Eric Filiol (ESIEA) : « Sécurité IT : veut-on faire de l’argent ou vraiment protéger les gens ? »

CloudCyberDéfenseSécurité
eric-filiol-ESIEA-virulogie-cryptologie-securite-informatique

Interview du directeur du laboratoire ESIEA de virologie et de cryptologie opérationnelles : cyberattaque Elysée, cyberdéfense, antivirus…Il prend ses distances vis-à-vis des éditeurs de solutions de sécurité IT.

ITespresso.fr : Vous êtes critiques vis-à-vis des solutions antivirus fournies par les éditeurs. Comment relevez la pertinence des outils ?

Eric Filiol : Il est possible de réduire considérablement les risques. Sachant que le risque zéro n’existe pas. La question est de savoir si l’on veut faire de l’argent ou de protéger vraiment les gens. Je pense qu’il faut arrêter de faire des outils antivirus un produit commercial.

C’est le fond du problème. Ce marché important (10 milliards d’euros par an) est alimenté par des acteurs dont les intérêts sont que la menace virale ne disparaisse pas. Une fois la question cernée, vous avez compris le modèle économique mis en place derrière.

Il n’est pas normal qu’un élève de troisième année qui suit mes cours à l’ESIEA puisse FACILEMENT concevoir en quelques minutes un code permettant de contourner un outil antivirus et que l’on a payé 90 euros. On exploite juste l’incurie et le fait que le produit soit commercial.

Je vais aller plus loin : je pense que certaines menaces sont bidons. C’est vrai qu’il existe des virus et que la menace est réelle. Mais, dès lors que l’on demande à voir le code, il nous arrive que des éditeurs n’apportent pas de réponse.

C’est juste du fake pour entretenir la menace ou le marketing de la peur comme disait Pascal Lointier (ex-président du CLUSIF, aujourd’hui décédé). Certains éditeurs alimentent le buzz, comme un acteur russe qui communiquait comme s’il annonçait la fin du monde.

Avec le cas de Flame, on a tout entendu. Y compris des aberrations techniques. Il serait temps d’effectuer de l’audit pour mesurer vraiment l’ampleur de la menace et de voir où l’on en est d’un point de vue technique.

Car, aujourd’hui, qui apporte la contradiction aux éditeurs antivirus ? Ce n’est pas l’Etat qui brille par son silence. Il n’y a pas d’organisme indépendant. Il manque un contre-pouvoir au nom de la souveraineté de l’Etat.

ITespresso.fr : Les terminaux sous Android sont populaires mais l’OS mobile présente de sérieuses failles de sécurité. Qui doit prendre la main pour garantir la sécurité des utilisateurs ? Les opérateurs, les développeurs, les éditeurs ?
Eric Filiol : Je pense à nouveau que c’est à l’Etat de fixer les règles. Est-il normal qu’on laisse les applications choisir à notre place la géolocalisation ? Pour l’instant, le secteur privé a le contrôle. Et l’Etat se tait.

Autant les gens ont compris dans le domaine de la biologie qu’il existe un comité d’éthique, pourquoi ne pas monter un dispositif similaire dans le domaine informatique ? Bien sûr, il existe la CNIL. Mais j’estime que ce n’est pas suffisant.

Je prône un comité d’éthique pour l’informatique, cette informatique qui contrôle désormais nos vies.

Ces questions dépassent le simple cadre informatique. C’est une question sociétale. On se dirige vers un certain totalitarisme en partie à cause de sociétés comme Google, Apple ou Microsoft.

Je pose une autre question : est-il normal que, dans un avenir proche, on court le risque de plus pouvoir acheter un ordinateur tournant sous Linux SEUL sans devoir passer par Microsoft et Intel avant ?

C’est au citoyen dans le cadre d’un Etat fort et démocratique de décider de cela. Ce n’est pas à la sphère du secteur privé de décider ce que seront nos vies.

ITespresso.fr : En préparant l’interview, vous avez émis le souhait de ne pas commenter le sujet sur la confiance ébranlée vis-à-vis du réseau TOR. Sujet de préoccupation que vous aviez pourtant exposé à la presse en 2011. Pourquoi ?

Eric Filiol : A l’époque, des tas de gens ont critiqué nos travaux sans les avoir lus et sans avoir analysé le code source de TOR. Depuis, nous avons trouvé d’autres choses plus graves.

Nous avons transmis les éléments à l’Etat qui nous a demandés de ne plus communiquer sur le sujet.

(Shutterstock.com – Copyright : 3d brained)

Quiz : Hacking, phishing, spamming? La sécurité sur internet n’a pas de secret pour vous ?

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur