L’Europe numérique c’est maintenant - Louis Pouzin - FIC 2017

Louis Pouzin

Titre : L’Europe numérique c’est maintenant - Allocution de M. Louis Pouzin, ingénieur français à l'origine du réseau Cyclades
Intervenants : Louis Pouzin - Marc Watin-Augouard
Lieu : FIC 2017 - 9ème Forum International de la Cybersécurité - Lille
Date : janvier 2017
Durée : 14 min 50
Visionner la keynote
Licence de la transcription : Verbatim
Illustration : Louis Pouzin, photographié par Philippe Batreau le 17 juin 2003 - Licence CC BY-SA 2.5
NB : transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.

Transcription

Marc Watin-Augouard : Vous pouvez applaudir Louis Pouzin, parce que sans lui sans doute Internet n’existerait pas aujourd’hui. Qui le connaît en France ? Qui le reconnaît en France ? Pas grand monde ! En revanche, la reine d’Angleterre lui remet le prix d’Engineering avec qui ? Avec Vincent Cerf, avec Bob Khan, avec Tim Berners-Lee, avec Mark Andreessen, donc les grands pionniers d’Internet. Et Louis Pouzin, la France l’oublie ! Pas le FIC ! Le FIC n’oublie pas Louis Pouzin, c’est pour ça que ce matin je lui ai demandé de bien vouloir ouvrir cette table ronde, cette plénière sur la dimension européenne. Je le remercie. Rappelons-nous : réseau Cyclades1, les années 71-75, alors qu’il avait inventé le datagramme2, alors que tout était parti pour que la France soit une France connectée avec un réseau internet qui lui soit propre, eh bien on a abandonné, on a coupé les vivres pour le Minitel. Belle opération de tir dans les pieds et c’est comme ça qu’on a pris beaucoup de retard et qu'il a fallu attendre les années 2000 pour qu’on le rattrape.

Merci Louis Pouzin d’être parmi nous. Quinze minutes, vingt minutes de keynote. Vous avez la place ici et je vous remercie de votre intervention.

Petite page de publicité : nous remettrons le prix du livre cyber sur le stand Furet du Nord à 11 heures 30 à Olivier Iteanu pour son livre Quand le digital défie l’État de droit et à Philippe Trouchaux pour La cybersécurité au-delà de la technologie. Merci. Applaudissez Louis Pouzin.

Louis Pouzin : Mesdames et Messieurs, bonne journée. Le titre je ne sais pas où il est, je ne sais pas s’il est apparu, c’est : « L’Europe numérique c’est maintenant ». Vous allez voir pourquoi.
Vous avez tous entendu dans les conférences précédentes, quand vous faites le tour des stands, c’est que, d’une part, le futur immédiat est imprévisible avec Mr T. D’autre part, dans l’informatique maintenant, les vols de données, la revente, la diffusion, le rançonnage, l’espionnage, tout ça c’est partout. Nous sommes tous espionnés en permanence : tout ce que je dis en ce moment doit être enregistré dans l’Ohio, dans la NSA. Et puis, par ailleurs aux États-Unis par exemple, si vous avez un site qui est sous le contrôle américain, c’est-à-dire il est géographiquement aux États-Unis ou bien il est dans un appareil d’une société américaine, il suffit qu’un citoyen américain se plaigne que vous lui faites concurrence, que vous lui avez volé des informations, eh bien on va fermer votre site et ça peut durer un an. Et si vous avez du personnel qui travaille aux États-Unis, qui n’est pas citoyen américain ni résident, eh bien il n’y a pas d’Habeas corpus, on peut l’arrêter sans vous dire pourquoi.
Par ailleurs, les États-Unis s’attribuent un droit extraterritorial, c’est-à-dire qu’ils peuvent poursuivre une société américaine qui est établie à l’étranger, qui est simplement une filiale, il y a quelque chose qui est la règle 41, rule 41, je ne sais pas si elle a été votée, mais en principe elle devait l’être, qui donne à l’administration américaine le droit, on pourrait dire, de pirater n’importe qui dans le monde s’ils estiment que c’est lié à la sécurité nationale américaine. Évidemment il n’y a aucune limite à ce genre de définition. En plus, il y a toute une liste d’États qui sont mal vus, parce que, à un moment ou l’autre, ils étaient soit terroristes, soit ils ont joué des tours aux États-Unis, je ne sais pas comment ; ce sont des listes qui sont établies, qui des fois durent beaucoup plus longtemps que la raison pour laquelle elles ont été établies.

Maintenant vous savez tous aussi, d’après tout ce que vous avez entendu sur le salon, que la grande majorité des attaques de données provient de l’intérieur de la société : les personnes qui vivent dedans ou qui sont des visiteurs, etc. Et puis évidemment, il y a aussi les attaques extérieures, ça il y en a pas mal, et, bien entendu, elles sont plus difficiles ou peut-être moins fréquentes parce qu’elles sont plus difficiles. En tout cas personne n’est à l’abri de ça. Il y a maintenant des organisations de hackers internationaux, liées ou non à des États, mais qui sont d’excellents professionnels, qui ont pratiquement tous les moyens de pénétrer n’importe quel système. Si vous n’avez jamais été pénétré c’est parce que, probablement, vous n’avez pas d’intérêt pour eux. Donc c’est comme ça. Alors que faire ?
Il y a les DDoS3 aussi ; ça c’est à la portée de tout le monde : les logiciels nécessaires pour faire ça sont disponibles sur le Net. Le principe : ça asphyxie un système parce qu’on l’attaque avec des millions de messages qui arrivent, c’est-à-dire qu’il n’a pas la bande passante pour réagir et il est mort ! Voilà ! Ça c’est à la portée de tout le monde et, avec les objets, ça va devenir épouvantable parce que la plupart des objets n’ont pas vraiment été testés du point de vue de leur sécurité et la plupart sont faits dans les usines asiatiques, c’est-à-dire qu’on ne sait pas ce qu’il y a dedans. Donc il faut s’attendre à une volée de problèmes de cette sorte.

Est-ce qu’il y a des protections ?
Eh bien oui, il y en a partout ici. Tout le problème c’est comme les médicaments. Ça peut marcher si on sait s’en servir et puis ça ne marche que pour certains types de maladies, c’est-à-dire d’attaques ou de virus.
Qu’est-ce qu’on fait quand il y a une situation qu’on pourrait comparer à une pandémie ? Quand il y a Ebola par exemple en Afrique, quand il y a le SARS en Chine, on ne sait pas très bien où est la limite alors toutes les personnes qui ont été plus ou moins en contact avec les lieux où ça se passe, on les met sous protection ou en tout cas sous examen, etc. Je crois qu’il y a une certaine similarité entre les pandémies et les systèmes informatiques à l’heure actuelle. Sauf qu’on s’aperçoit maintenant que c’est mondial : ce n’est pas limité à une région particulière loin de chez nous. Donc on est tous selon le TAC [Technologie Against Crime] sous la menace de cette pandémie.

Qu’est-ce qu’on peut faire ?
D’habitude on crée des zones de protection, des périmètres de sécurité si vous voulez. Vous me direz « oui, mais on ne sait pas faire ça, c’est trop compliqué. » Eh bien les Chinois l’ont fait. La Chine, depuis 2005, a un réseau complètement indépendant des États-Unis et ça marche assez bien. Il n’y a pas que du logiciel, bien sûr, il y a aussi beaucoup de policiers chinois, mais n’importe quelle est la raison, le fait est que si on veut créer une zone de protection, un pays comme la Chine l’a fait, ça n’est quand même pas n’importe quel pays — de très grandes distances géographiques à parcourir, multiplicité de langages et de pouvoirs —, donc c’est faisable à une échelle plus réduite. Vous me direz « mais à une échelle plus réduite ça veut dire qu’on a beaucoup plus de communications avec le monde ». Eh bien oui, c’est vrai. C’est vrai donc il faut beaucoup plus d’efforts pour se protéger, mais on peut quand même échanger de l’information pour, si on ne peut pas tout protéger, avoir des rapports avec des voisins avec qui ont est en confiance.

La protection, souvent, ça commence par le nommage. Parce qu’on ne peut atteindre quoi que ce soit dans l’Internet que si on a une adresse, une URL, enfin quelque chose qui permet d’arriver dans la proximité des données qu’on veut obtenir ou qu’on veut perturber.

Donc si on ne veut pas être soumis, si on ne veut pas être menacé par ça, ça veut dire qu’il va falloir protéger ses données, les mettre en lieu sûr. Je suppose que vous êtes tous comme moi, c’est-à-dire que vos données ne sont pas du tout en lieu sûr. Dès que vous vous servez d’une messagerie genre Gmail, par exemple, eh bien vous n’êtes pas du tout en lieu sûr. Vous êtes, on pourrait dire, presque à la vue de tout le monde. Donc je crois que rapatrier ses données dans des lieux sûrs c’est la moindre des choses qu’il faut faire si on veut avoir des chances d’échapper à la surveillance.

Ça ce sont des précautions on pourrait dire banales, mais pas aussi banales que ça, parce que c’est facile à dire mais un peu plus compliqué à mettre en œuvre. Tant que ce n’est pas un réflexe dans la vie des gens, eh bien on oublie de le faire parce qu’on est pressé et puis, il ne se passera rien de toute façon, on sait très bien, on connaît tous les gens qui sont autour ; en fait, c’est comme ça que les fuites commencent.

Le nommage, disons dans tous les systèmes, est souvent un peu centralisé dans un système qu’on appelle le DNS, c’est-à-dire Domain Name System, un système développé aux États-Unis. Il y a déjà pas mal de documentation sur le fait qu’il est activement utilisé pour faire de l’espionnage. C’est normal, à partir du moment où toutes les adresses, qu’elles soient IP ou qu’elles soient URL, sont concentrées dans certains sites, c’est tentant d’accéder à ce site ou, en tout cas, de regarder ce qui rentre et qui sort et d’en faire des collections. Donc ça c’est évidemment un point de faiblesse d’Internet à l’heure actuelle.

