Rapport d’alerte BSI : Appel à un institut fédéral indépendant pour la sécurité informatique

Les vulnérabilités dans le matériel et les logiciels ont été identifiées comme l’un des plus grands dangers par l’Office fédéral de la sécurité de l’information (BSI) dans son rapport d’état actuel sur la sécurité informatique. Toutefois, le BSI ne mentionne pas le fait que les services secrets et les organismes chargés de l’application de la loi laissent parfois délibérément ouvertes de telles failles de sécurité et – toujours selon la stratégie révisée du gouvernement allemand en matière de cybersécurité – sont autorisés à les exploiter, par exemple pour l’utilisation de chevaux de Troie d’État.

Maintenant que le BSI a déclaré l’alerte rouge – du moins dans certains domaines – les experts des milieux scientifiques, politiques et industriels discutent de ce qui peut être amélioré et de la manière dont l’autorité, qui gagne en importance, devrait être positionnée. « Si des failles de sécurité sont délibérément laissées ouvertes, ce n’est qu’une question de temps avant qu’elles ne soient exploitées de manière malveillante », prévient par exemple Tibor Jager, professeur de sécurité informatique et de cryptographie à Wuppertal. Espérer que seuls les « bons » trouveront une vulnérabilité est « complètement naïf et irréaliste » : « À cet égard, chaque brèche laissée ouverte est une bombe à retardement.

Trop souvent, les juristes politiques considèrent que les intérêts de la sécurité nationale priment sur la sécurité informatique, a déclaré Dennis-Kenji Kipker, professeur de droit de la sécurité informatique à Brême, au Science Media Center. Avec cette justification, des pouvoirs d’intervention toujours plus étendus sont créés. « On devrait en fait savoir depuis longtemps que l’accès en ligne aux systèmes informatiques en particulier doit répondre aux plus hautes exigences constitutionnelles et ne devrait donc légitimement être envisagé que dans des cas absolument exceptionnels ».

La mise en balance actuelle des intérêts « ne rend pas du tout justice à ce principe », déplore M. Kipker. Actuellement, l’État garde ouverte l’option d’un très petit nombre d’interventions potentielles visant à « affaiblir d’innombrables systèmes informatiques dans leur ensemble en traitant de manière incohérente les failles de sécurité ». Il ne faudrait pas « que les autorités sous l’égide du ministère fédéral de l’intérieur promeuvent la sécurité informatique d’une part, mais la sapent activement d’autre part ». Il serait seulement cohérent de prévoir une obligation immédiate de signaler toutes les failles de sécurité dont l’État a connaissance et de ne pas exploiter les failles pour compromettre délibérément les systèmes informatiques.

Martin Schallbruch, directeur de l’Institut de la société numérique à l’École européenne de management et de technologie (ESMT), estime qu’étant donné que l’ensemble de la préparation des crimes graves se fait de plus en plus par le biais de communications cryptées, les autorités chargées de la sécurité doivent prendre des contre-mesures. Un instrument important pour cela est de « pénétrer les systèmes informatiques de ces criminels présumés ». À cette fin, on utilise des outils « qui sont nécessairement basés sur des failles de sécurité ». À cet égard, il existe un intérêt légitime de l’État dans l’utilisation de ces vulnérabilités.

En outre, il est important de protéger les citoyens et les entreprises contre les cyberattaques et de combler les lacunes en matière de sécurité, sait l’ancien directeur informatique du ministère fédéral de l’intérieur (BMI). Si l’État a connaissance de vulnérabilités particulièrement graves, « il faut les combler rapidement en informant le fabricant ». Toutefois, cela ne s’applique pas à toutes les lacunes utilisées par les enquêteurs et les agents.

Selon Schallbruch, le fait que les autorités soient subordonnées à un ministère – comme dans le cas du BSI au BMI – sert à « assurer un contrôle démocratiquement légitimé de l’administration à l’aide de la responsabilité politique du gouvernement et du contrôle par le parlement ». Dans le cas du BSI, par exemple, cela n’interfère pas avec son mandat légalement défini. Par exemple, il doit signaler les failles de sécurité au fabricant « et ne peut les retenir ».

Néanmoins, le public « a définitivement un intérêt pour des conseils sur les questions de sécurité informatique qui soient indépendants du gouvernement et de la politique », explique le futur directeur de Govdigital, une coopérative spécialisée dans les services administratifs numériques. Comme dans le domaine de la sécurité alimentaire, par exemple, cela pourrait être organisé « par la création d’un institut fédéral pour la sécurité informatique indépendant des instructions à côté du BSI ». Cet institut devrait fournir des conseils scientifiques, mais n’avoir aucun pouvoir opérationnel et n’imposer aucune amende.

Dans les prochaines années, « le système confus existant des institutions étatiques pour la protection de la sécurité informatique dans son ensemble doit être évalué de manière critique », demande Sebastian Golla, professeur junior de criminologie, de droit pénal et de recherche sur la sécurité à l’ère numérique à Bochum. Le BSI, qui est issu d’un bureau du Service fédéral de renseignement, ne peut pas assumer toutes les tâches liées à la fourniture de la sécurité informatique. Elle s’est vue attribuer de nombreux nouveaux pouvoirs ces dernières années. Toutefois, lorsqu’il s’agit de traiter les vulnérabilités, il serait préférable « d’affecter des institutions qui contrôlent les domaines d’activité des autorités de sécurité et des services de renseignement qui sont sensibles aux droits fondamentaux dans leur ensemble ».

La situation à haut risque inchangée en Allemagne dans le secteur des technologies de l’information montre clairement qu’une « stratégie de sécurité informatique rigoureuse » est enfin nécessaire, a souligné le porte-parole du groupe parlementaire FDP pour la politique technologique, Mario Brandenburg. Afin de pouvoir réagir de manière plus agile aux situations dangereuses à l’avenir, il est nécessaire d’instaurer une obligation de déclaration complète des vulnérabilités de sécurité découvertes. En outre, il est nécessaire de disposer d’un BSI « véritablement indépendant et consultatif ».

Konstantin von Notz, vice-président du groupe parlementaire des Verts, réclame également depuis des années de « véritables mesures proactives » pour plus de sécurité informatique : « Cela inclut notamment la renonciation au commerce étatique des failles de sécurité, le cryptage de bout en bout et le renforcement des structures de surveillance indépendantes. » Norbert Pohlmann, de l’association écologique de l’industrie Internet, a souligné : « Les secteurs privé et public doivent accorder la priorité à la sécurité informatique de manière encore plus intensive qu’auparavant et y réfléchir à tout moment dans tous les projets informatiques. »

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici