On m’a volé ma sécurité !

Je ne suis pas encore un dinosaure de la sécurité informatique (enfin, je ne crois pas !), mais disons pour situer que quand j’ai commencé, on ne parlait encore ni de “cybersécurité”, ni de “transformation digitale”.

La sécurité était un domaine comportant encore beaucoup de zones grises et très artisanal. Progressivement, c’est devenu un enjeu de plus en plus politique, ce qui change forcément les règles du jeu. Les hoodies ont progressivement laissé de plus en plus de place aux cols blancs, on a commencé à parler de plus en plus de cyberdéfense et de cyberguerre, les incitations (dont financières) ont commencé à pleuvoir. Mais dans cette période, je pense que la sécurité a été, en quelque sorte, re-définie, façonnée pour d’autres objectifs suivant une stratégie éminemment politique. Je ne souhaite pas porter ici un jugement, il y a comme partout du positif et du négatif, mais l’objectif est surtout de partager un constat : on m’a volé ma sécurité !!!!

La sécurité se définit classiquement comme des objectifs (confidentialité, intégrité et disponibilité) sur un objet d’étude, face à un attaquant intelligent (j’entends par là que je ne considère pas ici des attaques “naturelles/environnementales” plutôt safety).

Mais alors, à la sécurité de quoi peut-on travailler ? Des états ? Des OIV ? Des grandes entreprises ? D’internet plutôt ! C’est un peu vaste et il faut découper ensuite, mais c’est assez classique de vouloir la sécurité d’internet, non ? Ceci pose la question de ce qu’est internet et de quelle sécurité nous y voulons. Pour moi, internet n’est pas l’union de quelques services majeurs d’un côté (GAFA++) et d’utilisateurs de l’autre : ça, on l’a déjà fermé, ça s’appelait le Minitel et c’était plus facile à contrôler ! Internet, pour moi, c’est plutôt l’union des DMZ (services fournis par chacun et offerts à internet) de tous ses participants, grandes organisations ou utilisateurs finaux. C’est un réseau fondamentalement fédéré, horizontal. Cette architecture est un atout pour l’horizontalisation de la société, amène de la communication, de la critique, de la liberté. La censure étant rendue difficile par cette distribution, cela impose en contrepartie d’éduquer la population : cela peut être vu comme un atout ou un risque selon le point de vue que l’on adopte. C’est, notamment, cette architecture qui a permis l’émergence progressive d’un Wikipedia ou l’omniprésence du mail, ainsi même que des GAFA d’ailleurs : créer un petit objet qui, progressivement, sera globalement adopté.

Internet étant posé comme un réseau fédéré et devant permettre à tous d’y participer activement et d’y offrir des services, cela crée un décalage par rapport à la sécurité d’internet telle que nous en parlons classiquement aujourd’hui. Internet est devenu un système critique pour l’économie, les banques, le commerce : tant de domaines sur lesquels les autorités veillent au bon fonctionnement. La sécurité d’internet est donc maintenant, j’ai l’impression, confondue avec la sécurité des usages dédiés aux applications critiques. Utiliser (dépendre de) Cloudflare, un service critique opéré par une entreprise dédiée et ayant un pouvoir de censure, est considéré comme une bonne pratique de sécurité. Déporter la gestion des mails vers un fournisseur de cloud majeur est vu comme malheureux du point de vue de la souveraineté mais souvent positif du point de vue de la sécurité. Je pense que l’on se trompe de problème : ce n’est pas un problème de souveraineté mais de mutation de ce qui a fait d’internet ce qu’il est. Nous nous retrouvons obligés de confier à des entreprises des droits et devoirs de censure qui ne devraient pas leur appartenir, ce ne sont pas des cours de justice.

À la vérité, aujourd’hui, internet est menacé : par des lois, de la surveillance, de la censure, de la perte de neutralité des fournisseurs d’accès. Et parfois, peut-être même, par des mécanismes de sécurité contraignants imposés (par leur usage par les grands groupes) et difficiles à déployer/maintenir en dehors de ces grandes structures. La disponibilité du service internet, ouvert et horizontal, est menacée. La complexité et le coût de gestion d’un hébergement (mail, web) augmentent, comme très bien expliqué ici. La complexification de l’hébergement amène, légitimement, à la centralisation chez quelques opérateurs, sachant par exemple surmonter un DDOS. Cette attitude de défense, légitime et raisonnée, va peut-être quelque part à l’encontre de la sécurité de l’internet originel. La centralisation permet le contrôle, l’observation, la censure, ce qui sont des risques de sécurité. Internet en tant qu’outil de liberté et de démocratie se doit de continuer à être distribué, hébergeable, difficilement censurable/observale. La professionnalisation de quelques acteurs augmente la sécurité de ce qu’ils hébergent, mais déconsidèrent l’aspect fédératif. La sécurité d’internet devrait consister à permettre la sécurité des petits acteurs : favoriser l’existence de ces petits acteurs quitte, peut-être, à diminuer le niveau de sécurité atteignable par les grands ? Le libre (logiciel, culture, documentation, formation) est bien sûr l’un des outils qui a permis l’émergence d’internet et qui entretient cet aspect fédératif.

À titre personnel, je ne souhaite pas qu’internet, demain, dépende uniquement de quelques hébergeurs collossaux, seuls capables d’encaisser des DDoS, et de plateformes majeures. On pourrait me répondre qu’on est déjà demain… Je préfère, à choisir, un internet qui fonctionne de manière plus intermittente mais plus répartie. Le problème est difficile mais la dépendance à de gros acteurs me paraît une mauvaise solution. Et j’ai la désagréable impression que la sécurité contribue à cette concentration. Question bête : défendre internet, serait-ce quelque part abaisser son niveau de sécurité ?