Cybersécurité : on peut prouver que « la sécurité parfaite n’existe pas », le problème de l’humain

La cybersécurité est un vaste domaine, aux conséquences importantes. La recherche y est cruciale pour améliorer les défenses, mais aussi réagir en cas d'attaque. En marge d'annonces gouvernementales, CEA, CNRS et Inria brossent un portrait de la situation et des pistes d'action.

Peu après le Plan Quantique – avec 1,8 milliard d’euros pour la recherche et la construction de telles machines – le gouvernement a annoncé sa « stratégie Cyber » à 1 milliard d’euros, « dont 720 millions de financements publics ».

• Les détails du Plan Quantique : 1,8 milliard d’euros, un « ordinateur hybride » à l’horizon 2023

La Banque des territoires a depuis donné quelques détails : « 500 millions d'euros seront affectés à des projets R&D portés par des acteurs tricolores, 140 millions à la création d’un écosystème dont 74 millions affectés à un campus cybersécurité implanté à La Défense. 176 millions seront pilotés par l’ANSSI pour le "soutien de la demande" […] dans lesquels figurent 136 millions de financements aux collectivités et hôpitaux ».

Ces derniers sont durement touchés ces derniers temps et la crise sanitaire n'arrange pas la situation. Ils sont ainsi invités à faire mieux dans leurs prochains investissements. Ce n'était d'ailleurs pas un hasard si cette annonce s'est déroulée en visioconférence avec les hôpitaux de Dax et de Villefranche, touchés par des rançongiciels. 

65 millions pour la recherche, « c'est beaucoup et c'est peu »

Une part – 65 millions d’euros – servira aux Programmes et équipements prioritaires de recherche (PEPR), piloté conjointement par le CEA, le CNRS et Inria. De quoi « donner un coup de fouet » en matière de cybersécurité, selon Gildas Avoine, professeur à l'INSA Rennes à l’Institut de recherche en informatique et systèmes aléatoires.

Il précisait néanmoins que « 65 millions c'est beaucoup et c'est peu, ça dépend le point de vue que l'on prend ». Cette somme pourra néanmoins « raisonnablement être utilisée comme un effet de levier pour accélérer les activités de recherche et que cela aboutisse [...] à des innovations que ce soit à 5 ou 10 ans ».

Comme avec le Plan Quantique, il ne faut ainsi pas attendre des changements rapides. Pour détailler davantage les attentes au niveau du PEPR, des chercheurs des trois instituts s'étaient donné rendez-vous la semaine dernière pour une conférence. Après un point l'open source et de la confiance dans le matériel, voici notre compte rendu.

Notre dossier sur le plan Cyber : 

• Cybersécurité : on peut prouver que « la sécurité parfaite n'existe pas »
• Cybersécurité : le miroir aux alouettes de l’open source, la confiance dans les composants
• « Un jour ou l'autre on sera attaqué » : cryptographie et méthodes formelles au chevet de la cybersécurité
• En cybersécurité, « la maîtrise totale est sans doute totalement hors de portée »

Pourquoi un plan sur la cybersécurité maintenant ? 

Gildas Avoine commence avec un détour par les fondamentaux et une définition de la cybersécurité : « c'est protéger l'information, c’est aussi protéger des services et des ordinateurs ». Il ajoute d'ailleurs que l'« on parle de systèmes plutôt que d'ordinateurs, le système pouvant être logiciel ou matériel ».

La cybersécurité des systèmes est un vaste sujet, regroupant à la fois la protection, la surveillance, la détection et la réaction aux attaques. Ce dernier point est « extrêmement important » pour le chercheur, car il faut pouvoir « revenir rapidement à la normale après une attaque », ce que l'on appelle la résilience.

La motivation derrière les cyberattaques est, « dans la très grande majorité des cas, l'argent ». Et à ce petit jeu, « les pirates sont vraiment aujourd'hui des experts du domaine avec un niveau de compétence extrêmement élevé. Ils s'organisent en bandes et on peut même parler dans certains cas de bandes mafieuses ».

Ces dernières années, on a connu une « très forte croissance des attaques », notamment des ransomwares, quand les pirates demandent à leurs cibles de payer une rançon pour récupérer leurs données ; c'est du moins la promesse faite. Cette nouvelle vague « justifie ce plan d'accélération sur la cybersécurité », affirme Gildas Avoine.

L'illusion d'une forteresse impénétrable

Et l'avenir promet d'être au moins aussi chargé : « Il ne faut pas être anxiogène, je pense que ce n'est pas le but, mais il ne faut pas non plus rester les bras croisés ». Il partage ensuite un constat qui fait consensus depuis longtemps dans le monde de la sécurité en ligne, mais qu'il est bon de rappeler :

« On pourra mettre autant d'argent que l'on veut. Malheureusement, on sait que la sécurité parfaite n'existe pas. On peut d'ailleurs le prouver et qu'il faut changer en quelque sorte de paradigme. »

Au cours des dernières années, la philosophie a évolué. Des systèmes que l'on pensait robustes sont tombés, rappelant que, effectivement, personne n'est à l'abri. Le moindre grain de sable peut entrainer une réaction en chaine et gripper tous les rouages, avec des interruptions de service, des fuites de données, etc. 

Alors que l'on était dans « une philosophie où on essayait de construire une forteresse autour de notre système informatique […] Aujourd'hui, on considère que de toute façon une attaque arrivera un jour. Donc, il faut impliquer tous les acteurs, tous les habitants de cette forteresse pour combattre et réagir à cette attaque ».

