"Même pas encore la pointe de l'iceberg"
Le président de la Confédération Ueli Maurer teste actuellement un téléphone portable à l'épreuve des écoutes. Actualités ETH s'est entretenu avec son homonyme, Ueli Maurer, professeur à l'ETH et expert en cryptographie, sur le travail des services secrets, l'informatique sécurisée et la menace de "cyberguerre".
Actualités ETH : Monsieur Maurer, le président de la Confédération prévoit, selon page externeRapports des médias,Le Conseil fédéral a l'intention d'acheter des téléphones portables à l'épreuve des écoutes. Est-il possible de construire des téléphones mobiles absolument inviolables ?
Ueli Maurer : D'un point de vue scientifique, on peut rendre de tels appareils absolument s?rs. Avec la bonne technologie de cryptage, il est possible de communiquer de manière s?re au moyen d'un code sur une ligne non sécurisée qui est sur écoute. Le code peut être rendu si s?r que même la NSA ne pourra pas le déchiffrer dans 100 ans. J'en mettrais ma main au feu.
Cela semble bien, où est le problème ?
Ce n'est pas le code qui pose problème, mais l'implémentation sur la plateforme matérielle et logicielle. C'est comme pour les services bancaires sur Internet, le cryptage est très s?r. Mais cela ne sert à rien si l'ordinateur que vous utilisez n'est pas aussi s?r, s'il a un virus par exemple.
Comment les téléphones portables du Conseil fédéral devraient-ils être con?us ?
La condition préalable est un cryptage sécurisé de bout en bout, pour tout le trajet de transmission d'un téléphone portable à l'autre. En outre, les composants électroniques doivent être protégés de manière à ne pas rayonner. En outre, un téléphone portable sécurisé ne doit pas présenter de points faibles, comme c'est le cas aujourd'hui pour les appareils commerciaux.
Quels sont les points faibles ?
Ceux qui permettent d'accéder aux données de l'extérieur. Il peut s'agir d'une faille involontaire pour un virus en raison d'une programmation peu soignée ou d'une faille de sécurité volontairement intégrée qui permet de prendre le contr?le d'un appareil depuis l'extérieur et d'aspirer des données. Le matériel informatique pourrait également être concerné. On pourrait par exemple imaginer une puce qui émet des radiations ou un générateur aléatoire qui n'émet que des zéros. De telles vulnérabilités pourraient être intégrées à la demande des services secrets, et ce de manière à ce qu'elles soient indétectables. Mais pour les téléphones portables non cryptés, on intervient jusqu'à présent le plus souvent au niveau des systèmes de transmission.
A quoi le conseiller fédéral devrait-il faire attention lorsqu'il achète des "crypto-téléphones" ?
Si le conseiller fédéral achète des téléphones portables s?rs, il doit en acheter dont toute la plateforme, du matériel au logiciel en passant par le cryptage, est propre. Cela signifie qu'il doit acheter chez un fabricant digne de confiance, qui n'utilise pas de système d'exploitation dont on ne sait pas ce qu'il contient.
Les téléphones portables commerciaux seront-ils également plus s?rs à l'avenir ?
La question est de savoir s'il y a un marché pour les produits qui sont à l'abri des écoutes. Quand je vois comment les chefs d'entreprise discutent aujourd'hui de leurs affaires sur des téléphones portables ordinaires, j'ai le sentiment qu'il devrait y avoir un marché, car : Les services secrets ne font pas que lutter contre le terrorisme, ils font aussi de l'espionnage économique. La sécurité de l'information est aujourd'hui un thème qui doit impérativement figurer à l'agenda des CEO et des conseils d'administration.
Pourquoi n'existe-t-il pas déjà des appareils sécurisés ?
Le problème, c'est que tout le monde ne tire pas à la même corde. Cela ne fonctionne pas comme pour la sécurité aérienne, la sécurité routière ou la sécurité médicale, où tout le monde a le même objectif, à savoir plus de sécurité. En matière de sécurité de l'information, comme nous l'apprenons maintenant, il y a des intérêts contradictoires. Les services secrets ne veulent pas du tout que nous communiquions de manière sécurisée. C'est pourquoi il n'existe pas non plus les solutions qui seraient possibles d'un point de vue scientifique.
Avez-vous été surpris d'apprendre que la NSA avait mis sur écoute les téléphones portables de politiciens de haut rang ?
Non. Les services de renseignement ont les moyens techniques, ils les utilisent donc aussi. Nous sommes encore au tout début de la société de l'information. Pour l'instant, nous avons surtout des attaques passives - il y a des écoutes. Mais ce n'est que le début. Ce n'est même pas la pointe de l'iceberg. Ce que nous voyons ici, ce sont les signes avant-coureurs d'une véritable "cyberguerre".
Qu'entendez-vous par "cyberguerre" ?
Toute forme d'attaque contre les systèmes d'information des entreprises et des organes gouvernementaux : de l'écoute à la manipulation, en passant par la paralysie complète des infrastructures. C'est déjà arrivé. En Iran, un virus a détruit les turbines d'une usine d'enrichissement d'uranium. Si un dictateur quelconque est mis sur écoute, nous trouvons cela très bien. La lutte contre le terrorisme aussi. Mais les politiques européens sont mal à l'aise. C'est là que la face cachée de la société de l'information appara?t clairement. La technologie de l'information a un énorme potentiel de changement, elle se développe à une vitesse fulgurante et nous ne pouvons guère prévoir son évolution.
Pouvons-nous nous protéger contre la "cyberguerre" ?
Je suis plut?t sceptique quant à notre capacité à contr?ler l'évolution en cours. Il faudrait repenser la manière dont les systèmes d'information sont développés aujourd'hui et les remettre sur les rails. Cela signifierait qu'il ne faut pas développer les logiciels de manière pragmatique, comme c'est généralement le cas jusqu'à présent, mais les construire de A à Z dans le cadre d'un processus professionnel. Donc d'abord penser, spécifier et ensuite programmer. Les logiciels devraient être plus simples et plus contr?lables. Une responsabilité civile pour les produits logiciels serait également nécessaire. Cela équivaudrait toutefois à un changement de paradigme, et je ne le vois pas encore venir.
Ueli Maurer est professeur ordinaire d'informatique à l'ETH Zurich. Il dirige le groupe de recherche sur la sécurité de l'information et la cryptographie à l'Institut d'informatique théorique.