Pour remettre de l’ordre dans les armoires de raccordement à la fibre optique, InfraNum détaille son plan d’action sur les contrats entre les opérateurs d’infrastructures, les FAI et les sous-traitants. Le but est d’améliorer la qualité des interventions – il y a urgence dans certains cas – et rééquilibrer les coûts de maintenance.
Cela fait maintenant des mois – pour ne pas dire des années – que des armoires de mutualisation pour la fibre optique sont « ravagées » avec des raccords parfois réalisés en dépit du bon sens. Le mode STOC (Sous-Traitance Opérateur Commercial) est pointé du doigt par les acteurs.
Il s’agit d’un « modèle ou contrat dans lequel l’opérateur d’immeuble (OI) [celui qui construit le réseau, ndlr] sous-traite à l’opérateur commercial (OC) [le FAI, ndlr] le raccordement du client final. Dans ce modèle, l’OI ne réalise pas le raccordement lui-même mais délègue le raccordement chez le client à l’OC via un contrat de sous-traitance ».
L’opérateur commercial peut alors faire intervenir un sous-traitant, soit un sous-traitant de sous-traitant… On vous laisse imaginer le résultat. L’Arcep précise en outre qu’il « apparait que le mode STOC est de loin la principale modalité de production des raccordements finals en zones d’initiative privée ».
Comme souvent, ce sont les clients qui trinquent, avec des coupures, des débranchements sauvages, etc. Un point que nous avions soulevé dans notre analyse des défis à venir pour la nouvelle présidente de l’Arcep. InfraNum propose une solution avec de nouvelles obligations dans les contrats et la possibilité d’exclure un sous-traitant en cas de manquements.
Face aux problèmes récurrents, des actions locales
L’Avicca (Association des villes et collectivités pour les communications électroniques et l’audiovisuel) a déjà tiré la sonnette d’alarme à plusieurs reprises : « Serrures des armoires forcées au pied de biche, au tournevis, avec des pierres, des tampons en fonte, quand elles ne sont pas simplement découpées à la meuleuse ou que les portes n'ont pas été arrachées. Ce qu'il reste des portes de ces armoires servant souvent à dissimuler les "plats de nouilles" que font les câbles, les cassettes décrochées et les déchets d'intervention au sol ». Vous pouvez en voir des vertes et des pas mûres sur ce compte TikTok.
@SFR_FTTH@Arcep@lauredlr@SFR J’ai un jeu pour vous. Qu’est ce que c’est ? ⤵️ Réponse A = Un plat de nouilles Réponse B = Une représentation artistique du Labyrinthe de la Villa Pisani Réponse C = Le pire point de mutualisation de Zone (PMZ) que vous ayez jamais vu.. Réagissez! pic.twitter.com/hk27JlLmMC
Localtis – un média de la Banque des territoires – vient d’en remettre une couche et revient sur deux cas récents : « En Seine-et-Marne et dans le Doubs, les désordres créés par la sous-traitance du raccordement provoquent pétition et opération "dé-stoc-age" ».
La ville de Trilport (Seine-et-Marne) a lancé une pétition où elle explique que des armoires de raccordement FTTH sont « ouvertes aux quatre vents sur l'espace public du fait de l’absence totale de mesures prudentielles basiques, d'actes de vandalisme et du manque de professionnalisme de certains sous-traitants des opérateurs ». « Il est urgent que l'Arcep intervienne pour mettre fin à ces désordres récurrents et inadmissibles en 2021 », ajoute-t-elle.
Opération « Dé-Stoc-age » dans le Doubs
Dans le Doubs, une solution radicale est proposée par le syndicat mixte Doubs Très Haut Débit (SMIX) en charge du réseau départemental en fibre optique : « l’opération "Dé-Stoc-age" […] le syndicat voudrait "interdire" l’intervention de sous-traitants dans son département », explique la Banque des territoires.
L’opérateur d’infrastructure « a ainsi procédé lui-même au raccordement de la mairie de la Tour de Sçay en se substituant à l’opérateur commercial ». Denis Leroux, président du SMIX, se justifie : « les sous-traitants sont mal formés, mal payés, mal équipés, résultat : ils n'installent pas correctement la fibre et abîment notre réseau pourtant tout neuf ». Bonne ambiance… C’est dans ce climat tendu qu’InfraNum propose de nouvelles règles.
InfraNum veut calmer le jeu et propose de nouvelles règles
La Fédération des Entreprises Partenaires des Territoires Connectés est sur la même longueur d’onde et ajoute que ce mode de fonctionnement contre-balance fortement avec les bons chiffres du déploiement de la fibre. Elle pointe aussi du doigt « de nombreux problèmes de qualité liés aux raccordements d’abonnés constatés sur le terrain, corollaires des modalités d’échange et d’intervention inadaptées entre opérateurs d’infrastructures (OI) et opérateurs commerciaux (OC) ».
Afin de trouver une solution, la fédération a regroupé « l’ensemble des opérateurs d’infrastructures afin d’identifier des propositions d’amélioration du mode STOC. Leurs préconisations ont servi de base à la feuille de route définie par l’Arcep début 2020 ». Le but étant d’« aboutir à une résolution collective opérationnelle efficace et équilibrée pour améliorer la qualité et la sécurité des interventions ». InfraNum souhaite éviter « d’imposer une décision réglementaire ».
La fédération voit le bout du tunnel avec la mise en place d’un nouveau cadre contractuel, qui est « en passe d’être décliné dans les contrats en cours de signature chez les principaux opérateurs d’infrastructure et les opérateurs commerciaux ». Les opérateurs d’infrastructure (ceux qui déploient le réseau) Axione et Altitude Infra indiquent « déjà l’avoir entériné avec la majorité des opérateurs commerciaux [les FAI, ndlr] », tandis que TDF est « en bonne voie » pour faire de même.
Des mesures et des sanctions, jusqu’à l’exclusion d’un sous-traitant
Trois principaux axes sont mis en avant :
« Améliorer la sécurité et la qualité des interventions. Accompagnement systématique (par l’OI) de tout nouvel intervenant sur le réseau, renforcement des procédures contractuelles de reprise des malfaçons, réalisation d’audits communs et l’introduction de sanctions, pouvant aller jusqu’à l’exclusion d’un sous-traitant, en cas de manquement contractuel.
Renforcer la transparence. Processus de raccordement entre OI et OC : traitement photographique des interventions des OC (comptes-rendus avec photos horodatées, montage « avant-après », etc.). L’OI pourra, via un contrôle par un système d’intelligence artificielle, identifier rapidement toute malfaçon ou dégradation liée à une intervention et y remédier.
Rééquilibrer les coûts de maintenance : entre les OI et les OC, une prise en charge collective des frais de remise en état du réseau, selon une clé de répartition approuvée par l’Arcep ».
Il faut maintenant que l’ensemble des acteurs (OC et OI) adhérent à ses mesures, puis vérifier qu'elles permettront d’arrêter le massacre dans les armoires et revenir à une situation saine et pérenne.
La Banque des territoires demande « à voir »
La Banque des territoires affiche un optimisme mesuré face à cette annonce : « Les industriels, par la voix d’Infranum, affirment que le nouveau contrat fraichement mis au point, comprenant des possibilités d’exclusion de sous-traitants et des modalités financières de prise en charge, va résoudre le problème. À voir ».
« Cet accord suffira-t-il à calmer les élus ? Pas certain. En affirmant qu’il "évite d'imposer une décision réglementaire", la fédération s’avance sans doute un peu trop », ajoute la Banque des territoires. Lors de son audition au Sénat, Laure de la Raudière (désormais présidente de l’Arcep) s’était d’ailleurs montrée préoccupée par ce sujet et promettait d’agir.
Laure de La Raudière en embuscade
« Je vais vous dire, si vous me validez à l’Arcep, c'est un sujet que je dois prendre dès le mois de février bien évidemment », affirmait-elle. Elle souhaitait commencer par étudier ce qui se passe sur le terrain avec la procédure actuelle avant de prendre des décisions : « il faut aller voir vraiment ce qui se passe […] et comment on peut trouver une autre solution que ce qui est mis en place parce que si ça ne marche pas, il faut changer ».
Depuis son arrivée à la présidence de l’Arcep, Laure de La Raudière n’a pas fait de nouvelles annonces sur le mode STOC, mais elle suit certainement de près l’annonce d’InfraNum.
Au-delà des paroles, on attend maintenant de pouvoir vérifier sur le terrain l'efficacité de ces mesures.
À l’opposé de l’intégrité, la méconduite scientifique peut prendre diverses formes et niveaux de gravité. Un rapport parlementaire (OPECST) fait le point en longueur sur ce sujet sensible, les avancées du secteur, le travail restant à accomplir, avec dix recommandations. Voici ce qu’il faut en retenir, au-delà du simple résumé.
En février 2019, Catherine Morin-Desailly – alors présidente de commission de la Culture, de l'Éducation et de la Communication – demandait à l’Office parlementaire d’évaluation des choix scientifiques et technologiques (OPECST, organe d’information commun à l’Assemblée nationale et au Sénat) un point sur « les choix de politique publique à opérer » pour l’intégrité scientifique.
Quand la méconduite scientifique fait les gros titres
Cette mission ne sortait pas de nulle part, elle s’inscrivait dans le sillage des « exemples de méconduite scientifique (conflits d’intérêts, signatures abusives, falsifications, plagiat et autoplagiat) ». Des affaires de ce genre ont fait couler beaucoup d’encre dans la presse les mois précédents, pouvant « miner durablement la confiance que la société place dans ses chercheurs et plus généralement dans la science ».
On pense notamment au cas d’Anne Peyroche qui a été brièvement à la tête du Centre national pour la recherche scientifique (CNRS) avant d’être remplacée par Antoine Petit. Elle avait été convoquée mi-janvier 2018 « pour un entretien destiné à l’éclairer sur des anomalies constatées dans certains de ses articles ». Dans la foulée, le CNRS annonçait une structure dédiée à l'intégrité scientifique. L’épilogue de cette affaire est arrivé début 2020, un rapport concluant « à l’existence de certaines pratiques contestables et "méconduites sérieuses " ».
Après deux ans de travaux, le député Pierre Henriet et le sénateur Pierre Ouzoulias viennent de rendre leur propre rapport sur le sujet (en version provisoire), intitulé « Promouvoir et protéger une culture partagée de l’intégrité scientifique ».
En guise de préambule, ils tiennent à mettre les points sur les « i » : ils « ont fait le choix de ne pas se limiter à épingler les mauvaises pratiques, qui ne sont qu’une illustration a contrario et réductrice de l’intégrité scientifique, alors même que l’immense majorité des chercheurs français est vertueuse ».
Valoriser les bonnes valeurs, corriger les autres
Le rapport vise « la valorisation d’une culture partagée de l’intégrité scientifique et la mise en évidence du problème systémique, inhérent au monde de la recherche, qui tend à favoriser les méconduites scientifiques ».
En cause notamment, des critères d’évaluation basés sur une « course à la publication scientifique » ; on parle parfois de « publish or perish ». Un virage amorcé par le CNRS début 2019. Il souhaitait alors « repenser l’évaluation individuelle des chercheurs et des chercheuses », notamment pour renforcer les publications en libre accès.
Il n’est pour autant pas facile de changer les mentalités et la course à la publication reste encore très présente.
Mais au fait, c’est quoi l’intégrité scientifique ?
Le rapport commence par dresser le portrait de ce qu’est l’intégrité scientifique. Il cite pour cela le professeur Pierre Corvol (présenté comme l’un de ses plus éminents défenseurs) : il s’agit d’une « démarche responsable de recherche ». Cela comprend « l’ensemble des règles et valeurs qui doivent régir l’activité de recherche pour en garantir le caractère honnête et scientifiquement rigoureux ».
Avec l’éthique et la déontologie, l’intégrité est « un des trois piliers » d’une science responsable selon Olivier Le Gall, le président de l’Office français de l’intégrité scientifique (OFIS). Ces trois concepts (qui sont souvent confondus) peuvent être comparés à trois pieds d’un même trépied, chacun étant indispensable pour assurer la stabilité.
L’intégrité scientifique peut être mise à mal par des pratiques diverses et variées : découpage d’un article en plusieurs petits morceaux pour multiplier les publications (salami slicing), recours au plagiat « pour gagner du temps », sélectionner uniquement des résultats allant dans le sens de l’hypothèse de départ (cherry picking), publier à tout prix pour soutenir une demande de fonds (fund or famish), etc.
On peut aussi parler de « l’effet chrysalide ». Dans ce cas, « un chercheur honnête, confronté à des difficultés pour publier, s’aperçoit que des collègues contournent ces difficultés, car ils savent embellir des résultats ». Un comportement qui sort légèrement « des bonnes pratiques » peut ainsi faciliter sa carrière… et le chercheur peut se laisser tenter. D’autant plus s’il « constate aussi que ces pratiques questionnables, pas très graves, sont acceptées par la communauté scientifique qui ferme les yeux ».
L’intégrité des chercheurs face à eux-mêmes et leurs collègues
Le rapport se fait l’écho d’une déclaration de Pierre Corvol : « la majeure partie des chercheurs exerçant en France est vertueuse ». Mais le rapport se penche aussi sur des chiffres de 2009 et une étude du chercheur Daniel Fanelli sur l’intégrité scientifique. La conclusion est plus en demi-mesure.
« 1,97 %, soit environ 140 000 chercheurs à l’échelle mondiale, admettent sur le mode déclaratif avoir un jour falsifié, fabriqué ou modifié des données, et 33,7 %, soit plus de 2 millions de chercheurs, disent s’être déjà adonnés à ce qu’on appelle des "pratiques questionnables de recherche" ». Ces chiffres sont forcément sous-évalués, car basés uniquement sur la bonne foi des déclarants.
Si on inverse la situation et qu’on demande aux chercheurs de parler du comportement de leurs collègues, les chiffres sont bien différents : « pas moins de 14,12 % d’entre eux ont été témoins de fraudes scientifiques chez leurs collèges, et 72 % d’entre eux ont déjà été témoins de "pratiques questionnables de recherche" ».
Un rapport, quatre grandes thématiques
Le rapport-fleuve de 134 pages se divise en quatre principales parties. La première, intitulée « l’intégrité scientifique en France, une autorégulation exercée par les acteurs de la recherche ».
Dans la seconde, les rapporteurs veulent « appréhender les méconduites scientifiques » et ainsi dresser un panorama de la « typologie des méconduites observées et leur traitement ». La troisième liste des pistes de réflexion pour « développer une "culture de l’intégrité scientifique" ». À ce titre, elle fait le tour des initiatives « qui assurent une diffusion toujours plus large et transgénérationnelle des principes de l’intégrité scientifique ».
Enfin, la quatrième partie s’intéresse aux « avancées récentes apportées dans la loi de programmation de la recherche 2021-2030 (LPR) en matière d’intégrité scientifique ». Par un « heureux hasard », la discussion parlementaire sur la LPR s’est déroulée en même temps que cette mission, avec un échange visiblement fructueux.
Trois systèmes pour classer les méconduites scientifiques
Nous ne nous attarderons pas outre mesure sur la première partie qui dresse un inventaire à la Prévert des différentes sources encadrant les principes de l’intégrité scientifique. La seconde partie revient sur la « nomenclature des méconduites », qui est « sensiblement harmonisée à l’international et en France au sein des différentes disciplines ». Il existe par contre différentes classifications des méconduites : par domaines (méthodologie, données, résultat), par degré de gravité et enfin par le niveau d’intentionnalité.
Dans le premier cas (les domaines), le rapport rappelle qu’il « n’existe pas de typologie des manquements scientifiques qui fasse consensus ». Ceci dit, les institutions se tournent souvent vers ce document de Frédéric Sgard et Stefan Michalowski, rapporteurs lors du Forum mondial de la science de l’OCDE de Tokyo en 2007.
Ils y dressent une liste non exhaustive des différents manquements : cela va de la fabrication/falsification de données aux fraudes financières, en passant par de mauvaises pratiques sur la conservation des données, des attitudes inappropriées, refuser/obtenir une position d’auteur de façon abusive, etc.
Au fil du temps, les pratiques évoluent et de nouvelles techniques arrivent, comme en attestent les recherches de la microbiologiste Elisabeth Bik. Elle a en effet « révélé au mois de février 2020 l’existence de "fermes à articles" chinoises, ou américaines comme YMGrad3, qui produisent à la chaîne de faux articles scientifiques, afin que leurs acheteurs obtiennent un diplôme ou une promotion, comptabilisant plus de 400 articles, publiés pour certains dans de grandes revues scientifiques ».
Concernant la seconde manière de classer les méconduites, le rapport revient sur l’importance de l’intentionnalité. Trois cas sont mis en avant : l’erreur (c’est-à-dire un manquement involontaire), la fraude (qui est intentionnelle avec l’espoir d’en tirer profit) et la faute (le manquement est conscient). Les rapporteurs citent Martine Bungener, économiste et sociologue, qui rappelle à juste titre : « N’oublions pas qu’il peut y avoir des erreurs, que l’on a le droit de se tromper, mais pas de falsifier des données ou des résultats ».
Pour le classement par gravité, le rapport s’appuie sur le rapport Bach concernant Anne Peyroche. Il comprend cinq niveaux (l’ex-présidente du CNRS a été reconnue coupable des niveaux I à IV) :
niveau I : l’embellissement des données
niveau II : la manipulation des données
niveau III : la falsification, consistant à « modifier certains résultats », lorsque celle-ci « ne change pas
l’interprétation d’une figure ou d’une phrase de texte »
niveau IV : la falsification, lorsqu’elle « modifie l’interprétation de la figure ou du texte, indépendamment du message scientifique global »
niveau V : la fabrication, consistant à « créer de novo des résultats qui n’ont pas été obtenus en laboratoire ». C’est « le stade ultime » pour le rapport
Les rapporteurs ne sont par contre pas en mesure du dire si « cette nomenclature était répandue ou en usage au sein des référents intégrité scientifique ». Rémy Mosseri, référent intégrité scientifique du CNRS, est le seul à indiquer l’avoir utilisée dans un cas particulier.
Présomption d’innocence et réhabilitation
Lors de son audition, Ghislaine Filliatreau (déléguée à l’intégrité scientifique de l’Inserm) soulevait que cette échelle à cinq niveaux n’est pas sans poser quelques problèmes :
« elle ne comporte aucun niveau zéro, alors même que toute personne soupçonnée d’un manquement à l’intégrité scientifique doit disposer de la présomption d’innocence. De même, elle n’intègre pas le critère d’intentionnalité, alors même que l’erreur peut être à l’origine d’une de ces méconduites. »
Le député et le sénateur détaillent ensuite les signalements et procédures des cas de méconduites, en terminant par un point important : la réhabilitation du chercheur, qu’il soit reconnu coupable ou non d’ailleurs. Si l’Inserm propose une solution via des mentorats, « tous les établissements ne sont pas armés pour réintégrer les chercheurs ayant commis un ou des manquements et certains tardent à entamer une réflexion sur le sujet ».
Même situation pour la réhabilitation d’un chercheur accusé à tort. Actuellement, cela « passe principalement par une lettre de réhabilitation, adressée par le PDG ».
Les pistes pour améliorer l’intégrité scientifique : la formation…
Concernant le troisième axe – développer une « culture de l’intégrité scientifique » –, le rapport affirme que cela passera d’abord par la « formation des futurs et jeunes chercheurs que se diffusent les valeurs de l’intégrité scientifique ». Sur ce point, les efforts semblent globalement insuffisants au regard des auditions menées.
Le rapport cite une enquête menée en 2018 par Meriem Koual, qui dresse un triste bilan de 153 écoles doctorales ayant répondu à son enquête :
« 93 % proposent une formation à l’intégrité scientifique dans le cadre du doctorat, 75 % rendent cette formation obligatoire, mais elle fait rarement l’objet d’un examen de validation […] Le volume horaire est relativement faible : moins de 2 heures pour 13 %, entre 2 et 10 heures dans 62 % des cas, entre 10 et 20 heures dans 21 % des cas, plus de 20 heures dans 4 % des cas ».
…et l’open peer review ?
Pour essayer de limiter les méconduites et autres validations de « complaisances » par des chercheurs, l’idée d’un « open peer review » arrive sur la table. Comme son nom l’indique, il s’agit d’une version « open » – dans le sens transparent – de la procédure de relecture et de validation par les pairs (peer review).
