La guerre numérique analysée par un ancien agent secret et grand policier…

Eric Meillan : « Une attaque peut avoir nécessité plusieurs années de préparation, mais elle va se dérouler à la vitesse de la lumière. »

Dans l’actualité, on évoque souvent les faits divers autour du piratage informatique, du vol des données ou du sabotage à distance, mais le monde entier a pris conscience, ces 12, 13 et 14 mai, de la gravité que pouvait constituer une attaque mondiale, puisque 200 000 entreprises ont été touchées sur la planète. Même Renault a dû interrompre sa chaîne de fabrication dans plusieurs de ses usines. François Levieux, ancien directeur de recherche à l’INRIA (Institut National de Recherche en Informatique et Automatique) et ancien directeur technique chez Thalès, évoque ce sujet avec Éric Meillan, ancien sous-directeur de la DST. Les auteurs plaident pour une approche globale en termes de sécurité informatique et pour une prise de conscience du grand public dans ce domaine. Ils rappellent que la fonction d’administrateur de réseaux est hautement stratégique dans une entreprise et ils n’excluent pas que des terroristes ou des pirates tentent de se faire recruter dans ce domaine. Eric Meillan est venu présenter son livre aux auditeurs de Kernews. Il connaît bien La Baule, puisqu’il a été le patron des Renseignements Généraux à Nantes. Il a également été sous-directeur à la DST et directeur de l’IGS (Inspection générale des services), la fameuse police des polices.

« Survivre à la guerre numérique » de François Levieux et Eric Meillan est publié aux Éditions Jean Picollec.

 

Kernews : Pendant des siècles, les militaires et les policiers ont été confrontés à des attaques ciblées. Les policiers devaient lutter contre les bandits de grand chemin ou les voleurs de banques, tandis que les soldats devaient affronter des armées organisées. Aujourd’hui, la guerre numérique concentre tout cela… 

Eric Meillan : Le numérique a totalement envahi notre société et nous sommes incapables d’envisager de vivre sans le numérique, qui est partout, dans tous les domaines, régaliens comme privés. Le numérique est quasiment né de la guerre puisqu’il est né des machines de guerre allemandes, avec la machine à chiffrer Enigma, qui permettait de transmettre des messages chiffrés au sein de l’armée nazie. Du côté britannique, une fois qu’Enigma a été cassée, il s’agissait de pouvoir traiter une énorme quantité de messages par ce que l’on a appelé la bombe de Turing, une machine permettant de traiter instantanément des centaines de messages Enigma. C’était la guerre secrète et l’informatique est née de cela. Depuis, l’informatique a toujours été un compagnon de route du monde du renseignement. Aujourd’hui, quand vous voulez briser un pays avant de l’envahir – on l’a vu dans un certain nombre d’opérations, comme dans les pays baltes, les Balkans ou en Géorgie – la première chose que vous faites, ce sont des attaques numériques qui vont paralyser l’électricité, les communications et la distribution d’un certain nombre de choses. Nous sommes dans la nouvelle guerre, ce que certains militaires américains ont tendance à appeler le quatrième mur.

On a observé que ce qui avait pu protéger Ben Laden pendant des années, c’était justement de vivre en dehors de toute communication moderne, pratiquement comme au Moyen Âge…

Il est certain que le numérique apporte des avantages considérables, comme une extrême rapidité et une bonne qualité en termes de transmission mais, en même temps, cela crée des vulnérabilités. Ce que vous transmettez, vous n’êtes pas sûr du tout que cela reste entre vous et celui à qui vous transmettez l’information. Les espions, les militaires de haut niveau et les terroristes ont bien compris cela. Donc, quand ils sont dans une action qui est un peu confidentielle, ils n’utilisent plus le numérique. J’ai connu un très grand directeur des Renseignements Généraux : quand il allait voir ses informateurs, il laissait tous ses portables au bureau et on ne pouvait plus le joindre…

On revient finalement à ce constat que dans le renseignement, le facteur humain est essentiel…

Le renseignement, c’est global : si vous voulez faire du bon renseignement, vous allez utiliser un certain nombre de moyens, mais vous n’aurez jamais 100 % de l’information dont vous avez besoin. Donc, il ne faut pas se priver de l’origine des sources. Vous avez plusieurs possibilités d’obtenir de l’information. Il y a le renseignement technique, il faut le dédiaboliser. Au Moyen Âge, c’était quelqu’un qui écoutait avec son oreille à la porte du Roi pour savoir ce qu’il racontait. Ensuite, c’étaient ces appareils de médecins permettant d’écouter le cœur que l’on mettait le long d’une cloison pour savoir ce qui se disait derrière. Puis l’ouverture des correspondances… Aujourd’hui, c’est essentiellement du numérique, mais cela ne suffit pas. Il faut mailler le territoire à travers le renseignement humain et peut-être plus de renseignement humain que de renseignement technique, parce que le renseignement technique, qui est très efficace, est aussi une source d’intoxication extraordinaire. Donc, il vous faut du renseignement humain, des informateurs, des agents doubles… Vous avez aussi des échanges avec les pays partenaires. Cela se fait avec méfiance, parce que l’on ne donne qu’à celui qui peut vous donner et on ne lui donne pas toujours tout à fait tout… On lui donne en fonction de ce dont on a besoin. En alignant la source technique, la source humaine et les échanges avec les partenaires, cela fait ce que l’on appelle le renseignement.

Vous commencez votre livre en nous reprochant d’être inconscients sur la question du numérique…

On diabolise le numérique et, autour de moi, je connais beaucoup de gens qui me disent que c’est compliqué… Non ! Il faut vivre le numérique comme nos ancêtres ont vécu autrefois d’autres inventions qui ont terriblement déstabilisé les sociétés : je pense, par exemple, à l’arrivée de la poudre à canon dans les armées du Moyen Âge, à l’imprimerie, à l’automobile ou au nucléaire… On a tendance, comme le faisaient nos ancêtres avec les techniques dont je viens de vous parler, à diaboliser le numérique. C’est une technologie nouvelle qui a des caractéristiques nouvelles, particulières et dérangeantes, mais on peut parfaitement l’analyser et faire un certain nombre de choses. Il ne faut pas le diaboliser, mais il ne faut pas être inconscient, puisqu’il y a un problème, et il faut peser le problème pour en faire un juste rapport qualité-prix. Je suis effaré par le nombre de politiques à haut niveau qui sont d’une naïveté déconcertante face au numérique… Le dernier exemple, c’est Hillary Clinton !

 Elle utilisait sa boîte personnelle de courriels quand elle était secrétaire d’État…

Le fait que ce soit pour eux difficile à manipuler leur fait croire que c’est aussi difficile pour les autres d’y entrer… Il n’existe pas de sécurité inviolable et c’est pour cela que la sécurité doit être globale. Je pense que la réserve d’or américaine, Fort Knox, on doit pouvoir y entrer ! Il n’y a pas de sécurité inviolable. D’ailleurs, en matière numérique, nous nous sommes penchés sur le sujet et nous nous sommes aperçus qu’il y a mille grands experts dans le monde qui sont capables de percer toutes les sécurités qui existent.

Vous revenez sur le débat de la standardisation des protocoles puisque, comme le langage est identique, le piratage s’effectue beaucoup plus facilement… On dit souvent que les ordinateurs Apple ont moins de virus parce que, comme la part de marché est plus faible, les pirates s’y intéresseraient moins…

C’est plutôt la standardisation qui est plus importante chez les concurrents d’Apple. Si vous espionnez quelqu’un qui parle en langue française alors que vous êtes français, c’est pour vous bien plus facile de comprendre ce qu’il est en train de dire… C’est cela la standardisation.

Pendant la Seconde Guerre mondiale, les Américains ont fait appel à des Indiens pour transmettre des informations afin de ne pas pouvoir être espionnés par les Allemands…

Absolument. Les Allemands n’ont pas pu trouver des Navajos pour traduire et c’est la meilleure illustration de ce que doit être une sécurité : les Américains avaient de très bons services techniques, mais ils ont rajouté une sécurité supplémentaire devant laquelle, cette fois-ci, les Allemands ont buté. C’est en accumulant les difficultés que vous créez une sécurité qui est de moins en moins facilement violable. Certes, elle l’est toujours, les obstacles peuvent être franchis par un tiers mais, chaque fois, il perd du temps. Donc, plus vous accumulez des difficultés, plus en matière de sécurité vous êtes efficace. Dans une maison, si vous n’avez qu’un seul dispositif de sécurité, c’est très bien, mais si vous n’avez pas blindé la porte de votre garage, si vous n’avez pas de murs autour de votre maison, si votre portail n’est pas fermé à clé, si vos fenêtres ne sont pas barreaudées, si vous n’avez pas de signal d’alarme et si vous n’avez pas un gros chien méchant, votre sécurité ne repose que sur un élément… Le numérique c’est la même chose : il faut accumuler les sécurités, accumuler les difficultés et obliger l’autre à se démasquer et à perdre du temps.

