Bruce Schneier (BT) "Le Pentagone sous-estime le problème des cyberattaques chinoises"

Stuxnet n'est pas du tout une révolution, la sécurité est moins une question d'argent que de confiance...Le gourou de la sécurité tord le cou à quelques idées reçues.

JDN Solutions. Qu'avez-vous fait pour le Congrès américain exactement ? A quoi ont pu servir vos avis ?

Bruce Schneier. J'ai en effet témoigné devant le Congrès sur de nombreux sujets liés à la sécurité informatique. En tant que législateurs, les membres du Congrès ont souvent besoin de s'informer précisément sur ce sujet car ce qu'ils votent aura des incidences sur la sécurité.

De ce que j'ai pu constater, de près, ils n'ont cependant absolument jamais rien fait malgré mes recommandations. Si l'informer était suffisant pour convaincre le Congrès américain de changer ses pratiques liées à la sécurité informatique, le monde irait sans doute beaucoup mieux.

Pensez-vous que Stuxnet a fait entrer la sécurité dans une nouvelle ère ?

Bien sûr que non. A peu de chose près, la même chose s'est déjà produite en 1982, lorsque les États-Unis ont envoyé un code malveillant à la Russie via le Canada. L'explosion résultante dans le pipeline trans-siberien reste d'ailleurs la plus grande explosion non nucléaire que la planète ait jamais connu. [le pipeline était d'ailleurs controlé par un système SCADA, NDLR]

Les RSSI doivent-ils avoir peur des cyberattaques chinoises ?

Les médias expliquent qu'il y a des tentatives coordonnées par le gouvernement chinois pour pirater des ordinateurs de militaires, de fonctionnaires, ou d'entreprises, aux Etats-Unis, ou ailleurs. Le Pentagone le laisse penser. La vérité est, je pense, un peu plus compliquée.

Il y a sans aucun doute beaucoup de piratage venant de la Chine. Certaines attaques utilisent même des technologies ou des services nécessitant de parler le chinois. D'autres semblent être signées. Il y a quelques années, F-Secure avait analysé une attaque contre un lobby pro-Tibet utilisant une vulnérabilité zero-day. Or, cette même attaque avait été utilisée deux semaines plus tôt contre une grande multinationale de l'armement.

"L'externalisation est l'avenir de l'informatique"

Cependant, même s'ils peuvent poursuivre des buts nationalistes, je ne pense pas que ces groupes de pirates chinois travaillent pour leur gouvernement, comme je l'explique dans un essai. Ils ne semblent pas être coordonnés par l'armée chinoise. Cela ne veut pas dire que l'armée chinoise ne tient pas compte de ces pirates dans son pays. Le gouvernement chinois ne peut d'ailleurs les ignorer, mais donne l'impression de fermer les yeux. Il doit aussi leur acheter du renseignement.

Cependant, le fait que ces groupes ne soient pas gérés par le gouvernement chinois ne fait qu'aggraver le problème. Sans coordination politique centrale, ils sont susceptibles de prendre plus de risques, et faire plus de choses stupides, et vont généralement ignorer les retombées politiques de leurs actions. Ce que le Pentagone pense être le problème n'est en fait qu'une petite partie du problème réel.

En tant que spécialiste du Cloud Computing, que pensez-vous de ces offres ? Vous semblent-elles suffisamment sûres ?

La sécurité des systèmes d'informations est une question de confiance. Il faut faire confiance aux fabricants du matériel, à l'OS, aux éditeurs des logiciels - et même aux  FAI. Nous n'avons pas d'autre choix que de se fier aveuglément à la sécurité promise par les fournisseurs. Le SaaS oblige à faire pas de plus : nous devons désormais avoir confiance aux fournisseurs de services logiciels. C'est juste un autre fournisseur auquel il faut faire confiance.

Cependant, contrairement aux utilisateurs des services Cloud gratuits comme ceux de Facebook ou de Google par exemple, les clients qui payent parfois chers des solutions Cloud auront plus de poids pour se faire entendre auprès du fournisseur, à condition qu'ils rédigent correctement leurs contrats et restent particulièrement vigilant sur la disponibilité et les garanties qui leur permettront de continuer leur activité.

Pourtant, rien n'est garanti à 100%. La confiance est un problème aussi vieux que l'humanité, et les solutions sont restées les mêmes. L'externalisation est l'avenir de l'informatique. Nous finirons par arriver à bien sécuriser ce procédé, mais il vaut mieux ne pas faire partie des accidents qui peuvent arriver en cours de route.   

Vous avez écrit des ouvrages sur la cryptographie. Quels sont les sujets qui vous intéressent aujourd'hui dans ce domaine ?  La cryptographie quantique vous semble-t-elle offrir, par exemple, des perspectives intéressantes pour la sécurité ?

Cela dépend de ce que vous vous entendez par "intéressant". Il y a beaucoup de sujets de recherche intéressants, mais ils ne concernent pas vraiment les utilisateurs lambda. La cryptographie quantique est un excellent exemple : c'est un champ de recherche fantastique, mais les applications n'ont aucun intérêt. Cela représente d'ailleurs bien les enjeux de la cryptographie aujourd'hui : il ne s'agit plus de la cryptographie elle même, mais de l'utilisation qui en est faite.

Selon vous, la sécurité informatique d'une entreprise est-elle toujours une question d'argent ?

Non. Tout simplement car il est très facile de mal dépenser l'argent.

Bruce Schneier est un scientifique et un auteur de renommée internationale en matière de sécurité IT. Décrit comme un gourou de la sécurité, il s'est notamment spécialisé sur les problématiques de cybercriminalité. Bruce Schneier a rédigé de nombreux ouvrages, parmi lesquels Applied Cryptography sur les codes secrets, Secrets and Lies sur la sécurité des réseaux,  Beyond Fear and Schneier on Security sur les grandes problématiques sécuritaires contemporaines. Bruce Schneier, est également Chief Security Technology Officer de BT.