Vincent Strubel (ANSSI) face à la « brutalisation du monde » et la menace quantique

Pendant sa conférence d’ouverture, le directeur général de l’ANSSI a décrit deux risques qui l’inquiètent particulièrement. Le premier, c'est « d'être submergé » par le nombre d’attaques ; c’est-a-dire « en subir tellement à la fois qu’on ne pourra plus rien faire ». Le second risque, c'est de « perdre nos leviers d’action ». Autant vous prévenir tout de suite, il va décrire des futurs « un peu plus sombres que d’habitude, c’est peut-être l’époque qui veut ça », mais il ajoute que ces « futurs dystopiques n’ont rien d’une fatalité ».

De « ça pourrait être pire » à « ça va être pire »

Sur le premier risque et l'état de la cybermenace, Vincent Strubel commence par une relative « bonne nouvelle » : « ça pourrait être pire ». Mais il ajoute qu’avec « le mouvement de brutalisation du monde qui déborde assez naturellement sur le cyberespace, malheureusement ça va être pire ».

Pour le patron de l’ANSSI, nous ne sommes pas encore au bout de la massification et de l’accélération des attaques. Autre point, « on n’est pas au bout de la désinhibition des attaquants », qui veulent provoquer toujours plus d’angoisses et de doutes. « Et on n’est probablement pas au bout de la convergence entre les différentes menaces ».

Ces rapprochements concernent à la fois les groupes de pirates et les types d’attaques (cyberattaques, manipulation de l’information, sabotage…). Le but des pirates est de se coordonner « pour nous faire le plus mal possible ».

Une guerre avec une « tempête parfaite de toutes les menaces »

Vincent Strubel revient sur le constat de la Revue nationale stratégique de juillet, qui prévoit que la nation doit être « prête à faire face à une guerre de haute intensité » d'ici 2030, avec un « engagement de nos armées » précise le patron de l’ANSSI, pour bien mettre les points sur les « i ».

Cette guerre se fait « simultanément à un déferlement, une tempête parfaite de toutes les menaces hybrides. Quand on y pense, ça a un côté vertigineux ». Le patron de l’ANSSI persiste et signe : « Je peux vous garantir que chacun de ces mots a été pesé […] fondamentalement, tous nos partenaires font le même constat ». Un résumé en trois mots pour les amateurs de série : « Winter is coming ».

Le but du message, avec le poids important de certains mots, est de provoquer un « réveil » collectif et de ne pas « trop se disperser ». Il milite aussi pour que les questions cyber quittent le cercle des sachants et que tout le monde s’en inquiète.

« Il ne faut probablement pas croire tout ce qu’ils disent »

Vincent Strubel rappelle aussi que les pirates et autres acteurs malveillants sont de très bons communicants et « qu’il ne faut probablement pas croire tout ce qu’ils disent ». Sans le citer directement, on peut y voir l’écho d’une affaire récente avec la recherche de buzz à tout prix autour d’une potentielle fuite de l’ANTS. Elle avait même poussé Vincent Strubel à réagir sur les réseaux sociaux, une première.

• Une fuite massive à l’ANTS ? De la recherche du buzz au recadrage cinglant de l’ANSSI

Ce n’est qu’un exemple, mais il n’est pas rare de voir dans les réseaux sociaux et la presse des annonces de fuites basées sur un simple message publié sur un forum bien connu. La course au buzz et au nombre de pages vues fait le reste.

« 100 % des victimes auraient pu faire quelque chose », mais…

Nous pouvons aussi citer le cas d’EDF et de Conforama, mais il y en a bien d’autres. Cette problématique n’a rien de nouveau, nous en parlions en février dans notre édito sur le temps de l’information chez Next. Du côté des entreprises aussi, il y a du travail à faire. Deux exemples : le rétropédalage d’Intermarché et la tentative de minimisation de Pandora qui parle de vos données personnelles comme de « données courantes ».

• [Édito] Le temps de l’information

Vincent Strubel en profite pour remettre l’église au centre du village : « les vrais méchants, ce sont les attaquants, pas les victimes ». Il reconnait que « 100 % des victimes auraient pu faire quelque chose pour éviter la cyberattaque, mais ça reste des victimes ».

Transposition de NIS2 : le vote « n’est qu’une étape et pas la plus difficile »

Le patron de l’ANSSI revient brièvement sur la transposition de la loi NIS2, en attente d’un vote par les députés et donc d’un gouvernement… dont ce ne sera surement pas la priorité. Il rappelle que le vote est « une étape indispensable et essentielle, mais ce n’est qu’une étape et pas la plus difficile ».

• Cybersécurité : la transposition des directives NIS2, DORA et REC passe le Sénat

Le plus dur, c'est la mise en œuvre et pour cela « il ne faut pas attendre » car « on sait tout ce qu’il faut faire ».

L’attaque quantique du (cyber)gendarme

Le deuxième risque sur la perte de leviers d’action est en partie la conséquence d’une mutation du secteur. Elle n’est pas nouvelle : « on ne peut pas faire un dump de la mémoire d’un cloud, on ne peut pas patcher une IA, on ne peut pas faire sans le dépositaire unique d’une technologie ». Ces changements s’inscrivent dans un temps long et laissent de la marge pour s’adapter.

• [FAQ] Notre antisèche sur l’informatique quantique

Il enchaine sur la prochaine rupture importante sur laquelle le secteur doit se pencher sans attendre : l’ordinateur quantique et la menace sur le chiffrement asymétrique. Avec un chiffrement symétrique comme AES, il suffit pour rappel de doubler la taille des clés. Des solutions existent depuis des années avec des algorithmes post quantiques ou du chiffrement hybride, dont nous avons déjà expliqué le fonctionnement.

• Le chiffrement hybride classique et post quantique, comment ça marche

L’ANSSI annonce deux échéances : 2027 et 2030

Pour le directeur général de l’ANSSI, il est plus que temps : « c’est maintenant qu’il faut s’y mettre ». L’ANSSI a accordé il y a quelques jours les « deux premières certifications de solutions post quantique », à Thales et Samsung, avec les évaluations menées par le CEA-Leti.

Le patron de l’Agence de cybersécurité annonce un calendrier :

• À partir de 2027 : l’ANSSI n’acceptera plus en entrée de qualification des produits de sécurité qui n’intègrent pas une cryptographie résistante à l’ordinateur quantique.
• À partir de 2030 : « on recommandera et on imposera le cas échéant de ne plus acquérir de telles solutions ».

Dans un communiqué, l’ANSSI explique que « les enjeux de la cryptographie post-quantique doivent être pris en compte dans le cycle de renouvellement des systèmes d'information, afin que la transition soit anticipée, maîtrisée et coûte possiblement moins cher ».

Si un ordinateur quantique avec suffisant de qubits pour casser des chiffrements asymétriques (type RSA) n’est pas encore là (mais personne ne peut prédire quand il arrivera), des acteurs malveillants (étatiques ou non) peuvent déjà « jouer les écureuils » avec des données pour les décrypter ensuite.

La menace est donc réelle et c’est déjà trop tard pour des données sensibles sur une longue période, il fallait passer à la cryptographie post quantique avant. C'est la conclusion : tout doit être traité en conséquence, sans attendre. On pourrait même dire qu’attendre 2027 et 2030, c'est presque long.

• Informatique quantique, qubits : avez-vous les bases ?
• Informatique quantique, algorithme de Grover : entre mythe et espoir
• Informatique quantique, algorithme de Shor : le « casseur » de cryptographie… en théorie