Discussion :

[Gordon Fowler]

Sécurité informatique : "La France accuse un retard catastrophique d’au moins 20 ans par rapport à l’Allemagne"
Un expert appelle à reconsidérer les profils de hackers


Afin de doter la France des compétences nécessaires pour faire face aux attaques contre les systèmes d'information de l'État et des entreprises, le Gouvernement a récemment décidé de développer la formation supérieure en sécurité des systèmes d'information.

Il n’en reste pas moins que le sujet resterait, dans le pays, largement sous évalué.

"La société numérique est en marche et nul retour en arrière n’est possible ni même envisageable. La sécurité des infrastructures pose de ce fait un défi majeur. Tant pour les Etats et les administrations que pour les entreprises", écrit Eric Filiol, directeur de la recherche à l’ESIEA dans une tribune libre, "quoiqu’en disent les décideurs, en particulier en France, les spécialistes en sécurité sont devenus une denrée rare et courtisés au niveau mondial. Le retard de notre pays dans ce domaine est patent".

D’après l’expert en cyber-sécurité, ce retard ne tiendrait pas aux manques de compétences des professionnels de l’IT français mais bien au trop faible nombre de personnes formées. Ou disponibles.

Le problème devrait même empirer. Toujours d’après Eric Filiol, les grands acteurs voient de plus en plus, et à juste titre, la sécurité informatique comme un problème majeur. Cette prise de conscience provoque une demande croissante et donc une pénurie accrue.

D'autant plus que "des grandes sociétés américaines, telles que Google, Apple…, commencent à chasser et à piller des sociétés – on peut citer HSC Consulting ou Sogeti – incapables de rivaliser avec les salaires proposés. D’où une hémorragie inquiétante de ressources rares et tout cela dans un environnement où les attaques vont croissant et gagnent en sophistication".

Que faire pour remédier à cette situation ?

Eric Filiol préconise d’aller chercher les ressources là où elles sont. C’est à dire chez les hackers "qu’on a tendance à diaboliser à l’excès".

"Contrairement à l’idée reçue ce terme ne désigne en aucun cas une personne dotée de mauvaises intentions, contrairement au pirate informatique", précise-t-il dans sa tribune. "Le terme de hacker désigne toute personne capable d’analyser en profondeur un système […] Un hacker, par définition, n’hésite pas à s’écarter de toute forme d’orthodoxie en particulier technique et scientifique pour parvenir à ses fins". Ce qui lui donnerait mauvaise réputation.

Si certains pays comme l’Allemagne ou le Royaume-Uni ont déjà compris l’intérêt de ces profils, la France, elle, entretiendrait toujours la confusion entre hackers et pirates avec, dans un futur proche, des conséquences fâcheuses. "L’Allemagne a […] su mieux ou moins mal anticiper la pénurie gravissime qui s’annonce. Mais elle a su aussi ne pas sacrifier les valeurs fondamentales qu’exigent les métiers de la sécurité informatique : éthique et loyauté. […] Or cela la France ne sait pas le faire : la politique de la main de fer dans un gant de velours lui est totalement étrangère".

Résultat, la France "accuse un retard catastrophique que l’on peut évaluer à au moins 20 ans (par exemple par rapport à l’Allemagne)".

Eric Filiol appelle donc de ses vœux un changement profond de mentalité. Pour lui, la sécurité numérique du pays passera par le développement de mouvements de hackers, et par des lois qui ne freinent pas leurs activités comme ce serait trop le cas aujourd'hui. Mieux, les décideurs économiques et politiques devraient, d'après lui, les soutenir.

"A l’étranger les plus grandes conférences de hacking sont sponsorisées par les très grosses sociétés de logiciels ou de services (Google, Microsoft, Oracle…) et, quelquefois, avec le soutien des Etats (par exemple la célèbre conférence Hack.lu au Luxembourg)", note-il. "En France, on est encore, hélas, dans un monde d’anciens qui administrent mais ne comprennent rien à la technique et les jeunes hackers qui maîtrisent mais n’administrent pas. Cette fracture n’est plus tenable".

Pour l’anecdote, les services secrets britanniques ont récemment publié une annonce d’emploi spécialement destinée aux hackers. Pour postuler, le candidat devait déchiffrer un code sur le site justement nommé "Can You Crack It ?".


Pouvez-vous le cracker ?

L’initiative reste anecdotique, surtout depuis que la solution au problème a été rendue publique par le Dr Gareth Owen de l’Université de Greenwich. Mais elle va dans le sens des propos d’Eric Filiol et semble illustrer un mouvement en cours. Un mouvement que la France serait en train de louper ?

Source : "Cyberguerre, le retard français", de Eric Filol

Et aussi :

Can You Crack It ?
Solution du Dr Gareth Owen de l’Université de Greenwich

Et vous ? :

Pensez-vous que la France prend du retard dans le domaine de la sécurité informatique ?
Et que les hackers sont trop peu considérés par les professionnels français de l'informatique ?

[Neko]

En France on met les hackers en taule. Même s'ils alertent gracieusement une boite d'une grosse faille dans leur système.
C'est pas plus retard qu'on a, c'est l'application de la politique de l'autruche, un déni complet de la réalité.

[trash_07]

Comme tu dis un serpent qui se mord la queue.
Les enseignants de sécurité et réseaux n'ont quand à eux pas le droit d'apprendre à leurs élèves comment hacker. comment voulez-vous arrivez à contrer une attaque si vous ne savez même pas comment la réaliser ...

[xelab]

En France on met les hackers en taule. Même s'ils alertent gracieusement une boite d'une grosse faille dans leur système.
C'est pas plus retard qu'on a, c'est l'application de la politique de l'autruche, un déni complet de la réalité.

Cela me fait penser au gars qui avait fabriqué une "yes card" et qui avait alerté les banques sur le problème, lesquelles voulaient immédiatement l'enfermer et le faire payer...

[Patriarch24]

Eh oui, en France peu de formations permettent d'avoir des connaissances pratiques nécessaires pour être un spécialiste de la sécurité informatique. Les cours sont très théoriques, et les tp se limitent souvent à faire un buffer overflow.

Ce qui est le plus dommage, c'est qu'en France, on ait du mal à reconnaître les autodidactes (quelle que soit leur discipline d'ailleurs), et que seul un diplôme justifie les compétences. C'est d'autant plus dommage dans ce secteur, où les hackers (les vrais) sont très souvent des autodidactes passionnés (et surdoués), qui n'ont pour la plupart jamais suivi de cours de crypto avancé et n'ont probablement aucune idée de ce que sont les espaces de Hilbert...

[DonQuiche]

Expérience vécue en école d'ingénieurs : suite au recrutement d'un jeune biologiste comme administrateur système, motivé mais incompétent à ses débuts, les étudiants s'en donnèrent à coeur joie et commencèrent à se faire les dents sur ce système peu sécurisé et apprendre quelques ficelles. Quelques blagues de potache plus tard (images de jeunes femmes dénudées apparaissant en plein cours sur le terminal du voisin, mot de passe changé, message d'invite provocateur, faux e-mails, etc), l'administration prend ça très au sérieux et presse le jeune administrateur d'enquêter. Celui-ci fouille et découvre les traces laissées par des étudiants qui ne cherchaient même pas à se cacher et il livre les résultats de son enquête. La sanction typique fut l'interdiction d'accès au système informatique de l'Ecole pendant des durées diverses allant jusqu'à un an. Ce qui signifiait aussi, à cette époque, la coupure de l'accès internet, celui-ci n'étant pas encore une affaire pour particuliers.

Ou comment bousiller du talent...

[zatura]

En DUT informatique j'ai eu quelques cours de sécurité informatique. Mais la pratique n'était pas très poussée. On avait des connexions ssh, comment gérer des groupes d'utilisateurs, écouter les ports d'une machine distante, faire en sorte que nos ports paraissent fermé. Rien de très folichon quoi

D'ailleurs DonQuiche ton exemple me fait penser à ce que l'on faisait en cours quand on testait les connexions en SSH. L'un de nous se connectait sur un ordi en SSH et exécutait dessus une forkbomb. Crise de rage garantie

[simonf]

Je pense que vous exagérez. Le hack commence à être bien reconnu par les milieux institutionels, même si les distances sont conservées, de par la nature même des relations "anarchisantes" de ce milieu.

Ensuite, il n'y a qu'a voir la floraison de multiples hacker spaces ou de hack labs (pas toujours dédiés à l'informatique ou à la sécurité, même si celà reste le coeur de la meule) pour comprendre que ce mouvement s'est imposé depuis longtemps comme une référence dans les questions sociales, philosophiques et techniques qui en découlent.

Les étudiants en école d'informatique apprendront plus en allant passer leurs soirées dans ces lieux qu'en suivant des cours dans les écoles (ceci dit, de très bon profs, bidouilleurs eux même, celà doit bien exister).

Enfin, concernant les entreprises, il me semble que la majorité des hackers spécialisés en sécurité réseau etc. ne sont pas au chomage! Le dernier entretien d'embauche que j'ai fait (pour une startup au capital majoritairement détenu par Dassault) s'est passé avec l'architecte qui m'a dit : oh ben, malheureusement je t'aurais bien présenté le directeur technique et le reste de l'equipe (dont le PDG) mais ils sont partis à un meeting de hacking.

Certes, dans les média généralistes, on joue encore de la confusion hacker / pirate / cracker, mais c'est de l’hypocrisie : une littérature précise sur le genre existe depuis plus de 20 ans, et ignorer ce que celà signifie aujourd'hui c'est faire particulièrement preuve de mauvaise foi. Seulement ce mouvement ne se contente pas d'être composé de [I]bons techniciens[I], il y a une volonté et une ligne directrice très politique assurément, je pense par exemple aux significations qu'impliquent des projets tels que Reprap, etc.

[Zhebulon]

Salut à tous !

Je viens réagir ici par rapport à la lumineuse remarque de Patriarch24 qui a tout à fait raison selon sa remarque ci-dessous :

Ce qui est le plus dommage, c'est qu'en France, on ait du mal à reconnaître les autodidactes (quelle que soit leur discipline d'ailleurs), et que seul un diplôme justifie les compétences. C'est d'autant plus dommage dans ce secteur, où les hackers (les vrais) sont très souvent des autodidactes passionnés (et surdoués), qui n'ont pour la plupart jamais suivi de cours de crypto avancé et n'ont probablement aucune idée de ce que sont les espaces de Hilbert...

Un copain aveugle très visionnaire (comme quoi !) m'a dit un jour : si tu ne rentre pas dans les cases au niveau compétences ou savoir-faire en France, on te met dans une voie de garage. Traduction : si tu n'as pas subi le bon formatage de l'individu au sein de la Nation, on te jette et tu te débrouille.
J'ajouterais de plus que si tu tombe sur de parfaits imbéciles de l'Education Nationale lorsqu'en troisième tu choisis ton orientation d'études, à savoir dans mon cas, Bac informatique à l'époque, et que le paltoquet en face de toi (auquel on adresse le titre pompeux de conseiller d'orientation...) te déclare en même pas 5 minutes que tu n'es pas fait pour l'informatique, je croupis dans un boulot qui ne me correspond pas à cause de ce fonctionnaire de base.... Ma vengeance ? Plusieurs langages informatiques, création d'images de synthèse avec des outils totalement libres et niveau hardware-software, n'en parlons pas.... Le tout appris en autodidacte. Ca prouve la nullité de cette brillante administration. Combien de centaines ou devrais-je dire milliers de profils fort intéressant pour le pays gâchés ?
Un moment je me suis présenté chez ARIES, école de renom concernant la filière image de synthèse entre autre. Là, j'étais tombé sur un bon conseiller pédagogique qui m'a déclaré :

C'est dingue le niveau que vous avez acquis en étant simplement autodidacte ! Vous dépassez le niveau de mes propres élèves...

Bon...
J'étais abonné il fut un temps à de prestigieuses revues de hacking... et je continue à faire mon petit bonhomme de chemin.

[unedone]

Salut à tous !

Je viens réagir ici par rapport à la lumineuse remarque de Patriarch24 qui a tout à fait raison selon sa remarque ci-dessous :


Un copain aveugle très visionnaire (comme quoi !) m'a dit un jour : si tu ne rentre pas dans les cases au niveau compétences ou savoir-faire en France, on te met dans une voie de garage. Traduction : si tu n'as pas subi le bon formatage de l'individu au sein de la Nation, on te jette et tu te débrouille.
J'ajouterais de plus que si tu tombe sur de parfaits imbéciles de l'Education Nationale lorsqu'en troisième tu choisis ton orientation d'études, à savoir dans mon cas, Bac informatique à l'époque, et que le paltoquet en face de toi (auquel on adresse le titre pompeux de conseiller d'orientation...) te déclare en même pas 5 minutes que tu n'es pas fait pour l'informatique, je croupis dans un boulot qui ne me correspond pas à cause de ce fonctionnaire de base.... Ma vengeance ? Plusieurs langages informatiques, création d'images de synthèse avec des outils totalement libres et niveau hardware-software, n'en parlons pas.... Le tout appris en autodidacte. Ca prouve la nullité de cette brillante administration. Combien de centaines ou devrais-je dire milliers de profils fort intéressant pour le pays gâchés ?
Un moment je me suis présenté chez ARIES, école de renom concernant la filière image de synthèse entre autre. Là, j'étais tombé sur un bon conseiller pédagogique qui m'a déclaré :
Bon...
J'étais abonné il fut un temps à de prestigieuses revues de hacking... et je continue à faire mon petit bonhomme de chemin.

Il est vrai, on commence enfin a embaucher des profils techniques "autodidactes", car en france on (les sociétés) commence a comprendre "a peu pres" les enjeux de la securité et ce que peut donner une compromission de données (cf. AREVA^^)