lundi 4 avril 2016

Du réalisme économique aux chausse-trappes sécuritaires, un système d'exploitation souverain pour quoi faire ?

Alors que le débat d'un "système d'exploitation souverain" a agité le Landerneau numérique en début d'année, l'heure n'est sans doute pas de rallumer le feu aux poudres mais en revanche d'essayer de comprendre si l'idée relève d'une douce utopie déconnectée des réalités ou, au contraire, d'un symptôme voire d'un "mal" nécessaire en prise, justement, avec les réalités notamment économiques et géopolitiques.


Le dernier épisode, d'un sujet déjà ancien, débute en janvier 2015 lorsque deux députés socialistes déposent un amendement [1], adopté par l'Assemblée nationale, qui propose de créer "un Commissariat à la souveraineté numérique rattaché aux services du Premier ministre". L'idée n'est pas nouvelle, promue par un certain nombre de personnalités dont notamment le patron du groupe Skyrock, Pierre Bellanger, qu'EchoRadar avait d'ailleurs interviewé [2] l'année dernière.  

Ce qui met le feu aux poudres et "provoque l'hilarité sous Twitter" [3] c'est de proposer que ce Commissariat ait notamment pour mission de créer "un système d'exploitation souverain et de protocoles de chiffrement de données". La dernière partie d'ailleurs concernant ces "protocoles de chiffrement de données" apparaissant floue notamment si l'idée est de développer une souveraineté en matière de crypto [4]. Capacités que la France possède et entretient depuis des décennies, telle une orfèvre des formules mathématiques ésotériques pour le commun des mortels.

Le sujet d'un OS [5] souverain, donc, a lui provoqué d'intenses débats et fait couler beaucoup d'encre...numérique. Il suffit de googleliser "système d'exploitation souverain France" et plus de 500 000 entrées viennent éclairer sinon aveugler le questionnement. Parmi ces riches échanges [6], il n'est pas possible de distinguer deux camps, ce qui serait commode, mais une palette de positions qui possèdent chacune des arguments recevables. Afin d'adopter une ligne d'analyse pragmatique, deux axes apparaissent incontournables : l'aspect économique et l'aspect sécuritaire.

Disons-le d'emblée, le versant économique mériterait bien plus que ces quelques lignes notamment du fait de l'actualité de ces derniers jours. Comment ne pas rester a minima songeur si ce n'est admiratif devant l'annonce d'une version régionale de Windows 10 réalisée par Microsoft ET les autorités chinoises [7] ? Ce système d'exploitation bapti"Windows 10 Zhuangongban" embarque des "caractéristiques de sécurité supplémentaires" pour "plus de gestion et de contrôles de la sécurité". Il y a dans cette annonce, qui en entraînera probablement d'autres, un mélange complexe de cynisme et de réalisme économique dans le sens où Microsoft n'a pas hésité à tordre le cou à certaines valeurs. A l'inverse, Google continue d'être sur liste noire même si une éclaircie ponctuelle s'est produite le 25 mars 2016 [8].

Pour le volet économique et sur le plan national, Numerama [9] chiffre le coût d'un projet d'OS souverain aux alentours du milliard d'euros. De quoi faire réfléchir les décideurs politiques dans une période où incertitudes et contraintes budgétaires tendent à désigner d'autres priorités. Il est également notable de souligner les réticences bien compréhensibles, l'affaire Snowden étant aussi passée par là, d'un certain nombre de responsables dont la secrétaire d'Etat au numérique [10] et du patron de l'ANSSI [11] notamment parce que l'"on est pas en Corée du Nord". Il aurait tout aussi pu citer la Chine, l'Inde, le Brésil ou la Turquie voire l'Argentine qui possèdent également leur propre OS national.

L'aspect sécuritaire décrié et mis en exergue précédemment est avant tout lié à la suspicion qu'un OS souverain permettrait de surveiller les moindres faits et gestes de l'utilisateur. Dans un contexte global qui tend vers plus de transparence, l'argument porte à jute titre. Il n'est cependant pas à écarter d'un simple revers de main dans certains cas d'utilisation, notamment lorsqu'il s'agit de disposer d'un OS maîtrisé mais surtout (très) sécurisé. Car nombreuses sont encore les cyberattaques, plutôt élaborées d'ailleurs, qui utilisent les vulnérabilités des OS y compris si cet OS est une distribution Linux. Ce système existe  en France et s'appelle CLIP [12]. Développé par l'ANSSI depuis 2005, il n'est réservé qu'à l'usage exclusif de certains agents de l'administration ainsi qu'une poignée d'entreprises, celles désignées "Opérateur d'Importance Vitale" (OIV).

Existerait-il alors un entre-deux qui pourrait être une déclinaison de ce système et qui, par exemple, pour être développé de manière communautaire en libre avec comme cible à atteindre une surface d'exposition du type Open BSD ? En imaginant que le projet soit lancé, est-il seulement souhaitable ? La question possède de nombreuses réponses, toutes différentes selon l'interlocuteur comme nous avons pu rapidement l'évoquer au début de cet article. Plus prosaïquement, il faut finalement accepter que  la protection des données recouvre plusieurs domaines qui ne sont pas tous techniques.

Posséder la maîtrise de ses protocoles de chiffrement et des applications que l'on utilise fait partie des fondamentaux. Disposer de capacités d'influence si ce n'est d'intervention en matière juridique, notamment au regard des accords internationaux notamment commerciaux - qui ne doivent/devraient pas être signés au détriment de nos entreprises et des citoyens - est d'une grande nécessité. Le milliard qui ne sera(it) pas mis dans un OS souverain sera(it) plus judicieusement redéployé tant dans nos capacités de cyberdéfense que de protection des droits en matière de données personnelles. Comme dans le cas, par exemple, du récent accord dit Privacy shield [13] entre l'Union européenne et les USA.
 

[4] cryptologie et cryptographie
[5] Operating System en anglais. Dans la même veine et pour aller plus loin on lira avec attention http://www.bortzmeyer.org/os-souverain.html
[6] on lira avec grand intérêt la page collective réalisée par LinuxFr.org
[7] http://www.techspot.com/news/64240-microsoft-has-made-version-windows-10-china-more.html
[8] http://www.techtimes.com/articles/144959/20160329/google-seeps-through-the-great-firewall-of-china-but-the-miracle-didnt-last-long.htm
[9] http://www.numerama.com/business/139709-developper-un-os-souverain-combien-cela-coute.html
[10] http://www.lemonde.fr/economie/article/2016/01/19/projet-de-loi-numerique-ce-que-contient-le-texte-que-vont-examiner-les-deputes_4849704_3234.html
[11] http://www.lemonde.fr/pixels/article/2016/01/25/le-responsable-de-la-securite-informatique-de-l-etat-fustige-le-projet-d-os-souverain_4853380_4408996.html
[12] http://www.numerama.com/tech/138683-los-souverain-made-in-france-existe-deja-decouvrez-clip.html
[13] http://securitedessystemesjuridiques.blogspot.fr/2016/03/montjoie-le-bouclier-de-protection-des.html

Aucun commentaire: