Sécurité numérique - Lutte inégale entre le glaive et le bouclier ? - Guillaume Poupard

Cyberbase de Morlaix

Titre : Sécurité numérique - sommes-nous condamnés à une lutte inégale entre le glaive et le bouclier ?
Intervenant : Guillaume Poupard
Lieu : Collège de France - Séminaire de Gérard Berry - « Où va l’informatique ? »
Date : février 2019
Durée : 1 h 10 min 38
Visionner ou enregistrer la vidéo
Licence de la transcription : Verbatim
Illustration : security, Cyberbase de Morlaix Communauté - Licence Creative Commons Attribution – Pas d’Utilisation Commerciale – Partage dans les Mêmes Conditions 3.0 non transposé.
NB : transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.

Transcription

Bonjour à tous.
C’est un grand honneur, je vais remercier Gérard [Berry] de son invitation, c’est un grand honneur et un peu une escroquerie en même temps, vous voyez il n’y a pas de slides, un artefact de cette escroquerie.
Ça fait très longtemps que je ne fais plus de science, je baigne dans la technique au niveau de l’ANSSI [Agence nationale de la sécurité des systèmes d'information ] et dans mes postes d’avant. Je ne fais plus de science, donc je ne vais pas vous parler de science, je vais vous parler de sécurité numérique telle que je la vis au quotidien, avec une deuxième escroquerie, c’est que je vais répéter ce qu’a dit Gérard. Je connais d’autres histoires, mais je n’ai pas le droit de les raconter, donc je vais m’appuyer sur celles-là qui sont publiques et qui sont déjà très éloquentes. Les autres, celles qui sont secrètes, elles ne sont pas plus éloquentes, c’est juste qu’il y en a beaucoup plus, de fait, malheureusement. Donc quand on connaît les histoires secrètes, on est juste encore plus inquiet fondamentalement. D’un point de vue qualitatif, là on a déjà l’essentiel.
Je vais reprendre un petit tout ça, donc je suis désolé il y aura plein de répétitions. Je vais vous redire la même chose sous l’angle, je ne sais pas comment dire ça, de l’administration, des pouvoirs publics, appelez ça comme vous voulez. L’idée c’est vraiment de vous convaincre qu’on a un vrai sujet avec ces questions de sécurité informatique, raison pour laquelle je dois bien avouer que j’ai été très agréablement surpris que ce dernier cours technique soit consacré à la sécurité, parce que, justement, je suis totalement convaincu que ce développement de l’informatique – il ne faut plus dire informatique, il faut dire numérique, encore mieux digital, bref, c’est de l’informatique tout ça – ce développement de l’informatique, qui s’est parfois opposé aux gens qui faisaient de la sécurité, ne sera pérenne et ne sera source de progrès que si les questions de sécurité sont prises au juste niveau. Et ce juste niveau est probablement très élevé, mais ce sera à vous de faire votre idée là-dessus.
À l’inverse, cette approche de la sécurité qui est souvent très noire, très pesante, c’est un peu tous les malheurs du monde dans ce monde numérique, on sait trouver des solutions, je vais essayer de vous en convaincre, on sait faire bien, c’est mal fait en général, mais ce n’est pas une règle. On sait bien faire, par contre ça demande de la compétence, ça demande des efforts, ça demande un peu d’argent, un peu de moyens, au juste niveau là-encore. Et si cet effort est fait, je suis persuadé qu’on sait tout à fait résoudre la plupart des grands problèmes aujourd’hui, il n’y a pas de verrous comme on pourrait dire. On a probablement encore quelques gros problèmes technologiques à résoudre, mais même ceux-là seront résolus, je n’ai absolument aucun doute. Par contre, il faut arrêter de développer quick-and-dirty, de développer comme des cochons parce que c’est très souvent ça la base du problème. Il faut également arrêter de se comporter comme des cochons parce qu’on est tous un peu responsables parfois de ces problèmes de sécurité numérique où on fait mal parfois, d’ailleurs parfois on sait qu’on fait mal. C’est un peu tout ça qu’il faut faire évoluer et c’est absolument indispensable et ça peut avoir des enjeux très forts, y compris en termes de sécurité nationale, c’est un peu le domaine dans lequel je suis aujourd’hui, puisque l’ANSSI en fait – je ne veux pas vous faire l’explication de ce qu’est l’ANSSI – c’est une entité qui dépend du Premier ministre et qui s’occupe de sécurité informatique avec, comme filtre essentiellement de prioriser tout ce qui concerne notre défense et notre sécurité nationale. Donc tout ce qui peut menacer la nation et la nation ce n’est pas l’État, la nation c’est vous, c’est moi, c’est toute cette cohésion qui peut aujourd’hui être gravement mise en danger par ces questions d’attaque informatique.
Il y aura toujours des attaquants, il y en aura toujours de plus en plus, ils seront toujours plus agiles, toujours plus forts, et ce sont toujours eux qui jouent avec les Blancs. De toute manière, il ne faut pas s’imaginer que tout ça est un effet de mode qui va passer, je ne vois vraiment pas par quel miracle ! Non ! Ce qu’il faut vraiment c’est prendre ce sujet à bras le corps.

Si on revient un petit peu sur les menaces, ça a été très bien dit, donc je reprends les mêmes exemples quelque part et avec une approche différente. C’est compliqué parce que très souvent, dans les médias, tout se mélange, on a l’impression que toutes les attaques sont au même niveau, c’est très anxiogène, mais on ne comprend pas très bien et à chaque fois c’est toujours la plus grande attaque de tous les temps parce qu’il faut faire des grands titres, évidemment. D’ailleurs, des fois j’attrape les journalistes qui écrivent ça, je dis « pourquoi vous avez dit ça ? Vous savez très bien que ce n’est pas le cas. — Ce n’est pas moi qui fais les titres, moi je ne fais que les articles, c’est mon rédac chef qui fait les titres », c’est sûrement vrai d'ailleurs.
Mais de fait de quoi on parle en général ? Ce qui fait souvent les grands titres ce sont les fuites massives de données, ces bases de données qui sortent, en ce moment c'est constamment, venues dont on ne sait trop où ; les motivations des gens qui publient ça sont parfois un petit peu obscures, pour être franc. Beaucoup plus souvent venues de la réglementation. Le Règlement général sur la protection des données1 qui est une approche européenne de la protection des données personnelles, c’est une avancée majeure sur la protection des données personnelles. On verra ! C’est probablement quelque chose qui méritera, à un moment, qu’on fasse du RETEX [retour d'expérience], il faudra comprendre ce qui marche bien, ce qui est excessif, ce qui est sous-dimensionné. Mais le fait, quand on perd des bases de données qui nous concernent, nous en tant qu’utilisateurs, le fait d’avoir à le dire, eh bien c’est probablement une bonne démarche, même si parfois dans mon métier ça m’embête, on pourra y revenir.
J’ai reçu des mails de Starwood me disant que mes données avaient été perdues. Mes gars sont allés voir dans la base de données de 700 et quelques millions d’adresses mails et ils sont venus me voir, un sourire en coin, en me disant « tiens il y a ton adresse mail perso qui est dedans et il y a aussi tes mots de passe, tu devrais faire gaffe ! » Bref ! On est souvent tous concernés par ces choses-là. Et ça c’est un peu le fonds de roulement, c’est un peu avec ça qu’on commence à vivre, à tel point que ça m’inquiète un peu, parce que comme c’est tous les jours, à force d’entendre la même fréquence en continu, le cerveau est bien fait, il finit par ne plus l'entendre, donc le danger ce serait ça, ce serait qu’on s’habitue au fait que finalement, toutes ces fuites de données, c’est quelque chose de normal et ce n’est pas normal ! J’avance vite là-dessus.
Après on a des attaques qui sont visibles mais qui ne sont pas graves – pas graves ça dépend pour qui ! –, régulièrement on a par exemple des attaques en déni de service qui bloquent des sites web. Bloquer des suites web, encore récemment, vous avez remarqué que les samedis étaient un peu agités, il y a un peu la même chose dans le monde numérique et parfois il y a des appels à bloquer des sites internet. On ne sait pas trop d’où ça vient. Il y a même eu récemment un communiqué de démenti d’Anonymous qui disait « non, nous on n’est pas d’accord, on ne veut pas attaquer les sites web ». Je vous laisse chercher à comprendre tout ça. Et c’est quoi bloquer un site web ? Simplement on va, comme ça, utiliser plein d’objets connectés, de machines compromises, sans que ça ait beaucoup d’impact d’ailleurs pour les détenteurs et ainsi de suite, et puis on va aller saturer des sites web ce qui fait que le site web n’est plus accessible pendant quelques minutes, c’est arrivé au site de l’ANSSI, ça arrive parfois aux meilleurs. Ce n’est pas très grave fondamentalement parce que ces sites web ne sont pas des outils opérationnels, il n’y a rien qui dépend vraiment de l’accessibilité à ces sites Web.
Quand vous appelez la Fnac et qu’on est à trois jours de Noël, là, la question se pose différemment, très clairement. Mais je vais va rester sur mon exemple, si un samedi après midi le site web de l’ANSSI est inaccessible pendant cinq minutes, ça ne change pas la face du monde ! Je suis d’ailleurs surpris qu’il y ait des gens qui l’ont remarqué, mais c’est pour être méchants !
Et pourtant, ça peut faire du bruit et pourtant ça peut réellement entamer la confiance qu’on veut développer dans le numérique, et ça peut être mal interprété.
Si le site internet institutionnel du ministère des Armées est bloqué comme ça pendant dix minutes, le titre dans la presse va être « Attaque informatique massive contre les armées françaises ». Mes collègues du ministère des Armées sont à chaque fois désespérés quand ils entendent ça, parce que non ! Ça ne fait ni chaud ni froid aux armées françaises le fait que le site soit tombé pendant quelques minutes, mais on commence à toucher à la confiance. Tout ce dont on parle là c’est finalement une question de confiance. C’est très technique mais au final c’est la confiance des utilisateurs, de vous, de moi dans ces systèmes-là qui est en jeu, cette confiance est très fragile.
Il y a d’autres types d’attaques, toujours sur les sites web d’ailleurs parce que c’est la partie visible. On a connu beaucoup ça en 2015 dans un contexte très désagréable qui était celui des attaques contre Charlie Hebdo, l’Hyper Cascher, début 2015, cette mauvaise période, eh bien on a eu plein d’attaques de sites internet en .fr , évidemment en .gouv.fr, pour aller afficher des messages. C’était assez variable, ça allait de « nous on n’est pas Charlie », vous vous souvenez de tout ça, à des trucs très agressifs, très pro-terroristes. Est-ce que c’est grave ? Pareil, question de jugement. Ça n’a pas forcément d’impact opérationnel, mais l’exemple que je prends toujours, le jour où vous avez vu un drapeau de Daesh en guise de page d’accueil sur le site web de votre mairie, eh bien après vous avez toujours une petite appréhension à aller inscrire vos gamins aux activités périscolaires. Et pourtant c’est vers ça qu’on veut emmener nos concitoyens.
Je prends souvent l’exemple : c’est du tag numérique, c’est du tag comme on peut en faire sur un bâtiment, il y a toujours des imbéciles pour faire des tags et tout ça. Ce n’est jamais très bon, sauf que là c’est fait sur Internet donc c’est fait à la face du monde et il y a un effet d’amplification qui est potentiellement très grave. Mais si c’est bien fait, si les systèmes sont bien faits, évidemment il y a une condition dans la phrase, eh bien ça n’a pas d’impact opérationnel très grave parce qu’on ne rentre pas au cœur des systèmes qui sont censés être critiques.
Je passe là-dessus.

Beaucoup plus grave, le développement de tout ce qui est criminalité. La criminalité ça commence à de la petite escroquerie sans un aucun moyen d'ailleurs, qui est plus astucieuse qu’autre chose. En ce moment, juste pour illustrer, il y a toute une campagne de gens qui vous envoient un mail, qui vous disent dans un français parfois approximatif, ça sent le Google Translate, « je suis un méchant hacker, j’ai pris le contrôle de votre machine, j’ai pris le contrôle de votre webcam, je vous ai filmé en train de faire des choses inavouables, mais je vais garder ça secret si vous me versez 200 euros, 2000 euros, les sommes varient, en bitcoins évidemment, sur tel wallet. » Extrêmement désagréable, même quand on a bonne conscience et tout ça, parce que c’est vraiment une atteinte à la vie privée et ça c’est très grave.
En fait, ces mails c’est du spam, ce n’est rien d’autre que du spam, ce ne sont pas des attaquants informatiques, ils n’ont pas attaqué votre ordinateur évidemment, ils n’ont pas l’effort d’attaquer votre webcam. Je ne dis que ce n’est pas faisable, mais ça demande un véritable effort, alors que là ils se contentent d’envoyer des mails à des centaines de milliers de personnes, des millions probablement vu le nombre de retours que j’ai eu eu simplement après un sondage. Dans le lot, tous ceux qui vont payer 1000 euros c’est autant de pris parce que l’effort par victime doit être de quelques centimes, s’il n’y a en que 1 % qui paye la rançon, le retour sur investissement, pour parler en termes économiques, est absolument colossal.
Petite escroquerie mais pénible !
Parfois ces gens-là sont très malins parce qu’ils vont aller piocher dans les bases de données de mots de passe qui ont fuité sur Internet, ils vont mettre ça dans leurs messages en disant « regardez, la preuve que je vous ai attaqué, je connais vos mots de passe ». Alors là, d’un seul coup on se dit « mince, il connaît mon de passe », donc c’est hyper crédible. Non ! On ne le sait pas forcément mais ces mots de passe sont déjà sur Internet, ce ne sont pas des secrets, ce ne sont plus des secrets.
Et puis, à l’autre bout du spectre, on a des escrocs qui sont très compétents techniquement, qui sont très dangereux, et qui ont compris que l’attaque informatique, les virus qu’on connaît qui sont aussi vieux que l’informatique et tout ça, ou presque, eh bien qu'on pouvait trouver un modèle économique dans ces virus. Avant, quand j’étais jeune — je commence à parler comme ça — les virus écrivaient des bêtises à l’écran, ils cassaient des disques durs, ils bloquaient la machine et tout ça, mais les gens qui faisaient ça ne gagnaient pas beaucoup d’argent directement manifestement.
Aujourd’hui c’est beaucoup plus simple, les rançongiciels, les ransomwares, les cryptolockers, il y a plein de noms comme ça, vont chiffrer les données. Au début ils chiffraient mal pour qu’on arrive à s’en sortir, aujourd’hui ils chiffrent bien, les gens qui font ça ont compris les principes de la cryptographie et ils vous disent « c’est bien simple, soit vous payez une rançon et on vous donne la clef de déchiffrement — d’ailleurs c'est très bien expliqué quand c’est bien fait — soit tant pis, vous avez perdu vos données ». Et puis là, si vous avez une bonne sauvegarde vous pouvez vous en tirer, si vous n’avez pas de sauvegarde ça peut être absolument dramatique de perdre ses données, donc c’est tentant, pour les victimes, de payer ces rançons. Évidemment, le message officiel sera toujours de ne pas payer les rançons, ce n’est pas bien de payer les rançons, ça encourage le crime, ce qui est vrai. Entre toutes ses données et 300 euros, je peux comprendre que certains payent. Le gros problème c’est que quand vous payez vous n’avez aucune garantie que vous allez réellement récupérer vos données. Vous avez quand même à faire à des criminels en face. On ne sait pas où ils sont, on n’est pas près de les attraper et ainsi de suite. Donc la qualité de service est variable, on va dire. Je dis ça sans rire. Des fois elle est excellente parce que certains de ces criminels ont justement à cœur d’avoir une très bonne réputation. Il faut que sur Internet on dise bien « moi j’ai payé et j’ai récupéré mes données, tout va bien ». Donc il y a en a qui ont une qualité de service qui est absolument remarquable et de fait ça marche bien.
Et puis il y en a d’autres qui développent comme des cochons, il y en a aussi chez les attaquants des gens qui développent comme des cochons et ces gens qui développent comme des cochons soit ils ne sont pas fichus de vous renvoyer votre clef, ils se trompent de clef, soit ils ne vous renvoient rien du tout, c’est une double escroquerie, soit ils se sont loupés dans le chiffrement ce qui fait que quand vous déchiffrez vos fichiers vous avez les 1024 premiers octets et le reste n’est pas déchiffré. Tout existe, on a tout vu.

Très souvent tout ça s’effondre, tout simplement, et typiquement l’attaque WannaCry2, c’était au printemps 2017. De fait, ce qu’on a pu tracer, tout ça c’est en source ouverte, c’est que l’attaquant a dû récupérer 30 000 dollars, par contre il a embêté la planète entière avec son truc et avec des conséquences dramatiques pour certains, le pire exemple étant en effet probablement le service de santé britannique : les hôpitaux ne marchaient plus, les systèmes d’ambulance ne marchaient plus, tout s’est complètement effondré. C’était un système qui était déjà connu pour être fragile donc ça a été un petit peu le coup de grâce. Tout ça a coûté très cher. Les estimations britanniques sont autour de 90 millions de livres, donc un système qui a déjà des problèmes de moyens il n’a pas besoin de payer ça. Et puis, quelque chose dont on ne parlera probablement jamais, c’est l’impact sur les personnes, parce que quand il n’y a plus d’hôpital et que les ambulances ne savent plus où aller, eh bien il y a des gens qui meurent probablement de manière prématurée. Et là, ce n’est pas pour faire de l’anxiogène pour l’anxiogène, mais on ne rigole plus, on n’est plus dans le déni de service, on n’est plus dans les pages web trafiquées, on est vraiment dans notre sécurité personnelle qui peut être totalement engagée.

Donc ça c’était WannaCry, ce n’était pas drôle, et c’est d’autant plus instructif que quand on a compris assez vite comment fonctionnait WannaCry – c’est un code assez complexe, c’est un mauvais escroc mais un bon développeur qui a probablement fait ça – on s'est rendu compte qu’il utilisait une faille qui s’appelle EternalBlue3 et cette faille n’est pas totalement anodine vu qu’elle a été volée à la NSA. On ferait des films avec tout ça, il y en probablement déjà d’ailleurs. C’est assez original ce qui se passe dans ce monde informatique parce qu’on a quand même peu d’équivalent avec le monde classique. De fait, la NSA, grand service de renseignement technique américain, qui fait de l’attaque et de la défense, c’est un peu mon homologue aux États-Unis, ça vous donne un petit peu la teneur des relations internationales que l’on développe, c’est intéressant au sens anglais du terme, ils font beaucoup d’attaques, ils l’assument pleinement. Pour faire de l'attaque ils développent des outils, ils ont des bases de vulnérabilité. Ils font des outils qui sont plutôt très performants. Quand ça fuite – par contre, parfois, ils ne sont pas très bons pour garder les secrets, Edward Snowden en a fait la preuve – dans ce qui a fuité, c’est une base de données absolument incroyable, on trouve des outils, on trouve les modes d’emploi de ces outils, on trouve les slides, les présentations pour expliquer à quel point tout cela est génial et se faire mousser auprès de ses autorités, on trouve même des compte-rendus d’utilisation de ces outils pour dire tel machin contre tel site c’est un succès ; quand on est dans la cible c’est un peu inquiétant donc après on va vérifier, tout ça est vrai. Et notamment, dans ce qui a été volé à la NSA par un groupe qui s’appelle The Shadow Brokers — qui est groupe ?, on ne sait pas ! — ils ont volé des tas de trucs, ils ont cherché à les mettre aux enchères, je ne suis pas sûr que ça ait marché, et puis ils ont fini par les rendre publics. Il y avait cette faille EternalBlue qui a tout de suite été jugée extrêmement critique par les spécialistes, qui s’attaque à un protocole, qui n’est pas le meilleur d’ailleurs, qui s’appelle SMB. Entre le temps de la publication de la faille, la réaction très rapide objectivement, notamment de Microsoft pour patcher ce truc, et l’attaque, il s’est écoulé suffisamment peu de temps pour que beaucoup d’utilisateurs n’aient pas eu le temps, n’aient pas pris le temps de patcher les systèmes.
On est dans une situation où des gens très forts se font piquer des choses très dangereuses, imaginez une des premières armées au monde qui se fait piquer des armes, comme ça, il y a vraiment ça dans le monde numérique et puis utilisées par on ne sait trop qui pour faire de l’extorsion, pour faire de l’escroquerie, des choses comme ça.
C’est vraiment contre ça qu’il va falloir apprendre à lutter dans le futur.
Je passe. C’était quand même intéressant l’attaque WannaCry.

Dans la foulée, on a eu NotPetya4, un peu différent, qui utilisait d’ailleurs un peu la même faille mais pas seulement. NotPetya c’est un peu différent parce que déjà, quand c’est arrivé, on avait passé un mauvais mois avec WannaCry ; le mois d’avant c’était l’élection présidentielle, on avait également passé des week-ends difficiles. Donc ça recommence. On se dit mince, c’est une malédiction ! Et là, tout de suite, les experts me disent « attention fais gaffe, NotPetya ce n’est pas pareil. Ça ressemble, tout le monde, tous les médias commencent à dire que c’est une nouvelle campagne et ainsi de suite, encore plus forte que la précédente comme à chaque fois. Fais gaffe, ce n’est pas la même. On a commencé à analyser le malware, en fait il ne chiffre pas les données, il les efface. Ou alors il les chiffre et il efface la clef », faire ça, c’est probablement la meilleure manière d’effacer. Et là, ce qu’on a compris assez vite collectivement, tout cela est également en open source, c’est qu’en fait c’est l’Ukraine qui était ciblée et qui était ciblée de manière extrêmement habile puisqu’en Ukraine il y a un logiciel de comptabilité publique qui est obligatoire pour déclarer des taxes, des choses comme ça, on doit avoir la même chose en France et dans tous les pays du monde mais ce ne sont pas les mêmes. Et l’éditeur de ce logiciel qui s’appelle MEDoc s’est fait attaquer, la mise à jour du logiciel a été corrompue, le malware a été intégré dans cette mise à jour, et ensuite chacun, appliquant probablement les bons principes de l’ANSSI ukrainienne, que je ne connais pas bien mais qui doit exister, a mis à jour ses logiciels et, en mettant à jour, a également récupéré le malware. Donc ça, en termes de ciblage, c’est absolument incroyable. Et en termes d’objectif, c’est purement destructeur. C’est de la mauvaise intention, le but c’est vraiment d’aller embêter la cible, avec là une capacité de ciblage particulièrement intelligente.
Qui c’est ? Qui a pu vouloir comme ça se payer toute l’économie ukrainienne d’un coup ? Nous on ne fait pas d’attribution et c’est assez pratique, mais on peut avoir des idées, ce n’est pas interdit. Mes gars me disent : « L ’Ukraine c’est bien pratique, c’est une sorte de champ de tir numérique », les pauvres, il faut voir ce qu’ils prennent ! Le problème c’est que là encore les charges explosives étaient mal dosées et surtout, elles n’avaient pas prévu le fait que ça allait éclabousser complètement en dehors de l’Ukraine pour la simple raison que certes ce logiciel MEDoc est purement ukrainien mais après, les réseaux eux ne s’arrêtent pas aux frontières. Et tous ceux qui avaient un orteil, un bout de réseau, bref, qui avaient une connexion avec l’Ukraine – et c’est le cas de beaucoup de multinationales, évidemment – eh bien, il y en a plein qui se font fait infecter par ce truc qui était extrêmement virulent, qui était destructeur. Et là il n’était même pas question de payer une rançon, c’était complètement bidon cette espèce de pseudo-rançon qui était demandée, et, de toute manière, les données étaient effacées, purement et simplement.
Donc là on change de catégorie, on passe de l’escroquerie, qui peut être parfois menée par des États à des fins de récupération d’argent, à des choses qu’on pourrait quasiment qualifier d’actes de guerre. D’ailleurs c’est toute la question pour certains : est-ce que c’est un acte de guerre ou pas ce que je viens de vous décrire ? Il y a notamment, en ce moment, un conflit aux États-Unis entre une société qui a été victime et son assureur, parce que l’assurance cyber commence à se développer, où l’assureur dit « moi je n’assure pas les actes de guerre, allez relire votre police d’assurance, vous verrez que les actes de terrorisme, les actes de guerre, les trucs radiologiques, ne sont pas couverts en général par les polices d’assurance, en tout cas pas les polices standards ». Et là, si on leur dit « c’est un acte de guerre, c’est l’Ukraine qui se fait bombarder comme ça, moi je n’y peux rien, c’est en dehors de la police d’assurance », la victime à laquelle ça a coûté quand même pas mal de millions cette affaire, dit « je n’en sais rien du tout, ce que je vois c’est que j’ai payé une police d’assurance pour assurer mes systèmes, que tout est tombé et que maintenant vous refusez de me payer ». Donc ce procès va être intéressant en termes e jurisprudence.
Ça c’était NotPetya, pareil, printemps 2017, particulièrement intéressant.

Et puis on a quelques autres histoires comme ça à raconter de sabotages, d’attaques. On a eu TV5 Monde, en 2015, il y a un attaquant très fort qui s’est dit « je vais me faire TV5 Monde », qui était une victime faible d’un point de vue informatique parce qu’elle ne pensait pas être attaquée, elle ne pensait pas être une cible, c’était même crédible. En fait, tout le monde est une cible. C’est ça la conclusion de tout ça ! Un attaquant très fort s’en est pris à TV5 Monde et n’a pas cherché à lui voler des données ou quoi que ce soit, mais il est entré dans son réseau, il l’a cartographié pendant deux mois et, à un moment donné, ils ont déclenché leur attaque et ils ont détruit tous les équipements de production audiovisuelle, les uns après les autres. Détruire ça veut dire quoi ? Comment fait-on pour détruire des équipements à distance ? Aujourd’hui c’est bien simple, on va bousiller le logiciel qui est à l’intérieur, que ce soit du micro-code ou du logiciel sur une couche supérieure mais ça revient à peu près au même. D’abord, l’équipement ne marche plus ça c’est très clair, et même à réparer – les équipement de TV5 Monde sont partis à la benne, ils ont été remplacés par des neufs un peu mieux sécurisés. C’est totalement irréparable.
Donc on voit apparaître une liaison très forte entre le monde cyber, numérique, éthéré, que certains imaginent ou pensent imaginer, et puis ce monde physique bien réel. Et c’est l’enjeu auquel on est confronté aujourd’hui. Ce numérique est partout. Vous le savez, il est partout, il est dans les transports, il est dans tous les systèmes industriels. Il n’y a pas que les ordinateurs, il n’y a pas que la bureautique, il y a toute cette informatique industrielle, cette informatique très souvent cachée. Allez aujourd’hui dans une usine moderne, c’est incroyable ! Il y a des automates de partout et dans chaque petit automate, c’est de la taille d’un disjoncteur, à chaque fois il y a un processeur, de la mémoire, un Linux [GNU/Linux] pas patché en général, et puis des moyens de communication. Tout ça a évolué à une vitesse absolument incroyable et, en général, avec une maîtrise très limitée de la part des détenteurs de ces usines. Donc c’est vraiment ça la transformation qu’il y a et tout l’enjeu c’est comment est-ce qu’on fait pour faire cette évolution de manière sécurisée, donc sans ouvrir les portes en grand à tous ces attaquants qui ont les idées, qui ont déjà fait la preuve du fait qu’ils avaient ces idées.