Cette notion de « forteresse » ne tient pas la route, comme le détaillaient d'autres chercheurs durant la conférence. On peut construire des murs aussi solides et épais que l'on veut, les attaquants peuvent toujours creuser des tunnels souterrains, utiliser des hélicoptères pour passer au-dessus et parfois utiliser d'autres « astuces ».

C'était le cas de SolarWinds où, en continuant la comparaison avec un château fort, on pourrait dire que les pirates sont passés par des paniers de linges livrés par des blanchisseurs.

• Un nouveau cheval de Troie, SUNBURST, attaque l'administration américaine (entre autres)

Le principal problème en cybersécurité ? Les utilisateurs…

Bref, il est illusoire d'espérer construire une forteresse, d'autant que le principal vecteur d'attaque (et maillon faible) est bien souvent l'utilisateur. Ludovic Mé, adjoint au directeur scientifique d’Inria en charge du domaine de recherche Cybersécurité, donne son point de vue :

« Un virus s'exécute au nom d'un utilisateur, la cible première du virus c'est l'utilisateur avant les fichiers ou l'information [...] On a ce problème que l'utilisateur est dans la boucle [...] La patte humaine est complexe et difficile à maitriser [...] La sensibilisation et la formation des utilisateurs est quelque chose d'essentiel dans la lutte contre les virus... et c'est extrêmement compliqué. »

Il ajoute que « les utilisateurs doivent être sensibilisés à rester aux aguets, ne pas cliquer sur tout ce qui passe à leur portée, à réfléchir un peu avant d'agir » mais que « les administrateurs doivent être en nombre suffisant, formés par des experts en sécurité […] Les industriels, évidemment, doivent innover, fournir des outils qui sont à même de prévenir les attaques ou de les détecter ». Le manque de moyens humains est souvent pointé du doigt.

De son côté, la recherche « doit apporter des connaissances et des idées nouvelles » : « Plus fondamentalement, il faut qu'on réfléchisse à la conception de systèmes plus résistants par nature. Même si, face à un virus, le combat est difficile parce que c'est l'utilisateur lui-même qui enclenche l'attaque en quelque sorte ».

Les chercheurs et la collaboration « cyber » en France

Florent Kirchner, responsable du programme Cybersécurité du CEA List, donne quelques chiffres :

« Pour vous donner un ordre de grandeur entre 2008 et 2018, on est passé grosso modo de 400 équivalents temps plein à 850, qui mélangent finalement une grande diversité d'acteurs et en particulier des chercheurs, d’anciens chercheurs, mais également des doctorants, avec une formation annuelle de 130/140 doctorants »

Toujours dans le monde de la recherche, l’entente entre les laboratoires semble cordiale avec des projets conjoints et des équipes communes... mais on imagine mal les chercheurs dire le contraire dans une conférence commune.

« On a vu aussi ces dernières années l'émergence d'initiatives de coordination et d'animation », ajoute Florent Kirchner. La France n’aurait pas à rougir au niveau mondial et aurait des compétences reconnues dans certains domaines clés de la cybersécurité comme « la cryptologie et les méthodes formelles ».

Public/Privé : un but commun, un travail main dans la main ? 

Nous avons demandé aux chercheurs ce qu’il en était de la collaboration entre le public (avec le monde académique) et le privé, où les enjeux sont souvent bien différents : les sociétés n’auraient-elles ainsi pas tendance à faire de la recherche de leur côté, de manière isolée ? Pour Florent Kirchner, c’est « un peu les deux ».

Il y a effectivement « un certain nombre de thématiques propres à la cybersécurité qui sont des domaines sensibles pour lesquels il y a des travaux plutôt fermés ». A contrario, « il y a beaucoup de collaborations qui se font avec le monde de la recherche ». Plusieurs exemples sont donnés : « la formation par la recherche et l'encadrement de jeunes thésards » qui mélange des laboratoires de recherche et des équipes de R&D, des projets collaboratifs, etc.

Ludovic Mé précise que, au besoin, les chercheurs peuvent aussi « travailler sur des sujets sensibles et même classifiés (confidentiel défense ou secret défense) », y compris pour la défense nationale. Ils peuvent obtenir une habilitation et certains laboratoires disposent de protections spécifiques si besoin, certains en ont l'habitude.

De manière générale, « on n’a pas beaucoup de problèmes de collaboration lié à la sensibilité », affirme-t-il. Il reconnait que, il y a 10 ou 15 ans, « les industriels traitaient ce sujet de cybersécurité en vase clos, de chez eux, en communiquant peu ». Mais aujourd'hui, « il y a une certaine prise de conscience sur le fait que c'est un sujet tellement complexe et pluridisciplinaire qu'ils ne peuvent plus se permettre de tout gérer en interne. Ils viennent nous chercher, notre expertise et collaboration pour les aider à avoir une vision plus globale ».

Les six principales thématiques du plan Cyber

Dans la suite de notre dossier, nous reviendrons en détail sur six thématiques que les chercheurs du CEA, CNRS et Inria ont mis en avant durant leur conférence : codage et cryptographie, méthodes formelles, protection de la vie privée, sécurité des systèmes et des logiciels, sécurité des données multimédia et sécurité des systèmes matériels.

Elles se retrouveront « sous une forme ou sous une autre dans la cadre du PEPR », affirme Florent Kirchner.