Vous allez dire « mais de toute façon il faut bien, quand même, qu’on ait des registres ! » Eh bien, oui, il faut avoir des registres d’adresses, de même que vous en avez dans votre poche : votre smartphone a probablement un annuaire comme tout le monde. Et puis vous pouvez aussi avoir des annuaires dans les appareils que vous ne sortez jamais de chez vous. Et puis vous avez bien des banquiers qui ont aussi des annuaires sur vos comptes. Donc il y a quand même beaucoup d’endroits où il y a des annuaires qui ne sont pas dans le DNS ; ça veut dire qu’il y a beaucoup de données qui vous concernent ou qui concernent votre société et qui sont aussi à protéger, bien sûr, parce qu’elles se recoupent. Donc si on rentre par un bord on peut, petit à petit, aboutir à la connaissance de beaucoup plus de données qu’on en cherchait.

Ça c’est quelque chose qui, je pense, va se développer. Nous, nous l’avons aussi fait à titre limité : on a dit que j’étais président d’Open-Root. Open-Root4 c’est un système, c'est un DNS en fait, mais il est indépendant de l’ICANN [Internet Corporation for Assigned Names and Numbers], ça veut dire indépendant des États-Unis donc, dans une certain mesure, il est moins accessible parce que les noms ne sont pas sur la place publique. Ça ne veut pas dire que c’est entièrement sécurisé, il ne faut pas croire aux miracles, mais, dans la mesure où c’est déjà séparé, comme les Chinois, eh bien on est beaucoup moins vulnérable. Donc je pense que cette approche va probablement se développer. C’est le vieux principe de diviser pour régner, c’est tout, on n’a pas inventé autre chose.

Comment faire ça dans la pratique ?
On peut dire : il faut le faire au niveau de l’Europe, parce que dès qu’il y a un problème on dit : « l’Europe devrait faire ceci cela ». Il n’y a pas une Europe, il y en 27 ! Avant qu’ils soient tous d’accord il peut se passer cinq à dix ans. C’est très bien pour établir des textes qui sont valables pour plus tard, mais quand il y a urgence, ce n’est pas la bonne méthode. Quand il y a urgence je crois qu’il faut commencer de manière modeste. Il ne faut pas espérer subitement rassembler une grande foule de gens qui seront d’accord avec vous ; ils peuvent être d’accord avec vous sur des textes fumeux qui ne disent rien, mais si vous voulez des textes qui permettent d’agir, eh bien il faut commencer avec les gens que vous connaissez, ce qu’on appelle souvent, dans la rubrique, des coalitions, n’est-ce pas. Il faut faire des coalitions de gens qui vont travailler ensemble et qui, petit à petit, vont donner, faire le modèle pour les autres.

Un autre système qui est en cours de production, mais qui n’est pas encore commercialisé, je le cite quand même parce que je le cite partout, c’est RINA, Recursive InterNetwork Architecture. Ça a été développé en partie à Boston il y a dix ans et maintenant ce sont des projets européens qui permettront d’avoir un Internet où les informations qui sont intéressantes sont complètement virtuelles, c’est-à-dire qu’elles ne sont pas accessibles normalement de sociétés ou d’individus qui n’ont pas accès. Ça c’est dans deux-trois ans qu’on pourra en tirer usage.

Qu’est-ce qu’il faut faire ?
Eh bien évidemment il faut faire comme souvent on va vous le conseiller : il faut former des spécialistes mais ça va prendre un certain temps ! Il faut éduquer les enfants et aussi les adultes, ça va prendre un certain temps ! Donc ça c’est une culture, culture de l’hygiène, l’hygiène ça ne vient pas naturellement, il faut aussi former.
Un autre type de situation, ce sont les incendies. Par exemple la protection contre les incendies, eh bien on a fini par dire il faut des pompiers ; par exemple, quand j’étais très jeune, tous les étés il y avait d’énormes incendies dans la forêt des Landes. On a mis des coupe-feu, on a mis des tours de surveillance, on a mis des centres de pompiers pour les éteindre, etc. Finalement, maintenant il n’y a plus d’incendies dans les Landes. Donc toutes ces choses-là ça prend un certain temps, mais à un moment il faut démarrer, il ne faut pas attendre de faire des accords au niveau international pour que ce soit mis en place.

Ce que je recommande à tout le monde c’est : il faut se prendre par la main et il faut monter des opérations avec des gens qui sont d’accord avec nous. Il n’y en a peut-être pas beaucoup au départ mais c’est comme ça qu’on avancera.
Et en Europe, je crois qu’on peut commencer peut-être par essayer, au niveau de certains pays, certaines régions, certaines villes, n’importe quoi, tout ce qui peut constituer un minimum de pouvoir, de richesse et de détermination, ça peut servir de base de départ.
Merci de votre attention.

[Applaudissements]