On pourrait prendre plein d’exemples. On peut se faire très peur, sincèrement.
Au niveau de l’ANSSI on est plutôt sur le champ défense et sécurité nationale, ça veut dire qu’on prend ça par l’angle qu’est-ce qui est le plus grave, donc on s’intéresse à quoi ? On s’intéresse aux administrations les plus sensibles, aux ministères les plus sensibles, plus pour des raisons d’espionnage qui reste quand même le fonds de commerce. Et là, l’espionnage c’est intéressant parce qu’il n’y a pas de règles, quoi qu’on en dise, l’espionnage c’est également intéressant parce qu’on se fait aussi attaquer par nos alliés, donc ça pose les problèmes de manière très particulière. Il y a l’espionnage, très clairement. Et puis, au-delà de ça, on travaille depuis maintenant plusieurs années très fortement avec ce qu’on appelle les secteurs d’activité d’importance vitale, ça fait très techno dit comme ça. En pratique c’est qui ? Ce sont les gens qui font de l’énergie, l’électricité, qui la fabriquent, qui la transportent, qui la distribuent. Tout ça c’est informatisé, tout ça ne doit pas être attaqué ou attaquable.
On travaille avec les télécoms, beaucoup, pour les mêmes raisons, la 5G qui est un peu à la mode en ce moment. La criticité des réseaux 5G c’est à peu près l’équivalent, à terme, de la criticité de la distribution d’énergie, peut-être même pire, parce qu’en électricité vous pouvez toujours avoir une génératrice à diesel et tout ça, un moteur de sous-marin planqué dans le sous-sol pour faire de l’électricité si vous n’êtes plus alimenté par votre fournisseur, en télécoms ce n’est pas dit. Ces réseaux vont être très critiques, c’est ce qu’on appelle vraiment des infrastructures critiques, nous et nos alliés, pas que nos alliés, tout le monde d’ailleurs, tout le monde voit ça comme ça.
Les transports sont des sujets où on peut « s’amuser » à se faire très peur aussi, s’amuser avec des guillemets.
Aujourd’hui on n’a pas de terrorisme cyber, c’est encore une invention, c’est encore de la science-fiction. On a un terrorisme très rudimentaire et déjà efficace. Qu’est-ce qui se passera demain si un terrorisme technologique se développe ? Je prends des exemples, après j’aurai droit à des coups de fil « pourquoi tu as encore parlé de nous ? », j’en prends quand même un, ils sont habitués maintenant. Si demain un groupe terroriste fait la preuve qu’il a fait s’écraser un avion de ligne par de l’attaque informatique, on va rentrer dans une crise mondiale sans précédent. Je peux vous dire ce qui va se passer dans l’heure qui suit : il n’y a plus un avion qui décolle, par contre, après, je ne sais pas vous raconter l’histoire. Le seul truc c’est qu’il ne faut pas la vivre cette histoire, il ne faut pas en arriver là, donc on n’a pas le choix. Il y a peut-être des domaines où on peut attendre les attaques, fonctionner comme ça, jouer au chat et à la souris avec les attaquants et jouer par essais/erreurs, comme on le fait dans beaucoup de domaines. Mais dans ces secteurs absolument critiques on ne peut pas se permettre d’échouer, donc il faut anticiper, il faut prévenir, il faut se protéger. Et toutes les grandes idées de contre-attaque et tout ça seront vaines, très clairement, le mal sera fait.

Dans le domaine de la santé également — puis je vais arrêter là ma liste, mais il y en d’autres — toute la santé est en train de se numériser et c’est absolument formidable ce que l’on voit d’ailleurs, se numériser au niveau des infrastructures de santé, dans les hôpitaux, c’est juste fou, les XP cachés c’est une réalité, évidemment, mais aussi les clés USB. Juste une parenthèse, une anecdote personnelle. À la maison je suis un peu parano, je fais un peu gaffe, je fais gaffe à ce que j’installe — je reviendrai après sur les règles de sécurité —, je fais gaffe aux mails que je reçois. Je n’ai jamais eu de virus, il suffit de dire ça pour avoir un problème ce soir, ce n’est pas une provocation non plus, il ne faut pas prendre comme ça comme un défi, mais, de fait, je n’ai jamais eu de virus. La seule fois où j’ai eu un problème, en phase d’échographie pour un heureux évènement et tout cela, on fait des photos, tout allait bien et puis à la fin le médecin me dit : « Si vous voulez, si vous avez une clef USB, vous me la donnez, je n’ai pas le droit de le faire, mais je vous donne les photos sur la clef », très sympa. Je dis bien sûr, je n’étais pas là pour un faire un cours de sécurité informatique. Je donne ma clef, on rentre à la maison, tout va bien, je branche sur le PC, alors là, un festival ! Un festival ! Voilà ! C’est ce qu’on appelle un pot de miel, en fait, un truc non sécurisé où chacun y va avec sa clef, chacun amène son virus sans le savoir, ça fait une sorte de collection et chacun repart avec l’ensemble de la collection pour le coup. Ce qui me surprend encore, pour être franc, c’est que la machine continue à fonctionner. Pas mon PC, mais la machine pour l’échographie. Pourquoi ? Tout simplement parce que le machin a été fabriqué avec une version bien fixée de l’OS et surtout aucune procédure de mise à jour, évidemment parce que pour ça il faudrait que ce soit connecté et ce n’est évidemment pas connecté et puis ce n’est pas demandé par le client et voilà ! Au final, c’est catastrophique ! Là ce n’est pas grave ce que je vous raconte, ce n’est pas très grave. Le jour où ça touche un scanner, le jour où ça touche un équipement de radiothérapie, ça peut être beaucoup moins drôle, objectivement. Il y a ça et puis il y a toute la question des objets connectés. C’est super ces objets connectés, les pacemakers, les pompes à insuline, tout ce qu’on va nous mettre dans le corps, on va vivre 20 ans de plus en bonne santé grâce à ça, objectivement c’est génial ! Il ne faudrait pas que ça nous tue ! Moi je dis ça, je ne dis rien ! On a un vrai sujet. On a un vrai sujet avec ça. Comment faire pour que cette avancée formidable se fasse en bonne intelligence avec ces questions de sécurité ? Le gros problème c’est que ces objets connectés, typiquement, certains vont coûter 10 euros et passer de 10 euros à 11 euros, ça fait 10 % plus cher, donc on commence à réfléchir. Comment fait-on pour faire de la sécurité à ce prix-là ? Très compliqué. Déjà quand on fait un avion c’est compliqué, alors que ça coûte parfois des centaines de millions, quand on fait un truc à 10 euros c’est encore plus complexe, mais je suis sûr qu’on y arrivera. Globalement on a su faire pour les cartes à puce, les choses comme ça, donc on devrait y arriver.

Dernier exemple d’attaque que je ne sais pas classer dans le reste : depuis 2016 on voit apparaître des attaques informatiques qui visent le fonctionnement même de nos démocraties, qui visent les processus électoraux. C’est la campagne américaine qui a lancé ça, si vous vous souvenez campagne Trump/Clinton, qui n’avaient pas forcément besoin de ça, de manière autonome ils arrivaient à générer suffisamment de bruit et de bêtises, mais ça a été, en plus, attaqué par des attaquants qui ont notamment volé des mails, qui les ont publiés, qui les ont parfois agrémentés, qui ont ajouté des bêtises dans ces mails, histoire de discréditer tel ou tel personnage ou tel ou tel candidat ou candidate en l’occurrence, et dans la pire des situations, une situation où on a 50/50. Vous vous souvenez de cette élection, victoire à Trump, majorité de voix à Clinton. Si l’attaquant a réussi à faire passer un pouième de votes d’un côté à l’autre simplement par cette manipulation de l’opinion, eh bien il a changé le résultat de l’élection.
Les manipulations de l’information, la désinformation et tout ça c’est vieux comme le monde, simplement ce que l’on vit aujourd’hui c’est un monde qui a changé et un monde dans lequel il y a beaucoup de nouveaux outils qui sont offerts, permis, développés par les attaquants qui cherchent à manipuler ces opinions. C’est très compliqué parce que ça mêle de l’attaque informatique, typiquement le vol de mails et la diffusion, et également de la diffusion de fausses informations, ces fameuses fake news, de la manipulation médiatique, de la manipulation sur les réseaux sociaux, ce qui, pour moi, n’est pas de la sécurité informatique, ce sont des questions de sécurité mais pas au sens SSI, tels qu’on les traite et, de fait, depuis 2016 on vit avec ça et on doit maintenant lutter contre ça. Et pendant l’élection présidentielle en 2017, deux jours avant le scrutin, le vendredi, je me souviens très bien, je l’avais même prédit en interne, j’avais dit « de toute manière, si on a un problème ce sera le vendredi à quelques heures de l’espèce de shut down, du moment où plus personne n’a plus le droit de communiquer ». Ça n’a pas manqué ! À quelques heures, trois boîtes mails de très proches du candidat Macron se sont fait, comme ça, diffuser. Ce n’est pas de la grosse attaque puisque ce sont des gens qui se sont fait avoir par de l’escroquerie par mail comme on peut tous se faire avoir quand c’est bien fait, objectivement, et avec, potentiellement, le risque d’un impact sur le résultat de l’élection. Je ne pense pas que ça en ait eu parce qu’on n’était pas à 50 /50 non plus, loin de là, mais on va devoir apprendre à vivre avec ça, plus tout ce qui va avec et qui n’est pas mon métier qui est comment est-ce qu’on fait pour lutter contre la désinformation. Je vous laisse réfléchir, c’est un sujet qui est extrêmement complexe, il n’y a pas le vrai et le faux, c’est une évidence.

Autre problème que je voulais partager avec vous, dans le domaine militaire, dont je viens, en général vous savez qui vous attaque. Il y a toujours des opérations secrètes, des commandos ultra secrets, des hommes grenouilles qui ont des combinaisons dont ils ont coupé les étiquettes pour qu’on ne puisse pas retrouver le pays d’origine – quand ils pensent à couper les étiquettes, mais en général ils savent le faire, quand ils oublient ça fait du bruit pendant très longtemps – mais, pour la plupart des attaques, on sait qui attaque.
Dans le domaine informatique, c’est l’inverse. En général, vous ne savez pas qui vous attaque. Ce n’est pas tout à fait vrai. En général, vous ne savez pas prouver qui vous attaque, il n’y a pas d’évidence sur qui vous attaque. Vous finissez par vous douter de qui c’est et puis vous pouvez avoir une sorte de faisceau de présomptions. Mais face à un juge, un juge au sens large, quelqu’un qui a autorité et qui doit décider si oui ou non la personne que vous accusez est bien la bonne, eh bien c’est pratiquement impossible aujourd’hui d’apporter des preuves dès que vous avez à faire à des attaquants de haut niveau. Des fois on a des indices, des indices intéressants. Qu’est-ce qu’on a comme indices ? On peut aller voir dans le code des malwares, dans le code des virus, des fois on trouve des commentaires, les attaquants ne sont pas très prudents sur les notions de compilation, ils laissent les commentaires et tout ça, et les commentaires peuvent être en anglais, ils peuvent être en cyrillique, ils peuvent être dans un anglais un peu francisant et on peut, comme ça, deviner un petit peu d’où ça vient, ça a pu exister. Donc on peut se dire, comme ça, quand on trouve des commentaires en russe dans un malware que ce sont les Russes qui nous attaquent. On a une preuve. Quand vous y réfléchissez, mettre des commentaires en russe pour faire porter le chapeau à untel, ce n’est pas très compliqué à faire, c’est même trivial à faire. À tel point d’ailleurs, je ne vais taper que sur la NSA, je vais aussi taper aussi sur la CIA, la CIA s’est fait attaquer par un autre groupe qui s’appelle Vault 75, elle s’est fait piquer des outils, tout ça a été diffusé, et parmi les outils de la CIA il y avait un, alors c’était vraiment avec une belle IHM [interface homme-machine] parce que probablement que les opérateurs de la CIA sont moins geeks que ceux de la NSA, une belle IHM où, en fait, vous avez un menu déroulant et vous dites à qui vous voulez faire porter le chapeau ! Et ça intègre automatiquement les preuves pour faire porter le chapeau. C’est génial et en même temps très logique.
Donc ça c’est une preuve, mais une preuve moyenne. Qu’est-ce qu’on a d’autre ? Eh bien les fuseaux horaires de compilation, les heures d’activité et tout ça, c'est une preuve aussi. Quand vous êtes un peu motivé, déjà vous pouvez changer la date de vos ordinateurs et même, quand vous êtes hyper-motivé, vous vous levez la nuit pour faire porter le chapeau, ce n’est pas hors de portée dès que vous avez un peu de moyens, donc c’est pareil, c’est un peu louche.
Dans les trucs rigolos qu’on a parfois à faire, il y a certains attaquants qu’on suit, il y a une relation presque intime qui s’installe avec eux, on suit leur activité. On sait que certains sont très actifs pour les ponts du mois de mai. À des moments où ils savent que les défenses peuvent peut-être se relâcher. Il y en a d’autres dont on sait qu’à Noël, pendant 15 jours, ils arrêtent, probablement des fonctionnaires. Donc il y a comme ça des habitudes qui se prennent. Il y a eu certains attaquants où on corrèle les jours d’inactivité avec les jours fériés. Et en fait, quand vous avez une corrélation parfaite, ça désigne un pays ; quand vous prenez tous les jours fériés c’est une signature d’un pays.

Là encore ce sont quand même très souvent de bons indices, mais ce ne sont pas des preuves, bien évidemment.
Je pourrais prendre plein d’exemples comme ça, on a plein d’exemples. Et puis, très souvent, c’est à qui le crime profite ? C’est le vieil adage des films policiers. Donc quand vous mettez tout ça bout à bout, il nous arrive régulièrement de dire à nos autorités « c’est machin », mais on n’a pas de preuves.

Certains commencent, les Américains commencent, ils ont deux/trois cas intéressants de la justice américaine où là, pour le coup, ils ont identifié qui a fait les attaques, ils ont les noms, ils ont les photos, en uniforme en général. Ça commence à se préciser, mais dans 99,9 % des cas on ne sait pas qui c’est, on ne peut pas le prouver.
Donc cette question de l’attribution est absolument majeure. J’insiste un peu dessus parce que tous nos mécanismes de défense, de coopération, d’entraide mutuelle, que ce soit au sein de l’Europe, au sein de l’Otan et ainsi de suite, s’appuient sur l’hypothèse parfois même totalement intuitive, même pas écrite, qu’on sait qui attaque. Quand vous ne pouvez pas dire qui attaque, comment est-ce que vous faites contre-attaquer ? Comment est-ce que vous faites pour porter assistance à une victime et ainsi de suite ? C’est extrêmement compliqué. Donc on est dans une situation de sécurité qui est totalement inédite de ce point de vue-là et qui remet en cause énormément de mécanismes pourtant bien rodés et c’est bien dommage, ce qui fait que beaucoup s’attachent à cette idée d’attribution parce que, sans ça, on n’y arrive pas.
Mon approche est plus de dire qu’on n’est pas près d’arriver à l’attribution. Il faut se concentrer sur de la protection, de la prévention, il faut empêcher les attaques, il faut rendre le coût des attaques beaucoup plus élevé pour les attaquants et ne pas s’imaginer qu’on va les détecter pour ensuite contre-attaquer, ce n’est pas le bon schéma. Mais quand je dis, notamment à des militaires, que la meilleure défense, c’est la défense, ce n’est pas glorieux, mais c’est pourtant ce qu’il y a de plus efficace.

Quelques mots sur des sujets qui ont déjà été abordés mais qui me tiennent à cœur.
D’abord la cryptographie, pas uniquement parce que j’en ai fait il y a très longtemps, au siècle dernier, mais parce que ça reste la base de beaucoup de choses. D’ailleurs la cryptographie c’est un bon exemple. On a mis 2000 ans à faire passer l’avantage de l’attaque à la défense. Notamment, il a fallu 2000 ans pour se rendre compte que le secret des méthodes ce n’était pas la bonne manière de protéger les méthodes de chiffrement et ce n’est pas intuitif.
Si on a mis 2000 ans pour en arriver là c’est que ce n’était probablement pas intuitif. Et puis tout s’est un peu inversé dans les années 70, à la fois au niveau de tout ce qui est chiffrement symétrique,ce qui a été dit rapidement, et également avec l’invention de toutes les méthodes de cryptographie asymétriques qui, pour le coup, ont levé des verrous technologiques absolument phénoménaux et ça a permis tous les usages que l’on peut connaître. Cette prise de conscience a vraiment été un tournant, ça a été énoncé par Kerckhoffs6 à la fin du 19e, mais finalement réellement appliqué que très tard du fait que la méthode devait être publique et seules les clefs devaient être secrètes. C’est la base de beaucoup de choses.

Aujourd’hui on peut dire qu’on sait faire de la cryptographie, de bons mécanismes cryptographiques, il faut être très modeste dans ce domaine-là. Il y a parfois des mauvaises surprises, mais globalement, au niveau théorique, c’est incroyable le progrès qui a pu être fait. Là où ça se gâte sérieusement c’est évidemment au niveau des implémentations. Alors là c’est vraiment un sport extrême. C’est hyper-compliqué de bien implémenter. Plusieurs exemples éloquents ont été cités, moi j’aime bien, typiquement, le coup des messages d’erreur ; quand on développe bien c’est ce qu’on apprend à faire, de bons messages d’erreur et tout ça. Le simple fait, finalement dans certains protocoles crypto, d’envoyer des messages d’erreur quand il y a un truc louche, rien que ça finalement quand c’est bien fait, quand l’attaquant fait bien son truc, ça permet de tout casser, c’est assez incroyable !
La génération d’aléas, c’est un truc incroyablement compliqué, en fait, alors qu’on pourrait se dire qu’il n’y a pas plus simple. Non, c’est incroyablement compliqué.

Il y a certains systèmes cryptographiques dont on sait prouver la sécurité avec quelques bonnes hypothèses bien identifiées, eh bien dès que l’aléa – et en cryptographie asymétrique il y a beaucoup d’aléas, c’est vraiment une des bases fondamentales – peut être un tout petit peu biaisé, on peut tout ruiner. C’est vraiment passionnant ! Pour le coup, pour les jeunes qui veulent faire des sciences marrantes dans ce domaine-là ça reste un champ d’exploration absolument incroyable.
Et puis il y a l’implémentation, que ce soit logicielle ou matérielle ou un peu entre les deux. C’est passionnant de regarder ce qui s’est fait notamment en termes de sécurité des cartes à puce. Ça nous renvoie aux canaux auxiliaires avec des cas plus simples probablement que ce qui se passe sur les microprocesseurs, mais quand on a découvert, vers 1996, quelque chose comme ça, qu’une carte à puce, ce n’est pas l’attaque la plus simple à faire mais qui est la plus triviale finalement en termes de canal de fuite : simplement en regardant le temps de calcul vous pouvez en déduire des secrets, ça a été une vraie surprise, effectivement. Et puis une carte à puce c’est un bon exemple parce que ce sont des concentrés de technologie absolument incroyables, mais, en même temps, c’est très vulnérable. Vous lui apportez tout. Vous lui apportez en général l’horloge, l’énergie, et puis ce n’est pas très intelligent une carte à puce.
Donc les attaques qui sont sorties à cette époque-là et qui ne font que se raffiner depuis, que ce soit par exemple en regardant la consommation de courant, eh bien les cartes à puce n’étaient pas prévues pour résister à ça ; simplement sur le silo on lisait les clefs, les secrets qui étaient contenus dans la carte. Ça aussi ça a été un choc y compris pour des mécanismes de crypto très robustes qui sont encore très robustes aujourd’hui, ce sont deux choses très différentes.

L’autre type d’attaque qui a été également totalement révolutionnaire, ce qu’on appelle les attaques par faute, ce n’est pas tout à fait pareil, ce n’est pas de l’information qui fuit, mais on provoque des erreurs et on en déduit des secrets. On pourrait se dire que quand on provoque une erreur eh bien on grille la carte ou on obtient un résultat faux et on ne peut pas en tirer grand-chose. Typiquement, avec certains mécanismes de cryptographie asymétrique qui sont, là encore, théoriquement très robustes, vous faites le calcul une première fois normalement, une signature par exemple, et une deuxième fois en provoquant une faute, ce n’est pas protégé, par un calcul mathématique trivial, vous en déduisez la clef. C’est vraiment fascinant.
Comment est-ce qu’on fait pour faire des fautes ? Typiquement, avec un laser, ça marche bien. Il faut bien le doser parce que pas assez fort ça ne fait rien, trop fort ça fait un trou, mais entre les deux on arrive à faire des erreurs, un bit qui s’inverse, un truc comme ça, ça reste de l’électronique. Là on est vraiment dans le titre que j’avais transmis, je parlais de glaive et de bouclier, c’est l’attaque et la défense. L’attaque et la défense jouent l’une contre l’autre depuis maintenant 20 ans et ce n’est pas près de s’arrêter. La défense continue à rajouter des systèmes de protection, de détection d’attaques, des choses comme ça. Les attaquants, au sens éthique du terme, notamment dans les centres d’évaluation avec qui on travaille, eh bien ils perfectionnent leurs méthodes et il y a, comme ça, ce jeu permanent. Raison pour laquelle vous vous êtes peut-être déjà demandé pourquoi votre carte bancaire changeait tous les trois ans, ce n’est pas parce qu’elle est un peu effacée, non, c’est parce que la puce qu’il y a dedans n’est plus du tout la même, simplement. C’est pour ça que c’est important de récupérer tous les trois ans votre carte pour vous en donner une nouvelle qui repart sur un composant de qualité. Quand on travaille sur des composants d’il y a dix ans, sincèrement ça tient dix secondes. Voilà ! C’est tout ça qu’il faut être capable… Là c’est de l’astuce, quelque part, dans ce jeu du chat et de la souris, pour rester à un bon niveau de sécurité.

Sur la crypto, deux choses encore. D’abord on entend beaucoup de bêtises sur le quantique, grand classique ! Grand classique quand on veut tout mélanger parce que les termes s’y prêtent.
D’abord il y a l’ordinateur quantique, on s’est longtemps demandé s’il allait exister un jour, on n’a plus trop de doutes ! Après, quand est-ce qu’il sera en vente à la Fnac ? Je ne sais pas, ça ne sera sans doute pas avant un certain temps. Le gros problème ou le gros avantage, suivant qui on est, c’est que ça permet sûrement de faire des tas de choses, mais ça permet essentiellement de casser la cryptographie asymétrique, en tout cas les algorithmes les plus répandus. D’ailleurs, ce n’est pas par hasard si ceux qui ont mis des sommes colossales là-dessus, tournent autour de la NSA et ils ne s’en cachent pas. Ça c’est un premier problème.
Si la crypto asymétrique devient vulnérable, ça veut dire qu’un jour il faudra en changer. Donc il nous faut des mécanismes de cryptographie qui résistent, ce qu’on appelle les mécanismes post-quantiques, la crypto post-quantique.
Là c’est tout un champ, un nouveau champ depuis maintenant plusieurs années, qui est ouvert pour de la recherche, de la recherche qui aura des applications parce que ce sont les standards de demain qu’il faut définir pour faire des algorithmes asymétriques comme ceux de tout à l’heure qui échangeaient, RSA7 et compagnie, mais qui résistent à ces ordinateurs quantiques. Il y a des pistes mais ce n’est pas si simple à faire.
Et puis, pour tout compliquer, il y a la cryptographie quantique qui existe aussi. C’est là où en général tout se mélange. Crypto quantique ça veut dire qu’on n’utilise plus du tout les mécanismes dont on a parlé là, mais on utilise les propriétés de transmission optique pour faire en sorte – ce qui est le contraire de l’hypothèse habituelle en crypto – que le canal ne soit pas interceptable, qu’on ne puisse pas intercepter les messages. Évidemment, quand on intercepte, ça a véritablement un impact sur la transmission, donc on peut, comme ça, monter des choses sécurisées.
Donc crypto quantique, ordinateur quantique, crypto post-quantique, ce sont trois choses qui n’ont rien à voir, fondamentalement, mais quand vous mélangez tout ça et que vous en faites un concept bizarre pour parler dans les salons le soir, eh bien ça fait ce truc quantique qui énerve tous les cryptos en général. Mais c’est un vrai sujet en soi, un vrai sujet qui est bien pris en compte.

Dernière chose sur la crypto. Aujourd’hui la crypto moderne a un défaut majeur c’est qu’elle est trop forte. Ça ce n’est pas un sujet facile. On sait très bien que tous les services de renseignement, d’enquête et tout ça, déjà il y a très longtemps avaient identifié le fait que la crypto ce serait dangereux, c’est exactement ce qu’on disait.
La France a fait partie des pays qui ont résisté le plus longtemps, je ne sais pas si c’est glorieux ou pas, mais à un moment on s’est rendu compte, c’était au milieu des années 90, qu’il y avait trois pays qui interdisaient encore la cryptographie pour un usage grand public, ça devait être l’Iran, la Corée du Nord et la France. Ça politiquement, c’est… Et puis ce n’est pas très réaliste.
Donc 1998, des travaux ont été menés pour la libéralisation de la crypto et je vous passe les détails, 2004, dans la loi il a été écrit, je cite mot à mot « l’utilisation des moyens de cryptologie est libre ». C’est fort de mettre ça dans un texte de loi ! Le fait qu’il y ait eu une nécessité d’écrire ça dans un texte de loi, ça veut dire quelque chose. Donc aujourd’hui l’usage de la cryptographie en France est libre. Ça pose un problème : il y a des cas où les services de renseignement, les services d’enquête, aimeraient bien pouvoir casser cette crypto.
Donc on est dans un débat qui est compliqué, objectivement, et pas qu’en France, loin de là, qui est comment est-ce qu’on fait pour permettre à tous les gentils d’utiliser la crypto mais pas aux méchants ? Posé comme ça, vous vous doutez bien que la réponse n’est pas facile. Toutes les grandes idées, genre il faut ré-interdire la crypto, ce n’est même pas la peine d’y penser, bien évidemment, parce que les conséquences négatives seraient sans commune mesure avec le gain et, de toute manière, ce serait très illusoire parce qu’avec ce genre d’idées on embête les gentils et on n’embête pas les méchants, donc c’est exactement l’inverse de ce qu’on veut faire.
La deuxième idée : on va affaiblir la crypto pour la mettre juste au niveau, c’est-à-dire que les grands services vont être capables de la casser, mais pas les autres. Ça ne marche pas non plus parce que le temps joue contre nous, à supposer que les gentils aient plus de puissance de calcul que les méchants, ce qui est déjà une très grosse supposition en soi !
Et après, il y a des solutions beaucoup plus techniques de portes dérobées, de trap doors, de choses comme ça, on va bidouiller un peu la crypto pour faire en sorte qu’elle soit accessible par ceux qui ont les bons passe-partout. Les passe-partout ça ne marche pas. Si vous avez une valise un peu haut de gamme, il y a sûrement une clef TSA [Transportation Security Administration] qui permet de l’ouvrir, les clefs TSA s’achètent pour quelques euros sur Internet, ces passe-partout de l’administration américaine, là on est dans le monde physique, ce n’est pas de la crypto ; ça ne marche pas dans le monde physique, c’est archi-démontré. Dans le monde numérique ça ne marche pas non plus, objectivement, parce que très vite les méchants ont également les clefs même si c’est bien fait cette affaire-là.
On m’accuse souvent de défendre la crypto et de ne pas apporter de solution à ce problème d’accès légitime, notamment par les services d’enquête, mais de fait c’est un sujet qui est extrêmement complexe et tant qu’on n’a pas de solution, et je ne suis pas sûr qu’on en trouve un jour, eh bien il faut admettre que le bénéfice de ces mécanismes est largement supérieur aux problématiques qu’ils peuvent nous poser également en termes de sécurité.
C’est un sujet récurrent, de toute manière, je pense qu’on ne s’en sortira pas, il faudra continuer à expliquer ces choses-là en continu.

On passe très vite. Il faut que j’avance.

Je vais vous dire deux mots d’open source et d’OS open source pour faire de la pub. Dans ma fonction je ne suis pas à dire « les logiciels propriétaires ce n’est pas bien, les logiciels open source c’est bien », parce qu’en termes de sécurité, malheureusement, c’est beaucoup plus complexe que ça. Il y a de l’open source très mal fichue, effectivement ! Et le fait de se dire que ce n’est pas grave, vu que c’est open source les gens le verront, ce n’est pas vrai, on le sait très bien. II y a des bugs très graves qui ont été trouvés dans certains systèmes open source, où, en fait, quand on va avoir le code source il y a un commentaire à côté qui dit « ça c’est tout pourri, je n’ai pas le temps de corriger, mais il faudra quand même y penser ». Le bug est expliqué ! Il dit « ce n’est pas bon parce que ci, parce que ça, et je n’ai pas eu le temps de corriger » et ça dure après pendant des années parce que, évidemment, personne ne relit l’intégralité du code source avant de compiler et il faut être encore capable de le faire. Je passe là-dessus.
À l’inverse, les systèmes propriétaires, évidemment, ce n’est pas forcément super sain de base, on pense tous un peu aux mêmes, ils ont fait des gros progrès mais ça reste un petit peu dérangeant cette obscurité des codes.
De fait, je ne veux pas dire qu’il y a les gentils et les méchants, c’est beaucoup plus complexe que ça.
Je disais que je voulais faire de la pub parce qu’on a récemment rendu open source une version de Linux [GNU/Linux] sur laquelle on a travaillé pendant très longtemps, je vois Olivier là-haut qui doit connaître ça par cœur. En fait, c’est un Linux qui est durci. Durci ça veut dire qu’on a commencé par enlever tout ce qui ne servait à rien et c’est déjà bien en termes de sécurité d’enlever tout ce qui ne sert à rien et c’est beaucoup. Parfois on est surpris. On a fait récemment le travail sur un logiciel open source de messagerie instantanée, dans un projet interministériel, la plus-value de l’ANSSI a été de virer 80 % du code source. À la fin on ne se rend pas compte du fait qu’on a enlevé des trucs, mais même, les gens viennent dire « ça marche vachement mieux ! » Ça fait réfléchir les informaticiens, ça rend modeste ça aussi et surtout, ça fait autant de surface d’attaque en moins, fondamentalement. Tout le code mort et tout ça, évidemment il faut l’enlever.
Tout ça pour dire qu’on a fait une version durcie de Linux [GNU/Linux] qui permet également d’avoir différentes cages, différentes instanciations, avec cette idée de schéma assez simple où, pour faire de la sécurité, le diable c’est Internet. Pour faire de la sécurité de bon niveau en étant connecté à Internet c’est super dur, même quand vous êtes bon, donc ça complique un peu les choses, évidemment. Par contre, avoir des machines sur lesquelles on arrive, en virtualisant, à avoir une instance connectée à Internet avec le risque, évidemment, qu’elle soit compromise, et une autre instance qui, elle, n’est pas connectée à Internet tout en ayant quand même les deux sur une même machine parce que deux machines c’est quand même pénible et c’est quand même bien, de temps en temps, de pouvoir passer de l‘information de l’une à l’autre, ça c’est quand même un modèle qui nous semble particulièrement intéressant et prometteur.
Donc voilà, ça s’appelle CLIP OS8, je vous encourage à aller voir, c’est open source. On a fait de l’open source sécrète pendant dix ans maintenant c’est de l’open source qui est réellement open source, je trouve que ça fait partie des beaux projets qui font partie des produits de l’Agence.

Deux derniers points.
Un, on n’a pas cité l’intelligence artificielle, très étonnant quand même dans un exposé ! Au-delà de l’effet buzz et tout ça, l’intelligence artificielle transforme nos métiers, évidemment, comme pour tout le monde. En interne les gars me disent : « Ne dis pas intelligence artificielle, il faut dire machine learning, c’est quand même beaucoup plus sérieux ! » Bon ! Machine learning. Pour les défenseurs comme nous c’est une vraie révolution parce qu’un de nos métiers c’est le métier de la détection. On voit passer des tas de flux colossaux et tout çà, et là-dedans, dans cette immense botte de foin, il faut trouver la micro-aiguille qui trahit peut-être une attaque. Ça vraiment, si ce n’est pas un champ d’application formidable pour l’intelligence artificielle, je ne comprends plus rien !
À l’inverse, pour les attaquants, on voit certains attaquants qui aujourd’hui, manifestement, ne sont plus des gens derrière leur clavier. Ces mécanismes d’automatisation plutôt malins sont en train de se mettre en œuvre.
Et puis il y a un troisième sujet qui est beaucoup plus fin sur l’intelligence artificielle, je ne sais pas trop où le classer d’ailleurs, c’est la sécurité même de ces IA. Je ne sais pas trop comment on fait ça, c’est un sujet qui dépasse complètement nos compétences. Nous, ce qu’on apporte, c’est quelque part notre esprit un peu pervers : à quel point on peut empoisonner un mécanisme d’apprentissage ? On trouve déjà plein de trucs sur Internet, les trucs de reconnaissance d’image. C’est très facile de faire passer un pingouin pour une autruche ou n’importe quoi pour n’importe quoi. Alors que, pour un humain, non ! Et est-ce qu’il est possible avec un nombre limité de données empoisonnées d’aller modifier, de manière importante, structurellement, un apprentissage ? La réponse est oui, clairement. Donc comment est-ce qu’on fait pour éviter ça ? C’est un vrai sujet extrêmement complexe.

Le sujet du vote est un sujet que j’aime beaucoup, parce que c’est très compliqué de faire du vote électronique, pour plein de raisons. Ça revient un peu sur les règles de sécurité. La situation en France, aujourd’hui : les machines à voter existent, peut-être que quand vous votez vous votez sur une machine électronique, informatique, je ne sais pas comment dire. En fait, cette autorisation existe depuis assez longtemps, c’est prévu par la loi depuis longtemps. Il y a eu un moratoire, en 2007 ou 2008, qui a dit « on commence à avoir un doute sur la sécurité de ces machines, donc ceux qui n’en ont pas acheté n’ont plus le droit d’en acheter et ceux qui en ont acheté vous n’avez plus le droit d’y toucher, mais vous avez le droit de les utiliser ! » Cherchez l’erreur dans cette phrase ! C’était en 2008 ; on est en 2019, ces machines sont les mêmes qu’en 2008, voire beaucoup plus anciennes ; vous n’avez pas le droit d’y toucher donc elles ne sont pas mises à jour. C’est exceptionnel, ces machines ! Donc on a un vrai souci avec ça, qui va être compliqué et qui se repose à chaque élection.
Et puis il y a le vote des Français de l’Étranger, le vote par Internet, là c’est vraiment très compliqué. Il y a un peu un paradoxe. En 2012 on l’a fait pour les Français de l’Étranger malgré les trous qu’il y avait. En 2017 on ne l’a pas fait pour les législatives, c’est uniquement pour les législatives aujourd’hui, pour limiter la catastrophe s’il y a un problème. En 2017, je suis allé voir les autorités en disant « ce n’est pas raisonnable, on ne peut y aller ». Ça n’a pas été la folle ambiance, évidemment ! Parce que évidement, d’un point politique, vis-à-vis des électeurs, on a l’impression d’une régression et c’est très dur à comprendre.

J’ai été trop long, il y a plein de choses que je voulais vous dire, je ne vous les dirais pas !

Organisateur : Il me semble qu’à sept heures il y a la séance de questions, tu peux y aller.

Guillaume Poupard : Deux mots alors, quand même.
Une fois qu’on a bien peur et qu’on a pris conscience que tout cela est très complexe, j’ai dit que je voulais vous convaincre qu’on sait se protéger.
C’est un peu frustrant. Au-delà des guides, vous allez sur ssi.gouv.fr, il y a plein de guides9. Ça va des trucs absolument élémentaires plutôt pour les particuliers à des trucs de haut niveau. Donc il y a ce que j’appelle la bibliothèque rose, la bibliothèque verte et tout ça, en souvenir des livres de nos enfances.

Il y a un truc assez facile d’accès qui est déjà assez sérieux qu’on a fait avec la CPME, l’organisation des petites et moyennes entreprises, qui dit « eh bien voilà, vous n’êtes pas des experts en cybersécurité, vous ne le serez jamais, voilà 12 règles à appliquer ! » Je vous encourage à aller voir ce guideGuide des bonnes pratiques de l'informatique - 12 règles essentielles pour sécuriser vos équipements numériques]. Déjà quand on fait ça, on évite tout le tout venant en termes d’attaque, ce n’est déjà pas mal ! Si c’est la NSA qui en a après vous, ça ne suffit pas, c’est une évidence, mais ce n’est déjà pas mal.
Là-dedans on va retrouver attention à vos mots de passe, classique, attention à tout ce qui est connexion USB, à ces choses-là, attention à la séparation des usages. Historiquement, à l’ANSSI, on se bat contre le BYOD, le bring your own device, cette idée assez étonnante que les employés, les collaborateurs, vont venir avec leur PC, avec leur téléphone et ainsi de suite, persos, et vont travailler avec dans le cadre du réseau de l’entreprise. Pour ceux qui veulent faire de la sécurité en entreprise, bon courage ! Chacun arrive avec son bazar et il faut que l’ensemble soit sécurisé. Pareil, je pense qu’on doit pouvoir démontrer que ce n’est pas faisable cette affaire-là. Et pourtant c’est une idée un peu naïve parce qu’on se dit que ça va faire faire des économies et, en plus, les utilisateurs sont ravis. Ils sont ravis ! Moi j’aimerais bien pouvoir utiliser mon téléphone perso pour travailler parce que je n’aurais qu’un téléphone, je n’aurais pas à jongler et tout. Simplement on ne sait pas faire et ce n’est pas raisonnable.
Attention à ce que vous téléchargez, attention aux mails et tout.
Tout ça ce ne sont pas des trucs absolus, c’est-à-dire que si vous le faites scrupuleusement vous ne serez pas pour autant 100% sécurisés, mais c’est tout cela qui crée une hygiène informatique, qu’il va bien finir par falloir apprendre notamment à l’école parce que c’est avant tout à l’école qu’on apprend les choses. Eh bien il va falloir apprendre ces choses-là parce que sans cette hygiène, sans cette base élémentaire, vous pouvez faire des choses extrêmement compliquées derrière, vous pouvez faire de la très belle science, vous pouvez faire de la très belle technique, de la technique très chère, s’il n’y a pas l’hygiène de base, comme on a mis des siècles à l’apprendre en médecine, eh bien tout ça est ruiné. Vous pouvez les meilleurs vaccins au monde et tout ça, ceux qui ne lavent jamais les mains et ainsi de suite, ils seront malades quand même.

Deuxième page de pub, on a fait une plateforme qui s’appelle cybermalveillance.gouv.fr10. Si vous avez un problème, si vous voulez vous renseigner, si vous avez quelqu’un qui a un problème, vous l’envoyez là-dessus. Ce n’est pas l’ANSSI, c’est quelque chose qui est à l’extérieur, c’est quelque chose qui est fait plutôt pour les PME et pour les individus. Vous allez trouver de la sensibilisation, donc cybermalveillance.gouv.fr, des messages très simples qui expliquent les bases, donc cette hygiène dont je parlais.
Également en cas de problème, le jour où vous avez un problème chez vous, ça peut vous arriver, évidemment il faut aller porter plainte mais ce n’est pas le policier ou le gendarme qui va réparer votre PC, ce n’est pas son métier. Pareil, quand vous êtes cambriolé ils vont venir faire les constats, ils vont venir prendre la plainte, mais ils ne vont pas réparer la porte, ce n’est pas leur métier. Cette plateforme vous met en relation avec des prestataires informatiques, plutôt locaux, qui ont signé une charte et qui peuvent vous aider. Ce n’est pas toujours magique, mais si vous avez des sauvegardes, ils peuvent faire de leur mieux, quelque part, donc on peut trouver de l’aide pratique, comme ça. Ça n’existait pas jusque-là. C’est une manière d’apporter un peu de concret positif pour les gens qui sont victimes et puis c’est également une manière, j’aimerais qu’il y ait plus de personnes qui y aillent, de faire de la prévention en amont parce qu’on est vraiment dans des domaines où, une fois encore, la meilleure défense c’est la défense.

Et puis je disais que la formation c’est vraiment un sujet absolument majeur. La formation à tous les niveaux. Former des experts en cybersécurité, évidemment c’est notre obsession parce qu’on veut les embaucher après. On arrive à embaucher des gens mais, de fait, il y a un décalage entre l’offre et la demande en termes de quantité parce que tout ça est allé très vite, objectivement. Quand on est pessimiste on peut même se dire que la situation s’aggrave puisqu’il y a de plus en plus d’experts, mais comme la demande croît encore plus vite, le gap continue à s’étendre, c’est un vrai problème.

Je pense à quelque chose d’absolument essentiel, c’est d’enfin apprendre systématiquement la sécurité aux gens qui font de l’informatique ou du numérique, parce qu’aujourd’hui on est dans une situation où il y a ceux qui développent, parfois n’importe comment, souvent n’importe comment, et ceux qui essayent de patcher tout ça et c’est totalement inefficace comme système. Quand on veut faire commercial on parle de security by design, la sécurité ça se pense dès le part, ça se construit dès le départ.
Quand on fait un beau système non-sécurisé et qu’on dit ce n’est pas grave je vais passer un avenant à tel industriel spécialisé et il va nous sécuriser ça par-dessus, ça ne marche pas. On a essayé dans tous les sens, on a payé des sommes folles pour les systèmes les plus critiques, ça ne marche pas. Il faut vraiment que ce soit ceux qui développent qui fassent en même temps de la sécurité et ça tout au long du cycle de vie, donc les mises à jour et tout ça et ça pose des tas de questions.

Dernier point. Le 12 novembre dernier, dans le cadre du Forum de Paris sur la Paix, c’était les commémorations du 11 novembre, vous vous souvenez peut-être de ça, l’Internet Governance Forum en parallèle, une semaine numérique, quelque chose de politiquement assez fort. Le président a fait l’appel de Paris pour la paix et la stabilité dans le cyberespace, un truc comme ça, un truc tout bizarre en apparence. Le fait de dire « écoutez, ce cyberespace, cet espace numérique, ce bien commun, il est devenu hyper-critique et on se doit collectivement, avec tous les gens de bonne volonté, de le sécuriser, de le stabiliser et de faire en sorte que ce soit un espace de paix ». Les esprits critiques disent : « C’est bon, les naïfs sont de retour à appeler à la paix à un moment où, au contraire, on a plutôt une course aux armements qui est en train de se produire et des agressions qui sont de plus en plus violentes. »systématiquement
C’est quand même important d’y revenir, parce qu’évidemment, c’est tout sauf naïf. Ça veut dire quoi ? Ça veut dire deux choses.
Ça veut d’abord dire qu’il faut dès maintenant préparer le jour d’après. On va avoir des attaques qu’on n’a pas encore vues, des attaques qui seront inacceptables, intolérables, je ne sais pas lesquelles, mais on peut malheureusement faire plein d’hypothèses et plein de scénarios. Quand on se sera mis d’accord, pour le coup c’est à l’échelle mondiale tout ça, il ne se suffit pas de se mettre d’accord entre quelques pays like-minded, qui pensent pareil, il y en a d'ailleurspeu qui pensent pareil. Non ! Il faut vraiment tous ensemble se mettre d’accord pour dire non, il y a des règles, il y a une sorte de droit international qui s’applique à l’espace numérique parce qu’autrement c’est le Far-West. C’est une expression que je prends souvent, c’est un Far-West avec des cow-boys armés qui se baladent, qui tirent dans tous les sens, qui ont même un bandeau sur les yeux pour faire le problème d’attribution, tout le monde tire sur tout le monde et à la fin il n’y a plus que des victimes. Ça c‘est la situation vers laquelle on va et qui est totalement inacceptable.
Donc savoir dire non. Cet espace numérique, ce bien commun, on doit le sécuriser, c’est notre intérêt commun tout simplement. Ce n’est pas du tout des belles idées ni de la philanthropie, c’est juste de l’intérêt général. Et pour ça, pour le sécuriser, eh bien chacun est responsable : les États sont responsables, les utilisateurs sont responsables, les fournisseurs sont responsables.
Quand on tire la ficelle, il y a plein de choses qui viennent. Ça veut dire par exemple, pour ceux qui développent des systèmes avec de l’informatique à l’intérieur, eh bien dorénavant il faut avoir des règles élémentaires qui, énoncées comme ça, paraissent triviales, mais qui ne sont pas appliquées aujourd’hui. Par exemple la sécurité elle est par défaut, la sécurité ce n’est pas une option qu’on paye en plus. Les mises à jour c’est par défaut. Il est hors de question de payer pour avoir des mises à jour, notamment de sécurité. Des mises à jour fonctionnelles et tout ça, pourquoi pas ?, qui sont le modèle économique, mais pour la sécurité non, c’est quelque chose qui doit faire partie de l’achat initial.
Et puis la sécurité doit être suivie tout le long du cycle de vie. Il est hors de question de faire un produit, comme la machine de tout à l’heure, et dire après ce n’est plus mon problème. Non, c’est le problème du fournisseur tout au long du cycle de vie. Et ça, ça a l’air évident de le dire, mais ce n’est pas trivial.
Et à l’inverse, c’est une responsabilité qui doit rester limitée. Quelqu’un aujourd’hui qui se fait attaquer parce qu’il a Windows XP, je suis désolé mais moi je pense que ce n’est pas la faute à Microsoft. On peut critiquer Microsoft sur pas mal d’aspects, mais ils ont prévenu, re-prévenu pendant des années « attention, à telle date on arrêtera le support et ainsi de suite » et il y avait largement le temps de migrer. Donc il y a une responsabilité qui n’est évidemment pas que sur toujours le même.

Et puis il y a un sujet qui est très compliqué c’est celui des vulnérabilités. Nous on est convaincus qu’il faut empêcher une sorte de commerce des vulnérabilités informatiques de se développer. C’est facile à dire, c’est très compliqué à faire parce que, évidemment, il y a un marché, il y a des offrants et des demandeurs, donc le marché est là. Ce marché est un marché qui est dématérialisé donc qui est très difficile à contrôler. Quand vous voulez contrôler de l’armement, si vous voyez passer un char, normalement ça se remarque. Une vulnérabilité informatique c’est en pièce jointe avec le mail et puis si c’est bien chiffré, même avec des moyens que nos démocraties n’ont pas, heureusement, de toute manière ça passe inaperçu. Il faut empêcher ce commerce de vulnérabilités, ça fait également partie de ce qu’on pense être très important pour stabiliser le cyberespace et éviter que ça devienne un Far-West.

Et puis, dernière chose, il faut vraiment préserver l’usage de la violence, de la violence légitime, comme j’appelle ça, et interdire le fait d’utiliser, même pour de bonnes raisons, des moyens offensifs. Je laisse de côté l’audit, l’open test et tout ça, ça peut s’encadrer, mais notamment une notion absolument abominable qui circule dans certain milieux c’est la notion de hack-back : je suis attaqué, je me défends, je contre-attaque, donc là c’est n’importe quoi parce qu’on est à peu près sûr de contre-attaquer sur quelqu’un est lui-même une victime. Quand on explique ça en France les gens disent « oui, c’est évident ». Aux États-Unis, autre perception de l’autodéfense et de l’usage des armes, eh bien non, il y a plein de personnes qui pensent que, de toute manière, l’État ne sera jamais capable de les défendre, que c’est à eux de se défendre, donc ils vont s’armer et dès qu’ils vont être attaqués, ils vont contre-attaquer. Ça c’est le début du grand n’importe quoi si on part là-dedans.

Je m’arrête là. Je vous dis juste la devise de l’ANSSI pour cette année, c’est tous connectés, tous impliqués, tous responsables.
Tous connectés oui, dans notre vie personnelle, dans notre vie professionnelle.
Tous impliqués oui, parce qu’on est de plus en plus des acteurs de ces mondes numériques, clairement, parfois très acteurs évidemment.
Et tous responsables parce qu’on a un rôle à jouer pour que cette sécurité soit garante du fait que c’est le bon côté du numérique qui va se développer et pas tous ces trucs atroces que je vous ai dits pendant une heure.

Je vous remercie beaucoup.

[Applaudissements]