Cyberguerre, le retard français – Partie 2 : Que faire ?

« C’est bien d’introduire l’informatique et les réseaux partout (même là où ils n’ont rien à faire), mais encore faut-il avoir des gens compétents et de confiance pour faire tourner tout cela ! Alors que faire ? » (Voir partie 1)

Il faut aller chercher les ressources là où elles sont. Chez les hackers, par exemple, qu’on a tendance à diaboliser à l’excès. Pourquoi ? Parce qu’on ne les comprend pas. Pourtant, contrairement à l’idée reçue et malheureusement véhiculée (surtout en Europe), ce terme ne désigne en aucun cas une personne dotée de mauvaises intentions, à l’inverse du pirate informatique. Un hacker est quelqu’un capable d’analyser en profondeur un système – que ce dernier soit technique (ordinateur, téléphone…), humain, social, ou encore législatif –, de sorte à en comprendre les mécanismes les plus intimes, en privilégiant le résultat sur la méthode (contrairement à l’approche académique). Par définition, un hacker n’hésite pas à s’écarter de toute forme d’orthodoxie, en particulier technique et scientifique, pour parvenir à ses fins. C’est principalement ce trait de caractère, généralement couplé à un certain anticonformisme, un soupçon d’autisme et d’esprit quelquefois perçu, à tort, comme asocial – qui, dans l’opinion générale, fait à tort du hacker une personne peu recommandable.

Cette méconnaissance est toutefois à moduler selon les pays et les cultures. Le monde anglo-saxon, contrairement au monde latin, a toujours manifesté un intérêt pragmatique vis-à-vis des hackers. C’est également le cas de l’Allemagne qui, depuis les années 80, a su intelligemment s’appuyer sur la communauté des hackers allemands et qui, dans le domaine de l’informatique, a su mieux, ou moins mal, anticiper la pénurie gravissime qui s’annonce. Mais ils ont su aussi ne pas sacrifier à la compétence les valeurs fondamentales qu’exigent les métiers de la sécurité informatique : éthique et loyauté. Ce qui passe, entre autres choses, par une gestion humaine et managériale dans les deux sens : si les hackers ont des droits, et notamment celui de la reconnaissance, ils ont aussi des devoirs. Or cela la France ne sait pas le faire : la politique de la main de fer dans un gant de velours lui est totalement étrangère.

A cet égard, la France dont la réponse au mouvement des hackers a été d’empiler les textes – la célèbre loi Godfrain, devenue plus tard l’article 323 du code pénal, agrémenté depuis 2003 de nombreux autres textes, tous aussi subtilement inappropriés, ayant pour nom LSQ, LCEN… – accuse un retard catastrophique que l’on peut évaluer à au moins vingt ans (par rapport à l’Allemagne, par exemple). D’où l’absence d’un mouvement hacker digne de ce nom, à part l’historique mais très actif /tmp/lab et quelques résurgences, ici et là, du groupe 2600. Ce n’est que très récemment (depuis 2009), et encore timidement, que la France voit l’organisation de conférences de hacking comme iAWACS, HES, HIP… mais toujours avec une extrême prudence, car on ne sait jamais comment le fameux article 323 sera appliqué.

A l’étranger, les plus grandes conférences de hacking – comme les plus petites, et le terme n’est pas péjoratif – sont sponsorisées par les très grosses sociétés de logiciels ou de services (Google, Microsoft, Oracle…) et, quelquefois, avec le soutien des Etats (par exemple la célèbre conférence Hack.lu au Luxembourg). Elles sont fréquentées autant par les services gouvernementaux que par les industriels et les entreprises. C’est la preuve, s’il en fallait une,  que les évolutions majeures se font aujourd’hui dans ces conférences, et nulle part ailleurs. Phénomène très significatif : depuis quatre ans, les avancées majeures en matière de cryptanalyse ne sont plus publiées dans les conférences académiques, mais dans celles de hacking et, en particulier, celle du CCC (Chaos Computer Club) à Berlin.

En France, on est encore, hélas, dans un monde d’anciens qui administrent mais ne comprennent rien à la technique. Les jeunes hackers, qui la maîtrisent, n’administrent pas. Cette fracture n’est plus tenable. Sinon, ce qui a commencé comme un mouvement d’humeur risque de se muer en une réelle colère contre les décideurs, dont ni les institutions, ni les entreprises ne sortiront indemnes. Les victimes seront le pays tout entier, y compris les hackers qui ne peuvent espérer qu’une victoire à la Pyrrhus.