Éric Filiol : « La France est incapable de capitaliser sur ses hackers »

Plus de 300 personnes étaient attendues au Centre des Congrès de l’hôtel New York de Disneyland Paris pour échanger autour de la sécurité informatique. Parmi les speakers de cette édition se trouvait Éric Foliol. Lieutenant-colonel de l’armée de Terre, il a travaillé comme cryptanalyste pour la DGSE. Aujourd’hui retraité de l’armée, il dirige la recherche du groupe ESIEA (École supérieure d’informatique, électronique, automatique) et était présent à Hack In Paris pour évoquer les enjeux du contrôle des technologies par les États.

Éric Filiol, Directeur de Recherche de l’ESIEA.

iTPro.fr : Quelles sont ces technologies que les États cherchent à contrôler ?

Éric Filiol : D’un point de vue général, toutes les technologies à double usage comme le laser, les équipements radio, ou les technologies de l’information. Le cas emblématique que l’on cite souvent est celui du nucléaire mais les matériels cryptographiques ou certaines technologies GPS sont interdites d’exportation. On croit souvent que les limites d’exportation concernent des échanges entre les États du G8 et des États voyous mais elles peuvent concerner tous les pays du monde. Dans les années 90, la France par exemple a été privée des technologies américaines de supercalculateur parce qu’elle faisait partie des pays sensibles pour les États-Unis.

Ces contrôles sont-ils nécessaires ou est-ce un frein au développement technologique ?

Les contrôles sont nécessaires. Sans eux, on ne peut pas avoir une société démocratique et assurer la protection du patrimoine, du territoire et des citoyens. Imaginer que demain on découvre des systèmes de chiffrement inviolables. Si vous les donnez à tout le monde, vous aurez des pédophiles ou des terroristes qui seront  définitivement protégés donc on ne peut pas ne pas avoir une certaine forme de contrôle.

Le problème est qu’avec la globalisation du commerce et l’instauration d’hégémonies industrielles, ce contrôle n’est plus exercé par l’État français mais par des multinationales et un très petit nombre d’États, à savoir la Chine et les États-Unis. Il est beaucoup plus difficile de contraindre une société privée qu’un État, surtout quand elle est dans un paradis fiscal. La France n’a plus les moyens d’assurer sa souveraineté et sa sécurité. Il y a un cas très concret qui se déroule en ce moment. L’État français n’arrive pas à obtenir certaines informations techniques précises sur le noyau Windows. Un pays doté de l’arme nucléaire et membre du conseil de sécurité des Nations-Unies ne peut pas contraindre Microsoft de lui donner des informations nécessaire sur un système qui est absolument partout.

Les équipementiers chinois ont été la cible du rapport Bockel l’année dernière. Leurs technologies constituent-elles une réelle menace ?

Un certain nombre de gens et surtout Cisco ont beaucoup parlé des backdoors chinois mais oublient de préciser qu’avant cela, on subissait les backdoors américains. Je pense qu’il se vend aujourd’hui plus de routeurs chinois dans le monde qu’américains. C’est ce qui pose problème aux États-Unis. Avant, il y avait le méchant russe, maintenant il y a le méchant chinois. Mais l’attaque de l’Élysée en mai 2012, ce ne sont pas des chinois qui l’ont faite mais bien des américains.

Parmi les propositions du rapport Bockel, il y avait notamment la volonté de se rapprocher des hackers français pour exploiter leurs connaissances. Est-ce qu’une démarche dans ce sens a été réalisée depuis ?

Ils ont vite tourné casaque ! Quand vous écoutez Patrick Pailloux (Directeur de l’ANSSI, ndlr) parler des hackers, il leur jette presque de l’eau bénite. En France, nous avons le secret pour faire de grandes déclarations et ne rien faire par la suite. On continue à faire de la théorie pendant que les hackers font de l’opérationnel. L’une des raisons de notre retard est notre incapacité à capitaliser sur une énorme ressource que nous avons : nos hackers. Il y a, à la Nuit du Hack et à Hack in Paris, une communauté de jeunes brillants que le système éducatif a complètement oublié et délaissé. Il faut une refonte en profondeur de ce système. La force de l’Allemagne ou de l’Angleterre est de savoir aussi bien réintégrer dans un cursus de formations une personne de 20 ans que de 40 ans. En France, l’important n’est pas ce que vous êtes capable de faire mais ce que vous avez fait entre 20 et 24 ans et si vous n’êtes pas normalien ou polytechnicien, vous n’avez pas droit de cité.

La révélation du programme Prism illustre-t-elle la volonté des États de contrôler la donnée ?

Quand on essaie prendre le contrôle d’un ordinateur, c’est toujours pour contrôler la donnée. Prism n’est que le énième et dernier avatar de quelque chose qui existe depuis les années 40. Avant, cela s’appelait Carnivore, Echelon ou Magic Lantern. Ces programmes ont toujours existé et Prism n’est qu’un nouveau nom. Ce ne sera pas le dernier et il y en aura d’autres, d’autant que le Patriot Act leur a donné un cadre légal.