Qu’est-ce qui vous a conduit à écrire ce livre avec François Levieux?

François Levieux et moi sommes extrêmement différents puisque c’est un grand scientifique, un polytechnicien, docteur ès sciences. Il a été directeur de recherches à l’INRIA et il a terminé sa carrière comme directeur de tous les processus techniques de Thalès. Je suis un homme du renseignement, un homme du contre-espionnage à l’origine et, à la fin de la guerre froide, il était patent que le monde du contre-espionnage allait évoluer. J’ai choisi d’aller vers quelque chose de tout neuf qui était le numérique. Pour être tout à fait franc, j’ai eu l’impression de tomber dans l’univers du Professeur Nimbus et je ne comprenais pas grand-chose… Je me suis aperçu que le numérique prenait de plus en plus de place dans les agressions de renseignements et dans la nécessité de faire du contre-espionnage. Aujourd’hui, dans la guerre informatique, le numérique est partout. Nous nous sommes rencontrés dans des groupes de travail un peu confidentiels, qui relevaient de ministères régaliens, et nous avons travaillé plusieurs fois sur des sujets très pointus sur la guerre de demain. Il a été séduit par ma manière de penser, hors des sentiers battus, comme j’ai été séduit par son immense science sur le sujet et son ouverture. Nous avons réfléchi et nous avons décidé d’aller nettement plus loin de ce que l’on faisait à l’époque, en révolutionnant nos processus pour faire mieux. Nous avons mis trois ans à faire ce livre.

Ceux qui ont connu l’époque du Mur de Berlin se souviennent de l’impact que cela pouvait avoir dans l’univers professionnel. Par exemple, lorsque l’on apprenait que la grand-mère d’un technicien était roumaine, la DST faisait une enquête un peu plus approfondie sur lui, parce que les pays de l’Est travaillaient sur une génération pour former des espions…

C’était l’époque de la guerre froide entre le bloc dit des pays libres et le bloc des pays staliniens. C’est vrai, les services secrets de ces pays utilisaient les déviances sexuelles ou la présence de familles sous leur coupe pour essayer de faire chanter les gens… Le contre-espionnage consistait à empêcher ces agents de l’étranger de faire cela et à essayer de détecter à la source les gens qui, potentiellement, pouvaient se trouver dans une situation de vulnérabilité. Les procédures que vous évoquez, des procédures d’habilitation au secret-défense, visaient à éviter de mettre dans une situation difficile quelqu’un qui se serait retrouvé coincé entre deux monstres. Ces enquêtes ont-elles encore cours aujourd’hui ? Oui. Cela ne se fait plus de la même manière, mais nous préconisons de faire des enquêtes extrêmement pointues sur les gens à qui l’on confie les clés de notre maison, c’est-à-dire les administrateurs de réseaux, et de ne pas accepter que ces gens présentent la moindre vulnérabilité vis-à-vis de grands groupes numériques qui ne seraient pas nos alliés, ou vis-à-vis de groupes criminels ou terroristes. Nous préconisons cela, parce que c’est un moyen préventif de défendre l’État et le citoyen qui est concerné.

L’administrateur réseaux d’une grande entreprise est donc devenu un personnage stratégique…

Si l’on fait une comparaison avec une banque, il est à la fois l’employé du guichet qui va signer le formulaire permettant de descendre à la salle des coffres, mais aussi le responsable de la sécurité qui va vous regarder passer, également celui qui a la clé et qui va ouvrir la salle des coffres… L’administrateur est tout cela à la fois !

Si la guerre froide existait encore, le Kremlin formerait des administrateurs réseaux…

C’est exactement ce qu’ils faisaient ! Le KGB avait l’une des plus grandes écoles de formation au numérique au monde et aussi l’une des meilleures.

On sait que beaucoup de gens racontent leur vie sur les réseaux sociaux : quel est l’impact de ce comportement ?

Pas vous, pas moi… Mais l’accumulation de vos messages, avec ceux de vos enfants, de vos parents, de vos amis et les amis de vos amis, tout cela constitue une masse énorme d’informations. C’est pour cette raison que les réseaux sociaux sont aujourd’hui la première cible de ce que l’on appelle le renseignement ouvert, c’est-à-dire le renseignement auquel on peut accéder relativement facilement. Il y a aussi de l’intoxication ou de l’auto-intoxication qui peut être extrêmement dangereuse, puisqu’il y a des gens qui utilisent les réseaux sociaux comme transfert freudien : ils ne disent pas ce qu’ils font, mais ce à quoi ils peuvent penser qu’ils pourraient faire… Ils disent des choses qui ne sont pas vraies, mais auxquelles ils pensent… Donc, il ne faut pas toujours prendre à la lettre ce qui est publié… Le risque de la source technique, c’est que vous n’avez pas de paramètres subtils et intuitifs vous permettant de deviner qu’il y a un petit problème, puisque vous êtes obligé de prendre au pied de la lettre ce qui vous est dit. La source humaine permet de contrôler, vérifier, voir et, peut-être, tempérer tout cela… Le réseau social permet de se dédouaner vis-à-vis de soi-même ou des autres et de faire autre chose.

