Sécurité informatique : le point de vue du Collège de France.

« Aujourd’hui, les questions de sécurité informatique sont omniprésentes, non seulement dans le renseignement militaire, mais également dans la finance, le commerce, la gestion de données médicales, les réseaux sociaux et bien d’autres cadres. A partir d’un exemple de la vie courante, le spam, Martin Abadi aborde des aspects variés de l’informatique tels que les protocoles cryptographiques, les modèles de calcul et les langages de programmation ». Principal researcher au sein du groupe Microsoft et professeur à l’Université de Californie et professeur associé au Collège de France, il y dirigeait la chaire « Informatique et sciences numériques ». Dans un cours présenté au Collège en 2007, intitulé «  Pourquoi le monde devient numérique », Gérard Berry expliquait avec lucidité et enthousiasme pourquoi et comment le monde devenait numérique. La société dans son ensemble devient numérique. Les questions de sécurité informatique sont centrales, pour le monde politique, mais aussi dans le domaine militaire, comme en témoignent les travaux d’Alan Turing et ceux de ses collègues de Bletchley Park pour décrypter les codes allemands pendant la seconde guerre mondiale. Le secteur bancaire, le commerce, la santé, sont tous concernés par les changements en cours, faisant craindre pour l’intégrité et la confidentialité de nos données.

La sécurité informatique est l’affaire de tous. 

L’enjeu concerne un ensemble de systèmes ouverts et hétérogènes. Ces systèmes comprennent entre autres, des ordinateurs portables, des consoles de jeu, des centres de calcul énormes et des réseaux. Autant d’éléments qui sont gérés soit par des usagers indépendants, ou des administrateurs, avec le niveau de compétence qui leur est propre. « Nos systèmes modernes interagissent avec des environnements parfois hostiles et sur lesquels nous n’avons aucun contrôle direct », rappelle Martin Abadi.

L’enjeu majeur de l’interaction. 

L’interaction est un enjeu de premier ordre, qu’il s’agisse de l’interaction de plusieurs processeurs dans un même ordinateur, l’interaction entre programmes, l’interaction entre les usagers via les réseaux sociaux. Cette mise en relation offre un fantastique moyen de collaboration et de communication. Dans cette mesure, la notion d’interaction est centrale dans l’objet d’étude qu’est la sécurité informatique.

Du « spam » : anecdotique et fondamental. 

« Le spam coûte cher aux services de courrier comme hotmail, yahoo, ou gmail, pour lesquels il peut constituer près des trois quarts des messages reçus. Son volume est énorme : des milliards de message par jour ». Le spam, au-delà de la menace de sabotage, représente un double enjeu : celui de l’authentification et de l’autorisation. L’authentification consiste à savoir de qui viennent les messages, l’autorisation consiste à décider s’il faut les livrer et les montrer à leurs destinataires. Les méthodes développées afin de lutter contre le spam visent d’une part à établir des filtres qui servent de propriétés statistiques propres, ou encore indépendamment du contenu des messages, une infrastructure peut bloquer ou entraver un flux de spam. Une infrastructure peut également tenter de décourager, de bloquer ou de ralentir les sources de spam, avec des tests connus sous le nom de « tests de Turing inversés » ou encore les « Captchas » en demandant aux usagers de transcrire des caractères peu lisibles. Cette tâche, facile pour des humains, s’avère beaucoup plus complexe pour des programmes. Ces dispositifs ne résistent pas longtemps aux évolutions sophistiquées et high tech. Des captchas de plusieurs types ont été résolus grâce à des progrès dans les techniques de reconnaissance de caractères (OCR).

Les caractéristiques de la sécurité informatique. 

Martin Abadi identifie quatre caractéristiques majeures de la sécurité informatique ; elle est le plus souvent encombrante et coûteuse, rarement parfaite, dépendante des méthodes de détections des attaques, relève d’une approche amateur ou professionnelle. Et pourtant, malgré ces points communs, la sécurité informatique a des caractéristiques biens spécifiques : « Les attaques peuvent être montées à distance ; ces dernières sont facilement automatisées et de grande envergure ; les attaquants restent anonymes », rappelle Martin Abadi.

La communication chiffrée. 

Il n’existe pas de politique de sécurité universelle. Certains grands thèmes se dégagent toutefois : le système protégé interagit avec un environnement que nous ne pouvons pas complètement maîtriser ; en contrepartie, nous ne demandons pas la correction parfaite, mais des propriétés plus simples et plus faibles. « Par exemple, nous ne demandons pas que chaque consultation d’une agence de voyages sur le Web nous donne les réponses les plus utiles (…) par contre, nous exigeons que ces réponses viennent bien de l’agence de voyages que personne d’autre ne puisse les voir sans notre consentement », souligne l’auteur. Pour Martin Abadi, la meilleure sécurité informatique est celle qui anticipe, qui explore en dehors des cadre systémiques, qui connaît les lois fondamentales, mais aussi et surtout leurs zones d’ombre, « ce que ces lois taisent, ce qu’elles sous-entendent ou ce qu’elles ne permettent pas de dire ». 

Pour aller plus loin :

–       « La sécurité informatique : programme du cours », college-de-france.fr

–       « Sécurité informatique : l’affaire de tous », emmaus-connect.org

–       « Vidéo de la leçon inaugurale : amphithéâtre Marguerite de Navarre – Marcelin Berthelot », college-de-France.fr

–       « Test de Turing inversé: le corps humain bientôt marginalisé ? », anthropotechnie.com

–       « A Bletchley Park, l’histoire secrète de l’invention de l’informatique », lemonde.fr