c. La sécurité des réseaux
Le développement des réseaux a conduit les Etats
à s'interroger sur la sécurité des informations y
transitant. Dans le domaine désormais crucial de l'information, la
sécurité devient aussi essentielle que dans le domaine militaire
ou économique: « Le passage de la société
industrielle à la société de l`information entraîne
aussi des risques considérables sur le plan de la sécurité
[...]Les informations toujours plus nombreuses qui sont compactées en un
endroit peuvent facilement être recopiées par des pirates
informatiques. Parallèlement, d`autres données sensibles sont
décentralisées, ce qui rend difficile une gestion centrale de la
sécurité »78. L`idée même de
sécurité totale semble devenue obsolète ; dès lors
que des réseaux de communication sont communs, on peut craindre des
intrusions, même si de nombreuses mesures sont prises afin de lutter
contre toutes ces attaques. « La réflexion sur la
sécurité et le contrôle des systèmes d`information
nécessite donc une approche concertée entre militaires et civils,
afin de préserver au mieux les intérêts de la
société »79.
L`utilisation du réseau Internet peut donc être
considérée comme une vulnérabilité. Dan Farmer,
spécialiste américain de la sécurité informatique a
réalisé en novembre et décembre 1996 une
77 01 Net, art. de Renaud Bonnet, La NSA veut
sécuriser Linux, 6 février 2001 78 Rapport Echelon,
p.126 79 Défense Nationale, 1998, n°1, art. de Renaud
Bellais, Technologie militaire et système d`information de
défense,
étude portant sur la sécurité de 2200
systèmes informatiques, via Internet et conclut qu`il était fort
aisé d`y pénétrer. Depuis, il est évident que les
entreprises ont considérablement renforcé leur
sécurité. Les services de renseignement, bien conscients de cette
vulnérabilité, sont eux-mêmes en mesure de profiter de ces
failles. Comme le mentionne le rapport Paecht80, « les
intrusions utilisent toutes les failles des matériels (hardwares) et des
logiciels (softwares). De nombreux spécialistes ont confirmé ces
failles à votre Rapporteur : elles peuvent prendre la forme de fonctions
cachées dans les logiciels du commerce, c'est-à-dire non
signalées dans la documentation remise à l'utilisateur mais qui
peuvent être activées par un tiers ». Les services seraient
ainsi en mesure de profiter de ces failles pour récolter des
informations.
Cette attention portée à la sécurité
informatique justifie les développements en matière de
cryptologie : « La sécurité des systèmes
d`information et des réseaux est le challenge majeur de cette
décennie, et probablement du siècle suivant »81.
En effet, Internet présente deux facettes aux services de renseignement
: si c`est une extraordinaire base de données, permettant une
circulation généralisée de l`information, le réseau
pose également de sérieux problèmes en matière de
sécurité. Les services de renseignement doivent
simultanément profiter des avantages du Net et savoir s`en
défier.
Ceci explique de nombreuses transformations actuelles au sein des
services de renseignement, notamment français. Dans le
rapport82 du député Bernard Carayon sur le SGDN et le
renseignement, on apprend que la sécurité des systèmes
d`information est devenue un enjeu essentiel. Le rattachement, le 31 juillet
2001, du Service Central de la Sécurité des Systèmes
d`Information (SCSSI) au Secrétariat Général de la
Défense Nationale (SGDN) traduit la prise en compte de l`importance de
la sécurité informatique. Le SCSSI a depuis été
renommé Direction centrale (DCSSI). « La montée dans
l`organigramme de cet organisme, qui de service central, devient Direction
Centrale, traduit, sans nul doute, la volonté de renforcer
80 Rapport d`information déposé par la
commission de la défense nationale et des forces armées sur les
systèmes de surveillance et d'interception électroniques pouvant
mettre en cause la sécurité nationale, présenté par
M. Arthur Paecht, Député, 2000.81 Joint Security
Commission, 1999, cité sur le site de la NSA 82 Projet de loi
de finances pour 2003 (Rapport présenté au nom de la Commission
des Finances, de l`Economie générale et du Plan),
Secrétariat Général de la Défense Nationale et
Renseignement), Rapporteur, Bernard Carayon, Député.
l`attention et les moyens de la mission sécuritaire
essentielle en matière de défense. [...] Le décret [qui
donne naissance à la DCSSI] lui confie le soin d`instruire les dossiers
relatifs aux décisions du Premier Ministre en matière de
cryptologie, et de mettre en OEuvre les procédures d`évaluation
et de certification relatives à la signature électronique
»83.
D`autre part, début 2000, a été
créé le Centre de recensement et de traitement des attaques
informatiques (CERTA) ; ce centre gère aujourd`hui près de 15
interventions par mois. Selon le rapport Echelon du Parlement Européen,
il est « possible d`estimer les incidents de sécurité et les
attaques sur l`Internet à respectivement 20 000 et 2 millions par an
»84.
Depuis la libéralisation de la cryptologie, la DCSSI
détient le rôle d`autorité nationale de régulation
en matière de sécurité des systèmes d`information.
Avec le développement de la cryptographie asymétrique, des
besoins considérables en matière d`infrastructure de gestion des
clés publiques apparaissent. Là encore, la DCSSI tient une place
indispensable. Dans le projet de budget 2003, ce sont 10,163 millions d`euros
de crédits de paiement qui sont attribués au développement
des capacités de cryptologie, pour les services de renseignement. Le
rapport Carayon insiste d'ailleurs sur la nécessité de mettre en
OEuvre d'importants moyens dans ce domaine: « Pour l`exploitation des
messages interceptés, les investissements relatifs aux analyses
cryptologiques devront être soutenus, afin de faire face à la
dérégulation du commerce de la cryptologie et à
l`extension de l`emploi de moyens de télécommunications
protégés par les acteurs des menaces transnationales
»85. Ce dernier point est essentiel. Aujourd'hui, les services
de renseignement sont confrontés à des acteurs qui disposent de
moyens techniques extrêmement sophistiqués, notamment en ce qui
concerne la cryptologie, afin de sécuriser au mieux leurs messages. Ceci
représente un énorme défi pour les services. On peut
remarquer qu'aux Etats-Unis, la NSA ne cesse de recruter des hackers ou autres
spécialistes, casseurs de codes, afin de percer les secrets de certaines
organisations. L`agence a ainsi fait appel aux services de Supercomputer
Center, entreprise montée par Shimomura, l`un des plus grands hackers
qu`aient connu les Etats-Unis. En France, la DGSE aussi bien que la DST
83 Arès, mai 2002, n° 49, art. De Michel
Rousset: Textes législatifs et réglementaires intéressant
la défense et les armées, p. 97 84 Une attaque de
sécurité est une tentative isolée d`obtenir un
accès sans autorisation à un système. Un incident consiste
en un certain nombre d`attaques conjointes (Rapport Echelon)85
Rapport Spécial, Bernard Carayon, p. 13
(Direction de la Sécurité du Territoire), ont
elles aussi eu recours aux services de jeunes hackers : « le jeune pirate
pris la main dans le sac se verra souvent proposé un marché qu`il
ne peut décemment pas refuser »86.
Dans le contexte actuel où les Etats mettent en avant
la multiplication des acteurs menaçants, savoir casser les codes,
maîtriser les outils cryptologiques les plus puissants,
représentent un véritable enjeu de pouvoir. Au cOEur de cet
enjeu, le dilemme présenté en introduction et souligné
dans le rapport Paecht87: "Le dilemme essentiel de la cryptographie
tient à l'impossibilité de concilier les exigences des
libertés publiques individuelles (protéger la
confidentialité des communications privées dans un monde
où les échanges sont libéralisés, donc disposer de
chiffres impossibles à briser) et les impératifs de la
sécurité collective (traquer les messages criminels donc
être capable de briser des chiffres ou d'avoir accès à
certaines informations cryptées)". Or il paraît évident que
la notion de sécurité collective l'emporte aujourd'hui car les
Etats ont pris conscience que le Réseau était profitable à
différents groupes considérés comme une menace pour
l`Etat. Nous y reviendrons.
86 Jean Guisnel, Guerres dans le Cyberespace, La
Découverte, Paris, 1997, p.164 87 Rapport d`information
déposé par la commission de la défense nationale et des
forces armées sur les systèmes de surveillance et d'interception
électroniques pouvant mettre en cause la sécurité
nationale, présenté par M. Arthur Paecht, Député,
2000.
La cryptologie sous son aspect technique
Aujourd'hui, les performances croissantes des ordinateurs ont
rendu l`amélioration de la cryptographie nécessaire. Face aux
capacités de calcul de l`ordinateur, les ingénieurs ont
constamment allongé les clés de chiffrement, pour rendre le
décryptage le plus difficile possible, voire impossible. Si la NSA a
toujours eu dans ses attributions la mise en OEuvre de mesures cryptologiques,
elles ont longtemps servi au chiffrage/déchiffrage de communications
téléphoniques, de correspondances épistolaires ou par fax.
Avec Internet, le système cryptographique évolue brutalement. En
effet, dans la cryptographie traditionnelle qui touche surtout les documents
« papier », destinataire et expéditeur avaient la même
clé de chiffrage. Cette clé était indiquée
directement dans le document envoyé. Aujourd`hui, cette technique est
obsolète, car peu fiable. Avec Internet, il devient extrêmement
imprudent de faire parvenir la clé dans le message ; celui-ci pourrait
en effet se faire intercepter facilement. C`est ce constat qui a conduit la
NSA, ainsi que des universitaires, à rechercher des solutions
cryptologiques de plus en plus pointues.
La cryptographie « moderne » est désormais
basée sur un système asymétrique, qui propose une
clé différente à l'expéditeur et au destinataire.
On parle de clé publique pour le chiffrement (celle-ci peut-être
connue de tous), et de clé privée pour le déchiffrement
(elle n`est connue que du destinataire). Plus la clé a de bits, plus
elle est difficile à déchiffrer ; les logiciels de cryptographie
développés et utilisés par les services de renseignement
comportent aujourd`hui, au moins 128 bits et pour la plupart 256 bits. Le
standard AES à 256 bits s`est imposé parmi les agences
américaines suite à une compétition organisée par
le gouvernement américain. Jusqu`à présent la clé
utilisée était le DES, mais compte tenu des progrès de
calculs des ordinateurs, elle était devenue trop faible. C`est pourquoi,
dans les années 1990, le gouvernement américain confia au NIST
(National Institute for Standard and Technologies) le soin d`organiser une
compétition afin de trouver un meilleur système. Au début
des années 2000, on désigne le vainqueur :AES, un système
belge absolument inviolable.
|