INFOTHEMA

Auteur Sujet: Après PRISM, pourra-t-on encore faire confiance au logiciel ?  (Lu 3021 fois)

Animateur

  • Administrator
  • Hero Member
  • *****
  • Messages: 5893
    • Voir le profil
Après PRISM, pourra-t-on encore faire confiance au logiciel ?
« le: septembre 29, 2013, 01:04:14 pm »
Les logiciels contrôlent des systèmes critiques pour notre sécurité, nos entreprises, pour nos vies même, et cela chaque année davantage. On savait qu’ils avaient des bugs, on sait maintenant qu’ils ont aussi parfois des failles introduites par leurs programmeurs, sous la contrainte. La confiance est brisée. Contrôler le logiciel qui nous contrôle, c’est l’une des finalités du logiciel libre.

PRISM et les grands du logiciel

Ce qui ressort de l’affaire Snowden, c’est que la NSA peut aller trouver n’importe quelle entreprise américaine, lui donner ordre de livrer ses données ou d’insérer des failles dans ses logiciels. L’entreprise obtempère, et ne peut en rien dire. Il est donc impossible de connaître l’étendue de ces agissements, et combien de logiciels ont ainsi été rendus exploitables. Et il est probable que d'autres démocraties ont les mêmes pratiques.

PRISM fera du tort aux géants américains de l’Internet. Ils nient parce qu’ils sont tenus de nier : comme le disait Mme Mayer, PDG de Yahoo, un dirigeant qui dirait l’étendue de ce qu’il fournit à la NSA risquerait la prison.

On pourrait même les plaindre, ils n’apprécient sûrement pas ces injonctions des services secrets, dommageables pour leur réputation et plus graves, pour leur chiffre d’affaires. 

Il y a quelques années encore, à celui qui aurait suggéré que peut-être de grands logiciels largement utilisés, pourraient avoir des portes dérobées insérées à des fins d’espionnage, on aurait répondu : "Tu délires ! Les entreprises auraient bien trop à perdre, elles ne prendraient pas un tel risque". Mais il ne s’agit pas d’intérêt économique rationnel : les injonctions sont contraignantes, les entreprises doivent s’y soumettre, puis ne jamais le reconnaître.

Besoin de services secrets

Point d’angélisme : les démocraties ont besoin de services secrets performants pour les défendre, par exemple d’actes terroristes. Nous ne débattrons pas ici du juste point d’équilibre entre liberté et vie privée d’un côté, et sécurité nationale de l’autre. L’affaire Snowden montre du moins que, une fois rendues possibles, les écoutes ne se limiteront pas aux questions de sécurité nationale. Lorsqu’un dispositif de surveillance généralisé est en place, il est pratiquement certain qu’il sera dévoyé, comme a pu le montrer en son temps la STASI.   

Sans vouloir simplifier ce débat, une chose au moins est claire : le point d’équilibre que chaque nation choisit doit être décidé par ses élus, établi de manière transparente, connu de tous. De même que nous savons selon quel processus un juge peut autoriser des écoutes téléphoniques nécessaires à une enquête de police. Ce qui est le plus choquant dans les révélations de Richard Snowden, c’est que les rouages de la démocratie ne s’appliquaient plus, et personne ne semblait plus savoir ce qui est légal et ce qui ne l’est pas.

Chiffrer est légal

Il y a 20 ans, le chiffrement était tout simplement interdit au public. Les choses étaient claires : il n’était pas permis de communiquer d’une manière qui soit difficile à écouter. Principalement pour les besoins pratiques de l’économie numérique, et non par souci de la vie privée, ces interdits sont tombés, en France en 1996 puis en 2004. Aujourd’hui, il est donc autorisé d’échanger au moyen de messages chiffrés, utilisant les algorithmes et des longueurs de clés tels que même la NSA ou la DCRI ne les déchiffrera pas.

Aujourd’hui, certains se satisferont peut-être que leur correspondance électronique soit analysée et même archivée pour usage futur, jugeant que c’est le prix à payer pour leur sécurité.   Pour tous les autres du moins, y compris les entreprises travaillant sur des sujets sensibles, ou des domaines concurrentiels, le chiffrement est autorisé. Une majorité d’experts estiment que les algorithmes connus, s’ils sont correctement implémentés, et utilisés avec des clés de la longueur recommandée, ne peuvent pas être déchiffrés par les agences de renseignement. En somme, les mathématiques ont encore le dernier mot. Du moins "si les algorithmes sont correctement implémentés...", le bémol est important. C’est à dire d’une part sans bug, et d’autre part, sans volonté active de les affaiblir.

Les logiciels sont désormais compromis

Il y a quelques années, c’est le virus Stuxnet qui faisait l’actualité. Il avait été créé pour ralentir le programme nucléaire iranien en endommageant les centrifugeuses par l’intermédiaire du logiciel. Bloquer le nucléaire iranien est un objectif sans doute louable. Mais cet épisode aussi peut nous faire réfléchir, à la fois à l’extraordinaire pouvoir du logiciel et à la grande fragilité de ceux qui ne le contrôlent pas. Stuxnet était un virus, affectant des programmes a priori propres, mais la démarche aurait pu être aussi de contraindre l’éditeur à insérer les vulnérabilités requises.

La France n’est pas protégée contre des attaques utilisant le logiciel. Militaire, industriel, financier, tous les secteurs qui utilisent des logiciels non auditables sont des cibles potentielles. Il y a quelques mois à peine, un tel discours aurait été taxé de délire paranoïaque. Aujourd’hui, on sait que les risques sont réels.

Seul un code ouvert est auditable

Il n’y a qu’une manière de savoir ce que fait vraiment un logiciel, c’est d’en analyser le code source. Ce n’est pas à la portée de tout le monde. Mais parmi les programmeurs les plus experts du monde, beaucoup sont adeptes du logiciel libre. Ils sont assez soucieux de liberté, et ont appris depuis longtemps à mener de grandes entreprises collectives. Lorsqu’un programme est largement utilisé, on peut compter sur cette armée de l’ombre pour assurer un audit sévère. Et la perspective de cet audit découragerait la tentative d’y implanter une faille volontaire. D’autant que les modifications sur un logiciel open source sont tracés avec précision : le coupable, et l’organisation pour laquelle il travaille, serait également démasqué.

Restaurer la confiance dans le logiciel

Les révélations de Snowden sont un choc dans le monde du logiciel. En plus des bugs, on sait maintenant qu’un logiciel peut avoir des vulnérabilités implantées de force. Étant donnée l’importance vitale du logiciel dans toutes nos activités, restaurer la confiance est une obligation. Il faudra du logiciel auditable par tous, du logiciel dont les sources soient disponibles. Seul le logiciel libre permettra de faire à nouveau confiance au logiciel.

Source lecercle.lesechos.fr
« Modifié: juillet 13, 2014, 11:44:31 am par Animateur »
Membre de l'APRIL (www.april.org) / Membre du bureau Association "Debian Facile"  (https://debian-facile.org)