Quelle est votre opinion sur le Cloud que nous utilisons tous ?

L’architecture en nuage est quelque chose de très novateur et c’est aussi quelque chose de très performant, parce que cela évite à l’entreprise de dépenser trop d’argent puisqu’elle ne consomme que ce dont elle a besoin. Mais cela complique terriblement le problème au niveau de la sécurité. La notion de potentialité d’une agression, comparée à la notion de sécurité, c’est un équilibre à trouver. Il faut simplement que cet équilibre soit recherché en toute conscience. Ceux qui vont prendre une décision stratégique au sein d’une entreprise ou d’une communauté quelconque doivent être parfaitement éclairés sur ce que cela signifie en termes d’économies, de coûts et d’efficacité, mais aussi en termes de sécurité. Si vous faites une maison entièrement ouverte, c’est très agréable en termes relationnels, mais les bijoux de votre femme ne sont pas sûrs d’être là le lendemain ! Le secret, c’est aussi le secret de votre réussite car une entreprise qui réussit, c’est quand même une entreprise qui a trouvé quelque chose et elle a intérêt à protéger son fonds de commerce. L’individu doit protéger sa vie privée et l’entreprise doit protéger son fonds de commerce. C’est à vous de voir jusqu’où vous acceptez d’assumer le risque. Il est indispensable que la notion de sécurité soit présentée au chef d’entreprise quand il ne se passe rien, parce que c’est là qu’il va pouvoir définir en toute objectivité les secteurs qu’il peut brader et ceux qu’il devra protéger très fortement. L’autre caractéristique du numérique, c’est l’extrême rapidité. Nous sommes dans la vitesse de la lumière, une attaque peut avoir nécessité plusieurs années de préparation, mais elle va se dérouler à la vitesse de la lumière… Entre le moment où vous allez percevoir l’existence de l’attaque et le moment où vous allez devoir réagir, vous ne disposez pas d’un quelconque préavis et le décideur devra donc avoir tout décidé avant… Beaucoup d’attaques numériques sont des attaques irrémédiables. On ne trouvera pas le moyen de faire payer l’attaquant, alors que vous aurez subi des dommages énormes et, même si vous arrivez à le faire payer, vous ne restaurerez pas la situation d’origine.

Alors, une question personnelle : comment vivez-vous ? Avez-vous vos données sur un smartphone ou sur un Cloud ?

Non, tout comme François Levieux, j’ai un agenda papier, j’ai un portable préhistorique et je n’utilise pas le Web ! J’ai une connexion, bien entendu, mais c’est quelque chose que je n’utilise pas réellement. Cela me permet surtout de voir les gens qui s’intéressent à moi. Cela ne m’empêche pas de faire un certain nombre de choses, mais j’essaie de ne pas trop être engagé. Je suis au papier, au stylo et à La Poste ! Dans le livre, on parle des châteaux forts du Moyen Âge, c’est bien, mais c’est prenable… Les stratèges de l’époque ont inversé la situation le jour où ils ont enfermé une force de cavalerie dans le château fort. Dès que l’attaquant faiblissait, la force de cavalerie chargeait. Je suis un peu la force de cavalerie…

Vous avez été le patron des Renseignements Généraux pendant plusieurs années dans notre région. Que pensez-vous de La Baule ? 

La Baule est un endroit idyllique et calme. J’ai des amis qui habitent La Baule et je les visite régulièrement. C’est un havre de paix et le climat est agréable. C’est un endroit très calme, un peu en dehors du temps, mais dans le bon sens du terme. En même temps, je suis toujours un peu étonné par l’immense culture qu’il y a à La Baule : on lit beaucoup, on s’intéresse beaucoup aux arts… Ma femme, qui est dans les milieux artistiques, aime bien me traîner à La Baule !

Récemment mis en ligne

Le Château des Tourelles fait découvrir la gastronomie française à des apprentis du monde entier

Des apprentis cuisiniers viennent de partout dans le monde pour se former à la gastronomie …

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *