Discussion :

[Hinault Romaric]

Sécurité : les ministres interdits de smartphones et de tablettes
face à l’ampleur de l’espionnage

Pour faire face à l’espionnage des services secrets américains et britanniques, les ministres devront se passer des smartphones et des tablettes.

Dans une note que l’Express s'est procurée, les services de Jean-Marc Ayrault demandent à tous les ministères d'abandonner ces dispositifs grand public.

« La survenance ces derniers mois de plusieurs atteintes à la sécurité des systèmes d'information conduit à rappeler les règles élémentaires », est-il écrit dans une note datée du 19 août, signée de Christophe Chantepy, directeur de cabinet de Jean-Marc Ayrault et adressée aux directeurs de cabinet des ministères.

La lettre, qui liste les consignes à suivre pour outrepasser l’espionnage, demande aux ministres de ne plus utiliser leurs smartphones « pour les communications sensibles, s'ils ne sont pas équipés d'un dispositif de sécurité agréé ».

Depuis 2007, la France avait mis sur pied des smartphones (nom de code Hermès), sous Windows pour des communications sécurisées. Ceux-ci ont été remplacés par des terminaux sous une version modifiée d’Android, baptisée « SecDroid ». Environ 700 exemplaires de dispositifs sous SecDroid ont été mis en service en 2012.

Le gouvernement compte renforcer la sécurité de ces appareils en travaillant exclusivement avec des sociétés françaises comme Bull, Thales ou Ercom. Les dispositifs cryptés ne permettront pas d’installer des applications ou encore d’activer la géolocalisation.

De plus, les SMS sont désormais proscrits pour les ministres, ainsi que le renvoi de sa messagerie professionnelle vers une messagerie personnelle.


Source : L'Express


Et vous ?

Que pensez-vous de ces mesures ? Les ministres vont-ils s'y plier ?

[Grom61736]

Que pensez-vous de ces mesures ? Les ministres vont-ils se plier à cela ?

Bonnes mesures. Quand on voit que des députés européens utilisent Dropbox pour les dossiers confidentiels pour pouvoir les consulter partout ...

Mesures respectées, ça c'est un autre sujet. On peut être ministre et être une bille en utilisation technologique et donc ne pas comprendre pourquoi on ne peut plus faire cela ou faire des erreurs par inadvertance. :-)

[th3sorrow]

des smartphones [..], sous Windows pour des communications sécurisées

[rin01]

Quel genre de cryptage parle-t-on ici car visiblement la NSA a déjà un tour d'avance... http://www.lesechos.fr/entreprises-s...net-602253.php

[Squisqui]

Dans la mesure où les communications ne passent pas dans un tuyau étranger, il n'y a rien à décrypter.
Le plus simple et le plus radical est bien sûr de se passer de communication (ça n'a rien de pratique, je suis étonné qu'une telle décision a été prise) au moins le temps que la France trouve son indépendance en se passant de services étrangers et d'équipements étrangers.
Mais quand un ministre se situe à l'étranger, il n'y a pas de solution, il doit être conscient que tout ce qui est communiqué est enregistré quelque part.

[transgohan]

Quel genre de cryptage parle-t-on ici car visiblement la NSA a déjà un tour d'avance... http://www.lesechos.fr/entreprises-s...net-602253.php

Je ne pense pas qu'on ai quelqu'un du gouvernement qui ai transmis les clés à la NSA...

Ils retourneront sur Theorem que ça leur plaise ou non maintenant.

[Aurelien Plazzotta]

700 téléphones sous SecDroid mis en service en 2012...

A ma connaissance, on a pas 700 ministres donc ces messieurs ont largement distribué les téléphones à leurs potes de l'Assemblée et autres du civil :/

[gangsoleil]

La meilleure securite reste la formation des gens, pas leur supprimer des outils.

Combien d'entre-nous discutent du boulot entre collegues a la pause dejeuner, au restaurant du coin (si on n'a pas de cantine bien sur) ? Etes-vous certain de n'avoir jamais discute d'un contrat, d'un bout de code, bref d'un truc qui pourrait servir aux concurrents ?

Je sais qu'en ecoutant les commerciaux dans les restaurants, on apprend pleins de choses interessantes. Alors bien sur, je m'en fou, je ne sais meme pas pour qui ils bossent, mais il est certain qu'en allant ecouter dans les restaurants proches des ministeres, il y a beaucoup a glaner.

De meme, tout interdire en se disant que la personne va changer ses habitudes est une mauvaise conception de la securite.

Voici un exemple vecu :
Installation d'un logiciel sur un serveur d'un fabriquant de materiel militaire. On s'apercoit qu'il faut un patch de l'OS --> Demande d'installation au service informatique qui repond "Cette machine est dans un sous-reseau particulier, impossible de faire quoi que ce soit, debrouillez-vous comme ca."
Solution : envoi du patch OS sur gmail, telechargement du patch sur smartphone, et branchement du smartphone sur un port USB du serveur pour transfert.

Est-ce que c'est une solution securisee ? Bien sur que non. Et lorsque je-ne-sais quel conseiller va vouloir travailler sur un dossier, il se l'enverra sur sa boite perso, sans le crypter car il ne sait pas comment faire, et travaillera dessus de chez lui, pour le re-transferer par sa boite perso le lundi matin. Boite perso qui sera probablement gmail...

[shadowmoon]

700 téléphones sous SecDroid mis en service en 2012...

A ma connaissance, on a pas 700 ministres donc ces messieurs ont largement distribué les téléphones à leurs potes de l'Assemblée et autres du civil :/

Un ministre ne travaille pas tout seul, il a un(e) assistant(e), un(e) chargé(e) de communication, un(e) secrétaire, un chauffeur, des gardes du corps ...

[azmar]

La meilleure securite reste la formation des gens, pas leur supprimer des outils.

Ouai enfin tu à beau apprendre à te servir d'une passoire, ça reste tout de même moins sympa qu'un seau quand tu veux transvaser de l'eau.

Dans le cas présent il est nécessaire de repartir sur des bases saines, et je pense que dire à un utilisateur tu utilise ce système est moins risqué que de le former sur un système qui de toute façon n'est pas sur.

Après une formation sur les principes de précautions de bases ne peut pas nuire.

Azmar

[transgohan]

Voici un exemple vecu :
Installation d'un logiciel sur un serveur d'un fabriquant de materiel militaire. On s'apercoit qu'il faut un patch de l'OS --> Demande d'installation au service informatique qui repond "Cette machine est dans un sous-reseau particulier, impossible de faire quoi que ce soit, debrouillez-vous comme ca."
Solution : envoi du patch OS sur gmail, telechargement du patch sur smartphone, et branchement du smartphone sur un port USB du serveur pour transfert.

Punaise elle est belle celle là... Service informatique incompétent ?
Ou bien le patch n'était pas indispensable ?

Mais je me pose tout de même une question... Sous-réseau particulier = CD/SD ? A priori non vu que ce n'est pas l'équipe info qui a installé le logiciel.
Ne serais-ce pas juste parce que leur outil de télédistribution était incapable de le faire à distance et qu'ils avaient pas le temps de se déplacer ? xD

Toujours est-il que brancher un appareil non autorisé sur du matériel de l'armée... Ne lâches surtout pas de nom ou des têtes vont tomber. ^^

[Homo_Informaticus]

C'est ça de donner des outils à des personnes qui s'en foutent.

J'ai pu travailler 6 mois en ambassade, les télégrammes CD sur des bureaux non verrouillés, les CD saisies sur des machines non sécurisées sur word/gmail puis imprimé pour que quelqu'un d'autre les "retappent" sur les machines sécurisées etc...

On a de bonnes institutions, de bons matériaux et maitrise des risques, mais le tout est utilisé par une élite ENArque qui s'auto-proclament au dessus des lois.

Rappelez leur les règles élémentaires de sécurité, ils vous répondront qu'ils ont pas fait l'ENA pour s’embêter avec des problématiques de techniciens...

[gangsoleil]

Punaise elle est belle celle là...

Peu importe les raisons, c'est un exemple pour montrer l'absurdite de certaines situations imposees par des regles theoriquement securitaires, mais qui sont dans la realite contre-productives.

C'est tres bien de dire "il faut utiliser du materiel plus securise", mais si les ministres s'appellent via skype, tu auras beau utiliser un reseau avec un cryptage militaire et des ordinateurs ultra-securises, les conversations seront en clair sur les serveurs de Microsoft....

Pourquoi pas utiliser SecDroid, c'est surement tres bien. Mais tant qu'on apprendra pas aux collaborateurs (les ministres en font partie hein) les bases de la securite, ca n'est pas tres utile, car leurs actions comportent beaucoup plus de failles que l'OS.
On pourrait commencer par leur supprimer gtalk pour communiquer entre eux par exemple, pour le remplacer par un logiciel maison et securise (niveau de programmation : M1).

[Carhiboux]

Bien sur que les ministres ne vont pas s'y plier...

Eventuellement, ils se tiendront à carreau pendant les conseils de ministres, et avec beaucoup d'efforts quand ils seront sur les bancs de l'assemblée ou du sénat.

Maintenant, hormis ces apparitions publiques, je doute que le comportement change. Surtout que... grosse faille, on ne peut pas installer d'applis sur Secdroid...

Alors comment ils font les ministre pour jouer à Candy Crush, vérifier leurs boites mails perso, leurs comptes en banque (française bien sur :p), aller sur leur page facebook, etc...

Bref, toutes ces choses à première vue inutile mais que tellement de gens font tous les jours du bureau. (soit avec leur PC de travail soit avec leur propres smartphone)

[Jarodd]

Pas grave, ils feront passer les infos pro sur les téléphones perso...

[s4mk1ng]

Que pensez-vous de ces mesures ? Les ministres vont-ils s'y plier

Moui pas forcément le mieux à faire....
Il faudrait plutôt les former quand on voit que ces même ministres vont devoir prendre des décisions sur ces technologies, la protection des données,etc...

[azmar]

Bien sur que les ministres ne vont pas s'y plier...

Eventuellement, ils se tiendront à carreau pendant les conseils de ministres, et avec beaucoup d'efforts quand ils seront sur les bancs de l'assemblée ou du sénat.

Maintenant, hormis ces apparitions publiques, je doute que le comportement change. Surtout que... grosse faille, on ne peut pas installer d'applis sur Secdroid...

Alors comment ils font les ministre pour jouer à Candy Crush, vérifier leurs boites mails perso, leurs comptes en banque (française bien sur :p), aller sur leur page facebook, etc...

Bref, toutes ces choses à première vue inutile mais que tellement de gens font tous les jours du bureau. (soit avec leur PC de travail soit avec leur propres smartphone)

Eu ok mais :

Je cite la news:"La lettre, qui liste les consignes à suivre pour outrepasser l’espionnage, demande aux ministres de ne plus utiliser leurs smartphones « pour les communications sensibles, s'ils ne sont pas équipés d'un dispositif de sécurité agréé »."

On leur demande de ne pas utiliser des appareils non sécurisés pour des communications sensibles. Personne n'a parlé de les empêcher d'aller voir leur compte en banque ou de parler à bobonne sur skype.

Comme écrit dans la news ils ne sont pas sensés utiliser de matériel non sécurisés pour du sensible, à priori sur un tel matériel tu ne permet pas l’installation de skype.


Azmar

[gangsoleil]

On leur demande de ne pas utiliser des appareils non sécurisés pour des communications sensibles. Personne n'a parlé de les empêcher d'aller voir leur compte en banque ou de parler à bobonne sur skype.

Comme écrit dans la news ils ne sont pas sensés utiliser de matériel non sécurisés pour du sensible, à priori sur un tel matériel tu ne permet pas l’installation de skype.

Ca me fait penser aux entreprises qui ont d'un cote les ordinateurs connectes a l'internet, et de l'autre les ordi "sensibles", sur lesquels il y a par exemple le code. Du coup, lorsque tu developpes et que tu as besoin de faire une recherche, tu vas sur l'autre machine, puis tu reviens a ton poste pour faire le developpement.

En theorie, cette isolation est ideale niveau securite. Sauf que si tu regardes ce qui se passe dans la vraie vie, les developpeurs passent leur temps a copier des trucs sur clefs USB d'un poste a l'autre. Et meme avec des anti-virus puissants, la probabilite de copier une cochonnerie sur les postes de prod est assez grande...

C'est la meme chose avec les ministres. Oui, pour les reunions officielles, ils vont utiliser le truc securise. Mais pour appeler JP pour savoir s'il vient jouer au golf vendredi, ils vont utiliser un appareil non-securise, plus facile a utiliser. Et ils profiteront de la conversation pour lui demander ce qu'il pense du dernier dossier, et hop, conversation pro sur des lignes non securisees.

[Traroth2]

Voici un exemple vecu :
Installation d'un logiciel sur un serveur d'un fabriquant de materiel militaire. On s'apercoit qu'il faut un patch de l'OS --> Demande d'installation au service informatique qui repond "Cette machine est dans un sous-reseau particulier, impossible de faire quoi que ce soit, debrouillez-vous comme ca."
Solution : envoi du patch OS sur gmail, telechargement du patch sur smartphone, et branchement du smartphone sur un port USB du serveur pour transfert.

Est-ce que c'est une solution securisee ? Bien sur que non. Et lorsque je-ne-sais quel conseiller va vouloir travailler sur un dossier, il se l'enverra sur sa boite perso, sans le crypter car il ne sait pas comment faire, et travaillera dessus de chez lui, pour le re-transferer par sa boite perso le lundi matin. Boite perso qui sera probablement gmail...

Ou un exemple que beaucoup ont déjà vécu, j'imagine : les boîtes qui obligent à changer son mot de passe perso tous les X jours. Résultat ? Tout le monde choisit un mot de passe facile à retenir !

La sécurité, ça ne revient pas à imposer un maximum de contraintes en se disant que ça va compliquer la tâche aux personnes malveillantes...

[gabriel.klein]

"Dans la mesure où les communications ne passent pas dans un tuyau étranger, il n'y a rien à décrypter."

Je ne suis pas si sur...

Quand vous allez sur un site de votre pays, vous passez certainement pas un routeur CISCO. Est-ce que la NSA a un mode "spécial" pour rediriger votre trafic sur un autre serveur + un contrat avec une société comme verisign pour pouvoir décoder (et fausser) votre transfert sécurisé.

En théorie c'est possible... et la NSA pour l'instant dépasser la théorie.