Art Coviello, RSA : « personne ne tire avantage des cyberarmes »

LeMagIT : Quel impact les allégations de collusion de RSA avec la NSA ont-elles eu sur vos activités ?

Art Coviello : Presqu’aucun. Nous avons aidé quelques clients à corriger leur situation. Mais en raison de notre empreinte limitée dans le chiffrement, nous n’avons eu que peu de demandes. Nous clients vont bien. Et il n’y a eu aucun impact sur nos activités commerciales.

Quel regard portez-vous sur le TrustyCon, présentée par certains comme un contre-événement à RSA Conference ?

Dans ce pays, tout le monde est libre de son opinion et a le droit de l’exprimer. Mais je me concentre sur RSA Conference, qui promet d’être la plus importante édition de son histoire, avec une participation en progression de 10 à 20 %. Nous sommes très enthousiastes.

En quoi estimez-vous que le monde numérique souffre d’un manque de règles de vie en société ?

Ce n’est pas une idée originale. Il s’agit d’un sentiment qui a évolué et qui est devenu de plus en plus prégnant. J’avais cette année la volonté de relever le débat, d’évoquer non pas seulement la technologie mais la manière dont les nations se comportent entre elles, les gouvernements avec leurs citoyens, les entreprises avec leurs clients, et même les individus entre eux.

Nous adorons la possibilité d’acheter en ligne, de chercher sur Internet. Et dans une certaine mesure, nous acceptons un certain niveau de datamining pour recevoir la publicité ciblée. Mais à mesure que le ciblage s’étend, nous nous inquiétons : jusqu’à quel point Google et Amazon nous connaissent-ils ? Cela devient un peu préoccupant. Nous avons besoin de normes de conduite. Car si nous aimons utiliser Google et Amazon, nous n’aimons pas que nos données personnelles puissent être exploitées n’importe comment.

Le rapport des nations à leurs citoyens, dans le monde numérique, ne semble pas encore très clair, la tentation du contrôle de masse semblant parfois très prégnante…

Le droit à la vie privée ne s’étend pas au droit de télécharger de la pornographie infantile sur Internet. Mais dans le rapport entre gouvernement et citoyens, Internet permet de simplifier de nombreux services, tels que le renouvellement de permis de conduire, ou de pièces d’identités, par exemple. Mais personne ne veut de nations qui puisent dans les données personnelles de leurs citoyens pour se comporter comme un Big Brother.

Et là aussi, nous avons besoin de normes de comportement. Et nous devons nous assurer que nous ne permettons pas aux gouvernements d’aller trop loin. Ce qui implique une certaine prudence dans la traduction de règles du monde physique au monde numérique : le monde physique a des limites que n’a pas le monde numérique. Et il faut tenir compte de ces différences. S’il n’y avait pas ces différences, nous n’aurions pas besoin de normes de conduite spécifiques au monde numérique. Et je pense que nous en avons besoin.

Et pour les relations entre nations ?

Je ne pense pas obtenir des nations qu’elles arrêtent de s’espionner, peu importe à quel point je milite pour cela. On dit bien que l’espionnage est le second plus vieux métier du monde. Cela dit, je n’ai aucune idée duquel est le premier. Plus sérieusement, les nations s’espionnent mutuellement continuellement. Simplement : dans le monde du numérique, jusqu’où devraient-elles être autorisées à aller ? Devraient-elles pouvoir espionner et voler de la propriété intellectuelle ? Devraient-elles pouvoir espionner et obtenir des informations sur, par exemple, les ressources pétrolières présentes dans les sols d’une autre ? Où s’arrête l’espionnage normal ? Et à partir d’où commence-t-il à flirter avec l’acte de guerre ? Ces normes doivent être discutées à un niveau international.

Si, en tant que nation, je parachute des troupes dans la Silicon Valley. Qu’elles volent des codes sources, des graphiques techniques, sans tuer personne, puis s’échappent et rentrent en leurs frontières. Est-ce que je commets un acte de guerre ? Le fait est que ce serait appréhendé comme tel. En quoi le faire en ligne est-il différent ?

Mais il y a déjà eu des travaux visant à la définition d’un code de la guerre numérique…

Les processus suivant lesquels nous développons ces normes, au travers de grandes entités internationales, avancent trop lentement. En tant qu’industrie, nous devons avancer et entrainer dans notre sillage les politiques, plus rapidement.
Il a fallu au gouvernement américain cinq ans, début 2000, pour ratifier la convention européenne contre le cybercrime. Cinq ans à l’heure d’Internet ! Nous devons avancer plus vite !

Pensez un peu aux armes numériques que j’ai évoquées. On pourrait penser que je suis naïf d’imaginer que les nations vont abandonner les cyberarmes. Mais que ce passera-t-il quand les terroristes mettront la main sur ces armes. Que se passera-t-il dans dix ou quinze ans lorsque l’Internet des objets ne sera plus constitué d’un milliard d’objets connectés, mais de deux cents voire trois cents milliards d’entre eux ? Et qu’un enfant, dans son sous-sol, développera une attaque destructrice et la lancera de chez lui sans réaliser ce qu’il est en train de faire ? Ne pensez-vous pas que l’on doive parler de ça ?

Le point clé est que les cyberarmes peuvent être retournées contre leurs créateurs. Et l’on ne peut pas accepter cette perspective

Toutefois, sécuriser les systèmes d’informatiques apparaît comme un véritable défi, dans certains secteurs dépourvus de culture de la sécurité…

Je ne pense pas qu’il soit impossible de sécuriser les Scada. Je n’appellerais pas forcément à une régulation. Mais nous avons besoin de frameworks pour l’industrie. Je  pense que nous pouvons sécuriser les systèmes Scada. Est-ce que cela demande de revenir sur des décennies de développements ? Non. L’exposition de ces systèmes vient de leur ouverture au monde de l’IP. Nous devons donc leur appliquer les mesures de protection qui concernent tous les systèmes IP. Mais je pense que l’on ne peut pas tolérer la négligence dans la mise à niveau de la sécurité des systèmes d’infrastructure critiques.

Et cela s’applique aussi aux systèmes médicaux. Le sujet a même été au coeur d’un épisode de la série télévisée Homeland, avec une attaque informatique conduite sur le pacemaker d’un officiel du gouvernement américain. Tout ce qui est ouvert à IP est une cible potentielle.

Vous vous faites donc l’avocat d’un renoncement aux armes informatiques…

Nous avons interdit la guerre des étoiles, les armes chimiques, et signé des traités de non prolifération nucléaire… Pourquoi ne pas procéder de manière comparable avec la cyberguerre ? Les traités devront être évidemment différents. Car, encore une fois, on ne peut pas transposer directement dans le monde numérique ce que l’on a fait dans le monde physique. Et ce sera difficile. Notamment du fait des difficultés d’attribution des actions en ligne.

Je suis peut-être idéaliste, mais je suis aussi un pragmatique. Plus il y aura de gens qui comprennent ce qui se passe et quels sont les risques, plus on comprendra que c’est un match nul dans lequel personne ne retire d’avantage. Une fois que les gouvernants auront compris, non seulement ils refuseront ces armes pour eux-mêmes, mais aussi pour les terroristes et pour l’enfant, qui joue dans son sous-sol.