ou pas bon, ce n’est pas mon débat - c’est eux qui ont choisi, ce n’est pas vous. Et donc quand vous avez des informations sensibles à protéger, il vous appartient de définir votre besoin de sécurité, pas à un tiers. »

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

De l’analyse de risque

Commentaires (31)


j’aime bien son style à ce gars… à chaque exemple c’est “bon ou pas bon, je ne veux pas prendre parti mais ce n’est pas vous qui avez choisi” (sous-entendu “et donc c’est de la merde en branche”) <img data-src=" />



Bon dans l’absolu, il a raison hein… c’est du bon sens





Typiquement, on a un nouveau téléphone ‘secret défense’. Il s’appelle Théorème et a été conçu par Thales - je passe sur le jeu de mot.



Quand on vous dit qu’on se marre à ne plus en pouvoir à l’ANSSI.





Face aux routeurs chinois, l’ANSSI oppose l’analyse de risque



Dit autrement : vous pouvez prendre chinois si vous voulez mais venez pas pleurer après <img data-src=" /> <img data-src=" />








WereWindle a écrit :



Dit autrement : vous pouvez prendre chinois si vous voulez mais venez pas pleurer après <img data-src=" /> <img data-src=" />







On aura pas le temps de se plaindre quand l’invasion aura commencé !

<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />



Il a raison. Moi je fais plus confiance à Cisco.<img data-src=" />


Ça existe, Angry Birds Rio sur “Théoreme” ? <img data-src=" />



<img data-src=" />



&lt;——-








Ricard a écrit :



Il a raison. Moi je fais plus confiance à Cisco.<img data-src=" />







Clair, qu’est ce qui nous dit que les équipementiers américains sont mieux ?









Snakeseater a écrit :



Clair, qu’est ce qui nous dit que les équipementiers américains sont mieux ?





C’était ironique, hein…<img data-src=" />



Je penses comme lui que le problème n’est pas de consommer Français ou Chinois, mais de consommer certifié. C’est à dire qu’on ne doit simplement pas installer des dispositifs sensibles dont ils n’ont pas “les plans” + la possibilité de vérifier que le dispositif est conçu en respectant strictement le plan.



Rien n’empêcherait un constructeur Français qui développe son routeur dans son coin d’y coller une backdoor financée par les services secrets Chinois, la CIA ou toute autre agence étrangère.




Un tel téléphone ne coûte pas le même prix que celui que vous avez à la maison et est évidemment d’un degré de convivialité moindre

Le savoir-faire français, illustration.





Interrogé aux assises de la sécurité à Monaco, Patrick Pailloux, numéro un de l’ANSSI, refusera de commenter la proposition du législateur… ou plutôt, concentrera sa réponse sur les fondamentaux de l’analyse de risque

Ca c’est de la réponse de technocrate pur beurre.




d’un degré de convivialité moindre





Comment ça, on est pas capable de faire du design chez Thalès ???

French inside.








laulx a écrit :



Comment ça, on est pas capable de faire du design chez Thalès ???

French inside.



Faut dire, corrigez moi si je me trompe (sûrement), qu’à chaque fois qu’on doit à tout prix faire du “made in france” pour des histoires de sécurité nationale, on file le bébé à Thalès, moyennant éventuellement un semblant d’appel d’offre public (restreint) pour savoir qui va plancher dessus. Thalès a-t’il le moindre concurrent ?

En tout cas, contrairement aux produits grand public, il n’y a pas de concurrence a posteriori, c.a.d de comparaison entre produits finis, qui pousseraient éventuellement les constructeurs à se remuer la graisse pour faire mieux que le minimum syndical exigé par les specs énoncées dans le marché.



En même temps, si tu veux mieux que ce qu’on te livre, revois tes specs.








Snakeseater a écrit :



Clair, qu’est ce qui nous dit que les équipementiers américains sont mieux ?





Pas besoin de mouchard sur les équipements américains, ils ont déjà les réseaux sociaux <img data-src=" />



Cisco fabrique tout en Chine, de la à dire que c’est truffé de mouchards sino américains (du FBI <img data-src=" /> ) il n’y a qu’un pas ! et comme on est au bord du gouffre, vite un pas en avant !



<img data-src=" /><img data-src=" /><img data-src=" />


Zarb leur coup de “les routeurs chinois sont des nids d’espions”.

Z’ont pas des cyber geeks ‘secret défense’ capables de dumper, désassembler les firmwares des ZTE, Huawei et autres Cisco, en vue d’analyses internes, au lieu de balancer ce genre de lieu commun… <img data-src=" />




Typiquement, on a un nouveau téléphone ‘secret défense’. Il s’appelle Théorème et a été conçu par Thales - je passe sur le jeu de mot.





Je voyais plutôt celui-là, de théorème…



De là à dire que Thalès en <img data-src=" /> le tout le monde…



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />


“Ouais mais utiliser googledoc c’est tellement plus simple”

voila une réponse que j’entends souvent quand je m’offusque de ce que certaines PME utilisent le clown pour stocker leurs informations…








domFreedom a écrit :



Zarb leur coup de “les routeurs chinois sont des nids d’espions”.

Z’ont pas des cyber geeks ‘secret défense’ capables de dumper, désassembler les firmwares des ZTE, Huawei et autres Cisco, en vue d’analyses internes, au lieu de balancer ce genre de lieu commun… <img data-src=" />





C’est justement parce qu’ils le font, qu’ils le savent.





quand vous avez des systèmes essentiels, comment vous assurez que vos systèmes font exactement ce pour quoi ils sont faits et qu’ils fonctionnent correctement ? C’est un problème d’analyse de risque





oui tout à fait. Si ça le justifie on fait de la qualification de matériel en labo avant possible référencement pour achat. ça a un coût, à comparer en analyse de risque au coût de non respect des spécifications, qu’il s’agisse d’une back-door ou d’une négligence.








sashimi a écrit :



Le savoir-faire français, illustration.







sans offense, ta remarque à connotation négative est à côté de la plaque : je doute que du matos « civil » réponde au même cahier des charges que celui qui a abouti à la naissance de ce téléphone SD.









Aloyse57 a écrit :



C’est justement parce qu’ils le font, qu’ils le savent.









<img data-src=" />



généralement quand un organisme d’état lié à la SSI fait « recommande » ou « suggère » informellement de ne pas utiliser un truc (checkpoint ? <img data-src=" /> ) sans donner d’explication précise/concrète du pourquoi… <img data-src=" />









sashimi a écrit :



Thalès a-t’il le moindre concurrent ?







En Electronique/Defense, pas tant que ça :/









sashimi a écrit :



Faut dire, corrigez moi si je me trompe (sûrement), qu’à chaque fois qu’on doit à tout prix faire du “made in france” pour des histoires de sécurité nationale, on file le bébé à Thalès Thales, moyennant éventuellement un semblant d’appel d’offre public (restreint) pour savoir qui va plancher dessus. Thalès Thales a-t’il le moindre concurrent ?

En tout cas, contrairement aux produits grand public, il n’y a pas de concurrence a posteriori, c.a.d de comparaison entre produits finis, qui pousseraient éventuellement les constructeurs à se remuer la graisse pour faire mieux que le minimum syndical exigé par les specs énoncées dans le marché.





Je te rassure, Thalès ne touche pas d’argent sur les téléphones, pas sûr même qu’il sache ce que c’est <img data-src=" />



Bon, que des responsables de la sécurité nationale se méfient des équipements fabriqués à l’étranger, c’est plutôt une bonne chose.

Mais que ces personnes citent nommément un pays plutôt qu’un autre, c’est diplomatiquement pas très correct… on n’est quand même pas en guerre froide…








doctor madness a écrit :



“Ouais mais utiliser googledoc c’est tellement plus simple”

voila une réponse que j’entends souvent quand je m’offusque de ce que certaines PME utilisent le clown pour stocker leurs informations…







Bah justement c’est la que joue l’analyse des risques : Que les secrets de fabrication d’une purée mouseline soit intercepter par les ricains ou les chinois a la limite on s’en fous <img data-src=" /> Bon apres justement ca dépends du secteur d’activité de la PME …









loser a écrit :



Bon, que des responsables de la sécurité nationale se méfient des équipements fabriqués à l’étranger, c’est plutôt une bonne chose.

Mais que ces personnes citent nommément un pays plutôt qu’un autre, c’est diplomatiquement pas très correct… on n’est quand même pas en guerre froide…





C’est la peur du jaune en ce moment. Entre les arabes et les juifs, les matraquages médiatiques, ca marche du tonnerre…









Aloyse57 a écrit :



C’est justement parce qu’ils le font, qu’ils le savent.







Bin la ça m’interpelle légerement, si ils savent, pourquoi ne pas faire de recommandation voir imposition de certains materiels “safe” dans les administrations et services publiques ?



Est ce que les routeurs hp (ex H3C donc chinois) on eu une analyse du risque par exmple? et c’est valable aussi pour toutes les autres marque d’équipements informatiques ou logiciels.









Skiz Ophraine a écrit :



Bin la ça m’interpelle légerement, si ils savent, pourquoi ne pas faire de recommandation voir imposition de certains materiels “safe” dans les administrations et services publiques ?



Est ce que les routeurs hp (ex H3C donc chinois) on eu une analyse du risque par exmple? et c’est valable aussi pour toutes les autres marque d’équipements informatiques ou logiciels.







Tu as une qualification de produits :

http://www.ssi.gouv.fr/fr/certification-qualification/qualification-d-un-produit…



Et les produits qualifiés :

http://www.ssi.gouv.fr/fr/produits-et-prestataires/produits-qualifies/



Par contre ça descend pas au niveau du switch/routeur.









SnipX a écrit :



Tu as une qualification de produits :

http://www.ssi.gouv.fr/fr/certification-qualification/qualification-d-un-produit…



Et les produits qualifiés :

http://www.ssi.gouv.fr/fr/produits-et-prestataires/produits-qualifies/



Par contre ça descend pas au niveau du switch/routeur.







merci pour les liens ça pourrait m’etre utile <img data-src=" />



Au fait j’y pense pourquoi mettre en cause les équipements chinois ? il y a un précedent sur le sujet? (a part le cas d’un téléphone si je me souviens bien )



Que ça soit Chinois, Américains, Russes ou Français, les équipements utilisés pour transiter du CD sont vérifiés, modifiés et validés avant d’être mis en production.

Pour ce qui fait transiter du SD (ou plus), on passera plus facilement par des entreprises Francaises. Pas parce que les autres ne peuvent pas le faire, pas forcément parce que le patron de Thales/EADS/Alcatel est copain avec le gouvernement, pas parce que ça pourrait créer de l’emploi, mais sûrement plus parce que pour faire un matériel conforme SD, il faut déjà donner des billes sur les méthodes employées dans le “cahier des charges” avant même la conception.

De plus, même si on fait confiance aux entreprises francaises, les equipements seront toujours placés sous coffre et/ou utilisé en cage de faraday(ou blindage electromagnetique au minimum).


bah je viens de commander du cisco pour 2 routeur de coeur de réseau … apres cisco ou huaïhuaï c est la meme niveau secu <img data-src=" />








arno53 a écrit :



Bah justement c’est la que joue l’analyse des risques : Que les secrets de fabrication d’une purée mouseline soit intercepter par les ricains ou les chinois a la limite on s’en fous <img data-src=" /> Bon apres justement ca dépends du secteur d’activité de la PME …







pas simplement, la sécurité n’est pas que la confidentialité. il y a aussi la disponibilité : google a t il un engagement contractuel sur la dispo des données ?

et l’intégrité : quid si les données sont corrompues ?