pogonici/Shutterstock

Vous disposez de nombreuses casquettes, expliquez-nous un peu quelle est votre activité dominante ?

Ma principale activité en ce moment, c’est que je suis directeur du LINCS**, laboratoire de recherche mixte, industriel et académique. Nous couvrons un large spectre sur les technologies de l’information et des communications. Alcatel Lucent, un des acteurs majeurs du domaine, finance le laboratoire avec des partenaires académiques : l’Institut Mines-Télécom, l’INRIA, l’Université Pierre et Marie Curie. Je suis également membre du comité scientifique de l’Office parlementaire d’évaluation des choix scientifiques et technologiques (OPECST) et professeur à Telecom Paristech. J’exerce aussi diverses activités industrielles, en particulier comme consultant expert pour diverses entreprises.

Durant le colloque sur la cybersécurité du 22 février, les députés, les sénateurs et le président de l’Anssi (Agence nationale de la sécurité des systèmes d’information) semblaient d’accord pour dire grosso modo : “les Etats-Unis sont les meilleurs”, “la Chine nous inquiète” et “nous sommes à la traine en France”…

Ce commentaire pointait les entreprises qui aujourd’hui détiennent les données des usagers. Là, on parle par exemple de Google aux Etats-Unis, ou d’un acteur local en Chine (Baidoo). En Europe, il n’y a ni acteur global, ni acteur local de poids significatif. Facebook et Twitter sont également des entreprises américaines, par conséquent, les données générées par les usagers tombent dans les mains d’entreprises qui ne sont pas européennes.

Le sénateur UDI Jean-Marie Bockel a insisté sur la nécessité de sécuriser les “routeurs de cœur de réseau”. Pouvez-vous nous en dire plus ?

Un routeur, c’est un équipement responsable de l’acheminement des informations d’un point à un autre, par exemple entre vous, simple internaute, et un centre de données de Google ou de Facebook. Les principaux constructeurs de routeurs de cœur de réseau ne sont pas européens. Une des craintes est que ce type d’équipement puisse observer les informations qui circulent et donc les espionner. Il nous faut un contrôle sur les composants critiques.

Pourquoi semblez-vous particulièrement préoccupé par les “terminaux personnels”, c’est-à-dire les tablettes ou les smartphones ?

Ce qui va se passer demain, c’est qu’on aura des réseaux à la périphérie de l’Internet. On disposera par exemple de réseaux corporels, composés notamment d’équipements avec des capteurs, capables de “monitorer” (surveiller) l’état de santé. Nos smartphones ou nos tablettes seront utilisés comme passerelles entre le réseau corporel, ou le réseau environnant quel qu’il soit, et le reste de l’infrastructure. Les smartphones et tablettes porteront ainsi de nombreuses informations et “contenus critiques” liés notamment à l’identité des citoyens.

Même un pacemaker pourrait être géré depuis un smartphone ?

La possibilité existe. Pour de nombreuses maladies, ça change le paradigme médical. Car aujourd’hui, vous allez chez le médecin, il regarde votre état de santé puis vous partez chez vous. Il n’y a pas de suivi continu. Vous revenez, vous dites “je me sens mieux” ou “je me sens mal”. Grosso modo, il faut qu’il devine ce qu’il s’est passé entre deux visites. Tandis que là, avec les capteurs qu’on va porter sur soi, le centre médical, quel qu’il soit, sera informé en permanence de l’évolution de votre santé et donc de l’efficacité des traitements que vous subissez. C’est bien plus intéressant.

La moindre faille de sécurité devient donc vitale pour un individu équipé d’un tel réseau corporel…

Cela pose effectivement de sérieux problèmes de cybersécurité. Car ces données pourraient être lues par des tiers, avec les conséquences que l’on peut imaginer. Pire encore, si vous portez une pompe à insuline sur vous et que quelqu’un en prend malicieusement le contrôle, on peut vous tuer en ligne.

Comment faire pour que ce contrôle biologique, c’est-à-dire quasi total, demeure un choix personnel ?

Il faut que l’individu ait la possibilité de refuser un suivi de ce type. Ce qu’il faut voir, c’est que l’usager aura un certain nombre d’avantages. Notamment sur sa santé. Imaginez une personne diabétique. On va mesurer en permanence son niveau de sucre dans le sang et elle aura une pompe à insuline gérée à distance par un centre médical. Cela va simplifier la vie des malades et certains auront le désir d’être suivis de cette manière là. Ils ne le feront pas si leur sécurité n’est pas assurée.

Le marché des smartphones et des tablettes étant dominé par quelques grands acteurs (Samsung, Apple, Google, Huawei…), qui assurera leur cybersécurité ?

C’est le même problème que pour les cœurs de réseaux. Il faudrait que des acteurs européens soient mieux positionnés sur ces marchés, cela ne va pas être simple.

Que l’entreprise soit européenne ne changerait pas grand chose…

Il faut donc se donner les moyens de détecter et contrôler les équipements malicieux, les espions. Et que l’on puisse intégrer dans ces dispositifs, tablettes ou smartphones, les moyens nécessaires. De la même manière que sur un ordinateur vous installez un antivirus. Ces solutions ne sont pas fiables à 100%. C’est là où il est très important d’avoir une approche où l’on introduit la cybersécurité dès la conception des composants des équipements et non pas a posteriori.

On pourrait imaginer une régulation qui impliquerait les opérateurs et les constructeurs sur la disponibilité pour les citoyens de certains outils de protection, de la même manière que des règles existent, dans certains pays, pour la sécurité des véhicules. C’est un véritable problème pour lequel les solutions sont loin d’être disponibles.

Hier, vous avez également tenu à aborder le problème du “Big data” (“grosses données”) et des algorithmes. Pouvez-vous développer ?

La situation est la suivante. Quand vous faites une recherche sur le web, vous avez un certain nombre de réponses. Ces réponses ne sont pas triées dans un ordre aléatoire, mais parfois influencées par des intérêts commerciaux. On est donc en train d’induire des comportements chez les citoyens via ces moteurs de recherches. Demain, ces moteurs de recherche seront beaucoup plus intelligents. On parle de “web sémantique”. Les internautes poseront des questions plus ou moins sophistiquées et un système intelligent fournira des réponses.

Vous avez un exemple concret en tête ?

Prenez une personne cherchant à partir en vacances. Elle décrit en langage parlé ce qu’elle voudrait faire. Le système va faire une recherche sur des bases de données très larges et hétérogènes. C’est là où le big data joue un rôle intéressant. L’algorithme va interroger des données non structurées que l’on trouve sur le web et faire un tri pour ne donner que quelques réponses à l’usager. Ces réponses-là pourraient être influencées par des acteurs commerciaux. Dans ce cas, les entreprises qui ont à disposition des grandes masses de données, en s’appuyant sur une algorithmique sophistiquée et une grande puissance de calcul, pourront fournir des réponses potentiellement biaisées. Et pour démontrer que ces algorithmes sont biaisés, cela va s’avérer très complexe… Donc il faut, a minima, éduquer les citoyens dès le plus jeune âge pour qu’ils ne croient pas que la première réponse obtenue est forcément la meilleure.

Un point faible demeure quoi qu’il arrive.

Tout à fait. On peut se protéger, mais il n’y a jamais une protection certaine. Et on est aujourd’hui très loin d’avoir une protection satisfaisante.

propos recueillis par Geoffrey Le Guilcher

*directeur du LINCS. Créé en 2011, ce laboratoire de 80 chercheurs travaille sur les technologies de l’information et des communications.

**LINCS : (Laboratory of Information, Networking and Communication Sciences) Laboratoire des sciences de l’information, des réseaux interconnectés et de la communication.

Cet article est repris du site http://www.lesinrocks.com/2013/02/2...