Depuis que le gouvernement a évoqué StopCovid, cette application fait beaucoup parler d’elle. Elle est disponible depuis le 2 juin. Un bug Bounty a permis de repérer quelques failles de sécurité et des doutes subsistent quant à la confidentialité des données.
Au-delà de ces inquiétudes, StopCovid soulève une question : développer une application souveraine est-il un gage de réussite ?
OS souverain
Force est de constater que la volonté de développer une solution souveraine n’a (jusqu’à présent) pas été concluante. « Contrôler les ressources internet, limiter l’hégémonie de puissances étrangères, mieux contrôler la protection des données individuelles… » telles sont quelques-unes des préoccupations de la souveraineté numérique.
Les premières évocations remontent au début des années 2000. Le PDG de la radio Skyrock, Pierre Bellanger, avait popularisé cette notion par le biais d’un livre, La Souveraineté numérique (Stock, 2014).
Différents États tentent de relever ce défi. Pour les États-Unis, cet objectif est plus facile à atteindre puisqu’ils sont leaders dans le domaine de l’informatique (et récemment, le fabricant de processeurs Intel a annoncé sa volonté de déployer plus d’usines sur le sol américain pour que les USA soient moins tributaires des pays asiatiques…).
Pour l’Europe et la France, cet objectif est plus délicat à atteindre. En 2016, le principe de la création d’un « OS souverain » est évoqué. Développer un système d’exploitation comme alternative à Windows est une tâche colossale et très risquée.
« Cela représente une quantité de logiciels astronomique, que ne peuvent réaliser que de très grosses entreprises comme Microsoft, ou bien les myriades de développeurs du logiciel libre. Le futur ‘Commissariat à la Souveraineté Numérique’ [en réflexion depuis 2017, il serait chargé de réfléchir à la souveraineté nationale et aux droits et libertés individuels, NDLR] n’aura certainement pas les moyens de financer un tel développement. Clamer ‘on va écrire un système d’exploitation’ est donc une vantardise ridicule », prévient sur son blog Stéphane Bortzmeyer, spécialiste en réseaux et informaticien.
Pourtant depuis 2006… l’ANSSI développe un OS « multiniveau » ultra-sécurisé : Clip OS. Mais l’agence officielle de sécurité précise qu’il « n’existe actuellement pas de version prête à l’emploi pour les utilisateurs ».
Seuls quelques pays, plus ou moins fermés et autoritaires, pourraient remplacer l’hégémonique Windows par un système d’exploitation souverain. C’est le cas de la Russie avec son Astra Linux, de la Chine et de la Corée du Nord (dès la fin des années 90). Dans les trois cas, il s’agit de versions modifiées de distributions GNU/Linux.
Un cloud franco-français
La France a aussi tenté de mettre en place un cloud souverain afin que des données sensibles ne soient plus hébergées dans les datacenters des géants américains comme Amazon ou chinois comme Alibaba.
C’est ainsi qu’est né Numergy en 2012, dans le cadre d’un partenariat entre SFR et Bull. Un projet de 225 millions d’euros financé à hauteur de 75 millions d’euros par l’État. Un projet similaire avait été mis en œuvre par Orange et Thalès appelé Cloudwatt. Mais en 2015, les deux projets sont abandonnés… Principales causes : des désaccords des actionnaires sur la stratégie d’investissement et d’importants déficits.
En avril 2018, un communiqué officiel du gouvernement français indique que « d’ici l’été [2018, NDLR], l’État disposera de sa propre messagerie instantanée, alternative aux applications WhatsApp et Telegram. Elle garantira des échanges sécurisés, chiffrés de bout en bout, sans dégradation de l’expérience utilisateur. »
Baptisée Tchap et destinée aux agents de l’État, elle a été lancée en avril 2019. À peine était-elle disponible que la première vulnérabilité avait été repérée par un expert en sécurité. La faille avait été corrigée dès le lendemain.
Depuis, la Direction interministérielle du numérique et du système d’information et de communication de l’État (DINSIC), qui pilote le projet, a pris une sage décision : lancer un système de récompenses (ou bug bounty) pour réduire les risques de sécurité. Officiellement, Tchap est toujours utilisée, mais le gouvernement ne donne aucun détail sur le nombre d’utilisateurs.
Au bout du compte, la majorité des projets de souveraineté numérique ont capoté…
Dans l'actualité
- Taïwan combat le Covid-19 avec le big data
- StopCovid : les défis techniques de l’application de traçage des individus
- Médecine électronique et gestion de la pandémie de Covid-19
- Maladiecoronavirus.fr, une plateforme inédite de dépistage du Covid-19
- COVID-19 : attention aux arnaques informatiques !
- Les cartes indispensables pour suivre la propagation du Covid-19
- Partagez les ressources de votre ordinateur pour aider la recherche sur le COVID19
- Projet d’OS souverain : une fausse bonne idée
- À la chasse aux failles informatiques : le bug bounty expliqué
- Souveraineté numérique : des espaces de données sécurisés et partagés entre les entreprises européennes
- Dans la course à l’informatique quantique, l’Europe risque de prendre trop de retard
- Les failles de cybersécurité dites « 0-day » ne connaissent pas la crise
Dans les ressources documentaires
- Sécurité informatique pour la gestion des risques - Application aux systèmes d’information
- Sécurité informatique pour la gestion des risques - Application aux systèmes scientifiques et techniques
- Sécurité de l'informatique en nuage
- Étude et avenir de la sécurité des solutions de virtualisation
- Introduction au Big Data - Opportunités, stockage et analyse des mégadonnées