L’entretien d’Olivier Bailly avec Olivier Pereira
« Leaks » (1), piratage informatique, vol de base de données… Internet et nos puces numériques n’ont jamais paru aussi poreux. Notre consommation, notre dossier médical, nos données diverses sont-elles condamnées à être exposées tôt ou tard? Réponse avec Olivier Pereira, professeur de cryptographie à l’UCL.
Espace de Libertés: On fait quoi ici (dans la salle CryptoGroup de l’UCL) à part réunir des jeunes geeks à longue barbe?
Olivier Pereira: Ce n’est pas un critère d’admission! [rires] On est un groupe de recherche en cryptographie créé au milieu des années 90 par Jean-Jacques Quisquater qui travaillait auparavant chez Philips. On oscille entre 15 et 25 chercheurs, soit un assez gros labo de cryptographie pour une université. On s’intéresse à tous les aspects de protections de données, de confiance, de sécurité des objets, des aspects les plus mathématiques et électroniques en passant par l’informatique. Notre spectre est assez large.
La cryptographie est-elle une science récente?
La cryptographie existe depuis qu’on écrit. Mais elle est entrée dans le milieu académique dans les années 70. Auparavant, on la trouvait surtout chez les militaires. Quand des réseaux ont été utilisés par le public, avec l’arrivée des mails au début des années 80, on a commencé à se poser des questions qui n’ont fait que croître avec l’usage de l’électronique (carte à puce) et de l’Internet, dont le commerce en ligne. La cryptographie est alors devenue importante pour tout le monde.
Le nombre de leaks, les attaques perpétrées par Anonymous ou par des hackers moins éthiques, donnent l’impression que les bases de données et internet constituent de plus en plus un champ de bataille.
Il y a un aspect champ de bataille, c’est vrai. Si on prend le cas Snowden, nous étions dans des surveillances, des écoutes plutôt pour des questions gouvernementales. On pratique aussi l’espionnage industriel. Et enfin, il y a des aspects plus revendicatifs au piratage, avec des attaques, des prises de contrôle de sites web sans appropriation de données mais avec appropriation d’image. On coupe l’expression des uns et on la remplace par une autre.
Votre unité est-elle de plus en plus sollicitée sur ces questions?
Oui. Avec des demandes de toutes sortes et certainement une demande forte d’informations. Il y a un décalage important entre l’ampleur de l’expertise académique et la pratique générale en Belgique. Pourtant, la recherche en cryptographie est très développée dans notre pays.
Pourquoi?
Une des raisons est que la Belgique n’a jamais légiféré en la matière contrairement aux autres pays. Aux USA, dans les années 90, la cryptographie était considérée comme une munition. Prendre un avion avec un bouquin de crypto était délicat! En France, des lois dissuadaient de réellement crypter les données de manière forte. Dès qu’on voulait faire du costaud, il fallait donner spontanément les clés de déchiffrement au gouvernement, ou demander des autorisations. Beaucoup de pays développaient ces mêmes restrictions, mais pas la Belgique. Si vous prenez des vieilles versions de Microsoft Office 97 par exemple, en fonction du pays, vous pouviez protéger vos documents par un mot de passe. Si vous vous localisiez « Belgique », vous alliez avoir une relativement bonne protection. Si vous répondiez « France », une très mauvaise. Les deux versions étaient dans le logiciel avec le respect des législations nationales.
Et on en est toujours là?
Oui, en Belgique, on n’est jamais venu nous dire de cacher ce qu’on fait, ou nous dire que c’était dangereux. Et les autres pays ont progressivement rejoint le point de vue belge.
Est-ce selon vous une volonté politique ou… l’absence de volonté politique?
Le point de vue était que dans la vie de tous les jours, nous avons le droit d’écrire en privé, d’avoir des cadenas, de fermer la porte, d’avoir un coffre-fort. Pourquoi ne serait-ce pas le cas en informatique? Et si un juge arrive avec des informations cryptées, il peut en demander les clés. Si on refuse, cela relève de la Justice.
Y a-t-il des craintes à avoir pour nos données médicales, sociales à portée du premier hacker venu?
Je ne connais pas la situation des tous les services mais une difficulté en Belgique est le fonctionnement de chaque secteur de manière indépendante. En France, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) (2) rassemble près de 500 personnes qui ont pour mission d’être à la pointe en matière de cryptographie et de sécurité. L’ANSSI fournit des cadres de références pour les services gouvernementaux et les entreprises. En Belgique, chacun engage son expert dans le domaine selon un budget, et selon la somme accordée pour protéger son système, celui-ci sera plus ou moins bien protégé.
Je sais que le réseau médical travaille sur la protection des données, avec des procédures d’audit, un protocole de sécurité de plus en plus en plus fort, notamment en compartimentant les choses. Ceci dit, nous sommes dans une période économique difficile. La sécurité des données coûte et elle ajoute peu au business. Beaucoup ont l’impression que c’est là qu’il faut faire des économies.
Pourtant, les bases de données avec nos informations, mais aussi nos consommations, nos achats, deviennent très prisées…
En Californie, depuis plus de 10 ans, dès qu’une entreprise a des raisons de croire qu’elle s’est fait voler ses données, elle est obligée d’informer chaque personne concernée. Cela fait très mal à l’image. En Europe, ce n’est pas le cas. Du coup, on la joue profil bas.
Quand il y eut le SNCBgate (NDLA: la fuite des données personnelles d’utilisateurs de la SNCB Europe), un activiste avait créé un site web pour informer les gens sur la perte ou non de leurs données personnelles dans la nature. Il s’est fait menacer par la SNCB alors que ce qu’il faisait était dans l’esprit d’une obligation légale en place en Californie !
Au niveau légal, il y a moyen d’aller beaucoup plus loin dans le contrôle des données et différents projets vont en ce sens au niveau européen. Google Street a mis peu de filtres pour capter ses images. Beaucoup de pays l’ont poursuivi et la plus grosse amende perçue par Google (en Allemagne) s’élevait à… 145.000 euros, ce qui était essentiellement le maximum légal.
Avec les menaces terroristes début 2015, la nécessité de renforcer nos protections s’est imposée comme une évidence. Sommes-nous bien armés de ce côté?
On est très peu armé. Beaucoup de choses existent du côté technique mais la mise en œuvre est contraignante. Donc, c’est fort peu utilisé. Quand on voit la régularité des piratages sur les sites ministériels, je pense qu’il y a moyen de faire mieux… Les attaques orchestrées ne sont que rarement sophistiquées, mis à part des cas exceptionnels comme l’attaque Belgacom.
Ceci dit, si on veut se protéger face à la NSA, des services secrets de gouvernement ou des mafias internationales, on est en situation de faiblesse extrême parce qu’on n’a pas de contrôle sur les outils que nous utilisons. Dans nos équipements, des trappes, des brèches de sécurité sont souvent insérées avant l’arrivée en Belgique. On peut mettre toutes les protections que l’on souhaite, elles seront contournées via ces brèches.
C’est un chemin organisé?
Souvent, cela peut sembler être de la négligence. Ce n’est pas non plus systématiquement le fait des constructeurs. Avec Snowden, on a vu que la NSA interceptait des produits et y remplaçait des puces.
À ce niveau-là, c’est déjà du solide. Ce type d’espionnage ne concerne pas tout le monde.
C’est vrai. Le monde de la cryptographie était militaire, politique, stratégique, mais il descend tout doucement dans la sphère privée des individus lambda, ou de professionnels qui veulent protéger leur travail, comme les journalistes ou les avocats. Il est de plus en plus entré dans les mœurs de vouloir un « https » avec petit cadenas quand on se connecte à son Homebanking. Ce qu’on a aussi vu aussi avec Snowden, c’est que la cryptographie marche quand on s’en sert bien. Si je chiffre mes données et que la NSA n’a pas la clé, elle n’arrivera pas à déchiffrer. Le stockage des clés devient central. Et sur ce point, on a des difficultés de simplicité de mise en œuvre. C’est quoi, ma clé? Où est-elle? Comment suis-je certain que ce soit votre clé? Cette gestion et la protection des clés sont aujourd’hui les questions les plus délicates, pragmatiques de la cryptographie.
(1) Fuite (de données confidentielles, le cas échéant), NDLR.
(2) Cf. son site www.anssi.gouv.fr.