Lizzie Crowdagger, écrivaine holistique

Au Cana­da, le gou­verne­ment a annon­cé inter­dire l’im­por­ta­tion du Flip­per Zero pour réduire les vols de voitures. En France, il refuse de pub­li­er le code source de Par­cour­sup, en met­tant en avant de nom­breuses failles de sécu­rité. Ces deux cas relèvent de ce qu’on appelle la sécu­rité par l’ob­scu­rité. À moins que ça ne soit l’inverse ?

Le Canada, Flipper Zero et les voitures

Après une recrude­s­cence de vol de voitures, le gou­verne­ment cana­di­en, via la voix (ou plutôt un tweet) de son min­istre de l’in­no­va­tion, des sci­ences et de l’in­dus­trie, a :

annon­cé que nous inter­di­sions l’im­por­ta­tion, la vente & l’u­til­i­sa­tion de dis­posi­tifs de piratage, comme les “flip­pers”.

François-Philippe Cham­pagne, sur Twitter

Le Flip­per Zero est un petit dis­posi­tif plutôt mignon, qui ressem­ble à l’en­fant d’une clé USB et d’un tam­agotchi, qui se présente comme un « appareil mul­ti-out­ils pour geek » et est un engin pra­tique pour faire jou­jou avec des puces RFID ou NFC, du Bluee­tooth, de l’in­frarouge et tout un tas d’autres choses aux­quelles je dois admet­tre ne pas for­cé­ment tout comprendre.

Il est apparem­ment très pra­tique pour le pen test­ing, ou test de péné­tra­tion, qui con­siste à éval­uer la sécu­rité d’un sys­tème informatique.

Le prob­lème, évidem­ment, c’est lorsqu’on pro­duit un sys­tème infor­ma­tique très mal sécurisé et qu’on n’a jamais pen testé.

Quoi qu’il en soit, les capac­ités réelles du Flip­per Zero, aus­si adorable soient-ils, sem­blent tout de même légère­ment fan­tas­mées : n’e­spérez pas acquérir cet engin pour pou­voir démar­rer n’im­porte quel voiture ou dupli­quer la carte ban­caire de votre oncle (mais, avec un peu de chance, vous arriverez à ouvrir la trappe à recharge­ment d’une Tesla).

Alex Kula­gin, le directeur des opéra­tions de Flip­per Zéro, a ain­si déclaré pour Giz­mo­do :

Flip­per Zero ne peut pas être util­isé pour vol­er une quel­conque voiture, et spé­ci­fique­ment pas celles pro­duites après les 1990s, car leurs sys­tèmes de sécu­rité ont des codes tour­nant. Par ailleurs, cela requer­rait de blo­quer active­ment le sig­nal depuis le pro­prié­taire orig­i­nal, ce que le matériel de Flip­per Zero est inca­pable de faire. Flip­per Zero est des­tiné au développe­ment et aux tests de sécu­rité et nous avons pris les pré­cau­tions néces­saires pour nous assur­er que l’ap­pareil ne puisse pas être util­isé à des fins néfastes. 

Per­son­nelle­ment, ce que je met­trais surtout en avant, c’est que si un con­struc­teur met sur le marché une voiture qui peut être piratée aus­si facile­ment, alors sa respon­s­abil­ité devrait claire­ment être engagée et c’est plutôt elle qui porte une lourde part de respon­s­abil­ité que le vendeur d’un gad­get électronique. 

(Sources : Vice, Giz­mo­do)

La France, la transparence et Parcoursup

En atten­dant, en France, vous avez tou­jours le droit (pour l’in­stant) de com­man­der un Flip­per Zero, mais comme je n’ai pas de lien affil­ié avec Ama­zon ou un autre vendeur, je ne vais pas for­cé­ment vous recom­man­der de le faire (per­son­nelle­ment, j’avoue que j’ai fail­li craque l’été dernier parce que c’est vrai­ment mignon et cool, mais, soyons hon­nête, je m’en serais peut-être servie deux heures). Ce qui n’empêche pas cette approche par­ti­c­ulière de la sécu­rité infor­ma­tique, con­sis­tant à essay­er de cacher les prob­lèmes sous le tapis, d’être aus­si présente dans l’ac­tu­al­ité hexagonale.

Récem­ment (enfin c’é­tait en novem­bre mais on n’en a par­lé que récem­ment), en effet, la jus­tice a don­né rai­son au min­istère de l’en­seigne­ment supérieur et de la recherche qui refu­sait de pub­li­er le code source de Par­cour­sup (arti­cle ZDNet), mal­gré un avis favor­able de la CADA (Com­mis­sion d’Ac­cès aux Doc­u­ments Admin­is­trat­ifs) après une demande de l’as­so­ci­a­tion Ouvre Boite.

La rai­son invo­quée par le min­istère est quelque peu croustil­lante, puisqu’on peut lire dans la déci­sion de jus­tice que le min­istère met­tait en avant que « le code source com­por­tait de nom­breuses vulnérabilités ». 

Nulle doute que tous les élèves qui sont obligé·e·s de con­fi­er toutes leurs don­nées per­son­nelles (ain­si que leur avenir) à cette boite noire seront heureu·x·ses d’ap­pren­dre que le gou­verne­ment lui-même dit que son sys­tème est troué comme du gruyère. 

L’obscurité par la sécurité

Au départ, j’avais envie de met­tre ces deux actu­al­ités en par­al­lèle, parce qu’il me sem­blait que, dans les deux cas, il s’agis­sait d’une approche de sécu­rité par l’ob­scu­rité, qui con­siste à baser sa sécu­rité non pas sur la robustesse des algo­rithmes de cryp­togra­phie, mais sur le fait qu’ils sont tenus — plus ou moins — secrets.

Pour­tant, dans le cas de Par­cour­sup, il me sem­ble assez prob­a­ble que la sécu­rité ne soit, en réal­ité, qu’un pré­texte pour que le code source en ques­tion ne soit pas ren­du acces­si­ble, et ce mal­gré l’avis de la CADA. Il y a quelques mois, La Quad­ra­ture du Net avait pub­lié des analy­ses de l’al­go­rithme de la CAF qui mon­traient son car­ac­tère dis­crim­i­nant. On peut raisonnable­ment sup­pos­er que le gou­verne­ment n’a pas for­cé­ment envie que l’al­go­rithme de Par­cour­sup soit scruté de la même manière.

Mais même pour le cas cana­di­en, il est évi­dent qu’in­ter­dire l’im­por­ta­tion du Flip­per Zero ou autres engins équiv­a­lents (ce qui parait com­pliqué, parce qu’un smart­phone jail­breaké per­met déjà de faire pas mal de choses sim­i­laires) ne per­me­t­tra prob­a­ble­ment pas de réduire le nom­bre de voitures volées, et qu’il s’ag­it plutôt d’un moyen facile pour un politi­cien de faire croire qu’il agit.

Et, con­cer­nant la sécu­rité, il est évi­dent qu’il n’y a pas que dans le domaine de l’in­for­ma­tique que des politi­ciens aiment bien utilis­er ce pré­texte pour se met­tre en avant et ne pas avoir à répon­dre sur les ques­tions gênantes.

Bref si la sécu­rité par l’ob­scu­rité est une approche aux résul­tats plus que mit­igés, l’ob­scu­rité par la sécu­rité a, elle, de beaux jours devant elle.