jeudi 16 septembre 2010

Vive les hackers

Les hackers ne sont pas des pirates. Pour ce premier billet de la rentrée, voici un entretien sans langue de bois avec Eric Filiol, Directeur du laboratoire de virologie et de cryptologie opérationnelles - ESIEA Ouest.

1-Il y a de plus en plus de conférences sur la sécurité, que pensez-vous de cette multiplication ?
Eric Filiol : C'est la preuve que l'approche universitaire et académique a fait son temps. Elle ne produit rien, affirme beaucoup, ne prouve rien et a un impact opérationnel nul. Ce n'est pas un hasard si les grandes avancées en sécurité et en cryptographie de ces trois dernières années ont été présentées à Black Hat, CCC, PacSec, Hack.lu. Le hacker prouve ce qu'il avance, ça marche et il l'a code. Donc c'est opérationnel. L'universitaire lui se pose la question de savoir si cela marche sur le papier. Or, les Etats financent à fonds perdus une recherche qui ne sert à rien, c'est du gaspillage. Pire, ces universitaires nous ont entrainés dans ce que je n'hésite pas à appeler une bulle technologique/scientifique spéculative.
Il faut savoir que toute la sécurité informatique (banques, vote électronique, commerce électronique, sécurité des antivirus....) repose sur une cryptographie dont personne n'a jamais prouvé la validité et la solidité. Le jour où le seul RSA va tomber (parce qu'il tombera) ce sera un séisme mondial, à côté duquel la crise de 29 et celle de 2009 seront une promenade de santé.
Et j'accuse directement les universitaires de nous avoir entrainés au bord du gouffre. Les hackers eux prouvent, jour après jour, que tout ce que l'on nous vend peut être attaqué (on peut citer le cas du quantique; ça marche sur le papier mais les hackers le contournent). Je pense que le Grand emprunt ne devrait pas aller aux universités mais aux hackers organisés sous la tutelle de l'État à son profit et à celui des grandes entreprises.

2-Vous êtes intervenu dans différentes conférences sur la sécurité informatique. Quel bilan en tirez-vous ?
Je suis intervenu essentiellement dans le domaine de la cryptologie (et plus particulièrement la cryptanalyse) et la virologie. En fait, ces conférences sont un espace de stimulation extraordinaire et j'y retrouve ma culture opérationnelle militaire. Chaque conférence est une remise en question personnelle. Je descends dans l'arène, rien n'est acquis par avance, je dois faire mes preuves et je dois prouver ce que j'ai fait et codé les choses. Cela ne m'empêche pas de passer par une validation théorique préalable mais le but est l'opérationnel.
Pour ma part, les conférences académiques ne m'apportent plus rien (la veille technologique que je maintiens le prouve). Et pire, on commence à voir des articles et résultats qui sont soit faux soit "enjolivés". Dans les conférences de hacking, je peux publier des codes, organiser des tutoriaux pratiques (à Brucon et Hack.lu je vais animer une séance d'attaque en cryptologie façon travaux pratiques). Je peux organiser des challenges réels et puis on peut faire des choses comme à iAWACS qui n'avaient jamais été faites.


3-On parle de plus en plus d’embauche de hackers par des gouvernements et des organismes officiels comme la NSA. Quelle est la situation en France ?

Les entreprises et les gouvernementaux ont besoin de cette communauté. C'est la raison pour laquelle les conférences de hacking sont suivies par une forte majorité de gens venant de ces deux sphères. A la seule Black Hat Las Vegas, on voit le FBI, le NCIS, la CIA, la NSA.... en Allemagne le BSI et le BND sont toujours là. Le CTO du projet Honeynet (Sébastien Tricaud, un hacker inconnu en France) traite directement avec les représentants étatiques. Des pays comme l'Allemagne et les USA sont très en avance : depuis plus de 30 ans ils ont organisé et soutenu leurs hackers. En France, nous avons nous l'article 323 du CP. On a diabolisé les hackers. Monter iAWACS n'a pas été facile mais les instances nationales ont compris l'urgence de changer le fusil d'épaule. Cette prise de conscience sera-t-elle accompagnée du courage nécessaire pour remettre en cause et challenger l'hégémonie des universités et de quelques "sérails autorisés" (comme Normal Sup en crypto par exemple) et qui ont fait beaucoup de mal à la France ?

Aucun commentaire:

Enregistrer un commentaire