C’est ce que disait Eric Filliol ici :
Quelques Extraits d’une interview de Eric Filliol Spécialiste Sécurité de l’ESIA :

" - Comment la France peut-elle assurer sa défense quand elle ne peut pas obtenir des éditeurs fournisseurs de solutions de sécurité IT ou de systèmes d’exploitation, des informations critiques sur le code livré et sur ce qu’il fait vraiment.

Actuellement, nous sommes incapables d’assurer notre souveraineté dans ce domaine. Quand on est condamné à choisir entre les routeurs Cisco (Etats-Unis) ou ceux de Huawei (Chine) sans avoir la capacité d’avoir nos propres routeurs, peut-on vraiment parler de cyberdéfense ?

- Vous considérez qu’il faut inscrire noir sur blanc des capacités pro-actives (d’attaques) dans le Livre Blanc sur la Défense ?

Eric Filiol : Tout à fait. J’aime bien le parallèle entre la cyberdéfense du XXIème siècle et l’apparition de l’arme aérienne au siècle précédent. Au début du XXème siècle, les soldats ont dû lever la tête. Imaginons que la France ait dit à l’époque : « Nous allons rester vertueux. Nous n’allons utiliser que les canons et les batteries anti-aériens. Nous ne développerons pas d’avions pour attaquer. »

C’est exactement la même chose avec la cyberdéfense. Si on veut rester un pays Bisounours et qu’on ne développe pas d’armes adéquates, nous ne serons pas en phase avec la réalité du terrain.

Vous êtes critiques vis-à-vis des solutions antivirus fournies par les éditeurs. Comment relevez la pertinence des outils ?

Eric Filiol : Il est possible de réduire considérablement les risques. Sachant que le risque zéro n’existe pas. La question est de savoir si l’on veut faire de l’argent ou de protéger vraiment les gens. Je pense qu’il faut arrêter de faire des outils antivirus un produit commercial.

C’est le fond du problème. Ce marché important (10 milliards d’euros par an) est alimenté par des acteurs dont les intérêts sont que la menace virale ne disparaisse pas. Une fois la question cernée, vous avez compris le modèle économique mis en place derrière.

Il n’est pas normal qu’un élève de troisième année qui suit mes cours à l’ESIEA puisse FACILEMENT concevoir en quelques minutes un code permettant de contourner un outil antivirus et que l’on a payé 90 euros. On exploite juste l’incurie et le fait que le produit soit commercial.

Je vais aller plus loin : je pense que certaines menaces sont bidons. C’est vrai qu’il existe des virus et que la menace est réelle. Mais, dès lors que l’on demande à voir le code, il nous arrive que des éditeurs n’apportent pas de réponse.

C’est juste du fake pour entretenir la menace ou le marketing de la peur comme disait Pascal Lointier (ex-président du CLUSIF, aujourd’hui décédé). Certains éditeurs alimentent le buzz, comme un acteur russe qui communiquait comme s’il annonçait la fin du monde.

Avec le cas de Flame, on a tout entendu. Y compris des aberrations techniques. Il serait temps d’effectuer de l’audit pour mesurer vraiment l’ampleur de la menace et de voir où l’on en est d’un point de vue technique.

Car, aujourd’hui, qui apporte la contradiction aux éditeurs antivirus ? Ce n’est pas l’Etat qui brille par son silence. Il n’y a pas d’organisme indépendant. Il manque un contre-pouvoir au nom de la souveraineté de l’Etat.

ITespresso.fr : Les terminaux sous Android sont populaires mais l’OS mobile présente de sérieuses failles de sécurité. Qui doit prendre la main pour garantir la sécurité des utilisateurs ? Les opérateurs, les développeurs, les éditeurs ?
Eric Filiol : Je pense à nouveau que c’est à l’Etat de fixer les règles. Est-il normal qu’on laisse les applications choisir à notre place la géolocalisation ? Pour l’instant, le secteur privé a le contrôle. Et l’Etat se tait.

Autant les gens ont compris dans le domaine de la biologie qu’il existe un comité d’éthique, pourquoi ne pas monter un dispositif similaire dans le domaine informatique ? Bien sûr, il existe la CNIL. Mais j’estime que ce n’est pas suffisant.

Je prône un comité d’éthique pour l’informatique, cette informatique qui contrôle désormais nos vies.

Ces questions dépassent le simple cadre informatique. C’est une question sociétale. On se dirige vers un certain totalitarisme en partie à cause de sociétés comme Google, Apple ou Microsoft.

Je pose une autre question : est-il normal que, dans un avenir proche, on court le risque de plus pouvoir acheter un ordinateur tournant sous Linux SEUL sans devoir passer par Microsoft et Intel avant ?

C’est au citoyen dans le cadre d’un Etat fort et démocratique de décider de cela. Ce n’est pas à la sphère du secteur privé de décider ce que seront nos vies.

ITespresso.fr : En préparant l’interview, vous avez émis le souhait de ne pas commenter le sujet sur la confiance ébranlée vis-à-vis du réseau TOR. Sujet de préoccupation que vous aviez pourtant exposé à la presse en 2011. Pourquoi ?

Eric Filiol : A l’époque, des tas de gens ont critiqué nos travaux sans les avoir lus et sans avoir analysé le code source de TOR. Depuis, nous avons trouvé d’autres choses plus graves.

Nous avons transmis les éléments à l’Etat qui nous a demandés de ne plus communiquer sur le sujet.

Source :
http://www.itespresso.fr/eric-filiol-esiea-securite-it-veut-on-faire-de-largent-ou-vraiment-proteger-les-gens-60220.html