Tech&Co
Vie numérique

L’ANSSI ne croit ni à l’OS souverain, ni aux portes dérobées

-

- - -

Selon Guillaume Poupard, directeur général de l'ANSSI, développer un système à partir de rien est un "non-sens technologique". En revanche, il fait la promotion de CLIP, un Linux sécurisé créé et déployé par ses équipes.

Guillaume Poupard, le directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), n’est pas du genre à vouloir se faire des amis facilement. A l’occasion du Forum International de la Cybercriminalité 2016, qui se déroule actuellement à Lille, ce docteur en cryptographie a enterré d’un revers de main deux idées actuellement en vue dans la France numérique: l’OS souverain et les portes dérobées dans le chiffrement.

Interrogé sur la nécessité d’un système d’exploitation "made in France", il estime qu’il y a beaucoup de confusion sur ce sujet. "Cette idée provient à l'origine d’un livre de Pierre Bellanger ["La souveraineté numérique", paru en 2014, ndlr]. Mais à force de simplifier les messages, on arrive à des choses qui ne veulent rien dire. Si l'idée est de développer un système à partir de rien, je n'y crois pas du tout. D'un point de vue technologique, c'est un non sens. Si l'idée est de créer un système entièrement maitrisé par l'Etat pour mettre des saletés dedans [backdoor ou cheval de Troie par exemple, ndlr], je m'y opposerai. Nous ne sommes pas en Corée du nord", explique Guillaume Poupard.

En revanche, le directeur de l'ANSSI n'est pas contre une meilleure maîtrise des systèmes d'information, par exemple en déployant des systèmes d'exploitation sécurisés. Coup de bol, c'est justement ce que propose l'agence nationale depuis quelques années au travers d'un projet intitulé "CLIP". Il s'agit d'un Linux dans lequel les données sont particulièrement cloisonnées et auquel on a ajouté "de multiples barrières de sécurité redondantes", comme on peut le lire sur le site web de l'ANSSI. Ce système a d'ores et déjà été déployé dans certaines administrations, par exemple pour des postes de travail nomades gérant à la fois des données sensibles et non sensibles. Toutefois, CLIP n'est pas à ce jour un système ouvert librement disponible.

Chiffrement : pour une "évolution des méthodes"

L'autre serpent de mer auquel M. Poupard a tordu le cou est l'affaiblissement du chiffrement. Cette idée fait son chemin surtout auprès des policiers, qui sont de plus en plus confrontés, dans le cadre de leurs enquêtes, à des appareils incassables. "Contrairement à d'autres pays, le chiffrement en France est légal, autorisé et promu pour la protection des données", explique le directeur de l'ANSSI. Contraindre les fournisseurs technologiques à intégrer des accès parallèles dans leurs produits (les fameuses backdoors) n'est pas, selon lui, une bonne idée.

Pour autant, fin équilibriste, Guillaume Poupard n'est pas contre tous les accès "quand ils sont possibles" et quand ils permettent "de maintenir cet équilibre paradoxal" entre la protection des communications et la lutte contre la criminalité et le terrorisme. Il évoque à ce titre une "évolution des méthodes", sans donner plus de précisions.

De quoi parle M. Poupard? L'une des alternatives aux portes dérobées pourrait être la généralisation d'outils de piratage permettant, en compromettant le terminal, d'accéder aux données avant chiffrement. Ces outils sont d'ailleurs prévus de manière légale par la loi Loppsi 2 dans le cadre de procédures judiciaires. Mais leur développement pose, apparemment, problème. "Ces produits ont du mal à arriver car l'équation économique est difficile. Dès que l'on s'en sert, ces outils commencent à être connus et à être intégrés dans les bases des antivirus. Si le produit est cramé au bout de trois utilisations, cela ne marche pas", souligne Guillaume Poupard. En tous les cas, la discussion sur le chiffrement est loin d'être terminée..