C’est une étape importante, comme nous l’avons déjà expliqué, et qui peut parfois prendre des années. Elle est critiquée sur certains points : une activité chronophage qui n’est pas valorisée dans l’évaluation des chercheurs, possible subjectivité de certains relecteurs anonymes qui peuvent demander à citer des références, etc.
Parfois, le temps nécessaire n’est pas pris et, en cette période de pandémie, il n’est pas rare de voir des publications mises en ligne à la va-vite puis modifées/retirées.
Avec l’open peer review, les revues « mettent en ligne les noms des relecteurs et/ou les commentaires du ou des relecteurs, et rendent donc transparent le processus de peer review ». Certaines ont déjà sauté le pas (F1000Research, Royal Society Open Science, Annals of Anatomy, PeerJ, EMBO Press).
De son côté, Marin Dacos, conseiller pour la science ouverte au MESRI, souligne lui aussi les avantages de l’open peer review, mais invite également à la prudence et surtout à l’expérimentation. Il ne faudrait en effet pas tomber « dans une forme de dictature de la transparence ».
Il soulève par exemple la question de la publication ou non des lettres de refus, et du droit de réponse.
Des référents « intégrité scientifique »… et des polémiques
Dans la quatrième partie du rapport, consacré aux avancées en matière d’intégrité scientifique. Les rapporteurs affirment avoir constaté que la perception des instituts évoluait rapidement : désormais, « la majorité des établissements est désormais dotée d’un référent intégrité scientifique ».
Cela ne règle pour autant pas tous les problèmes d’un coup de baguette magique. Les acteurs de la recherche demandent que « cette autorégulation soit accompagnée et soutenue par la législation ». Là encore, le cas Anne Peyroche est symptomatique, comme l’expliquait l’Express en février dernier.
Alors que la chercheuse était condamnée, le CEA annonçait le départ à la retraite de Marc Léger, son référent à l'intégrité scientifique, et son remplacement par Jean-Marc Grognet. « Or ce chercheur est un ami très proche de Peyroche (toujours en arrêt maladie). De 2011 à 2014, il a été directeur de l'Institut de Biologie et technologie de Saclay (iBiTec-S) du CEA, une structure où officiait justement... Anne Peyroche. Ainsi donc, l'une des publications incriminées date de 2012, lorsqu'il était son supérieur hiérarchique », expliquent nos confrères.
Cette nomination est mal passée auprès de certains : « Quand la nomination de Grognet a été connue au CEA, personne n'y a cru. Le dispositif de protection des tricheurs est en place ! », lâchait sous le coup de la colère un fonctionnaire à nos confrères.
Rapport et LPR : un « heureux hasard du calendrier »
Enfin, le timing ne pouvait pas être meilleur pour les rapporteurs : « Heureux hasard du calendrier, le travail de la mission a coïncidé avec la discussion parlementaire sur la loi de programmation pour la recherche (LPR) ».
Ils ont ainsi pu proposer sans attendre de « transcrire dans la loi un certain nombre des recommandations émanant de leurs travaux », ce qui a été fait. Certains points n’ont par contre pas pu faire l’objet d’un consensus avec la LPR. C’est notamment le cas de l’indépendance de l’Office Français de l'Intégrité Scientifique (OFIS) : « Certains acteurs pensent qu’il serait utile de donner une personnalité morale à l’OFIS, afin qu’il puisse instruire les cas ».
Dix recommandations pour améliorer les choses
Enfin, le rapport se termine par dix recommandations, dont l’objectif de « participer au rétablissement de la confiance à l’égard du monde scientifique et de renforcer la légitimité de la recherche française sur la scène internationale ». En voici le détail :
« Introduire, par la loi, dans le code de la recherche une définition de l’intégrité scientifique et proposer des règles générales pour engager les institutions et les chercheurs à la respecter. Cet objectif a été en grande partie atteint par la loi de programmation de la recherche.
Réévaluer les conditions d’exercice des missions de l’OFIS et du CoFIS, ainsi que leurs rôles institutionnels [cette recommandation comprend pas moins de 18 actions, ndlr].
Encourager la nomination de RIS [référents intégrité scientifique, ndlr] dans l’ensemble des établissements de recherche ; préciser leur statut et les conditions d’exercice de leurs missions ; formaliser le suivi de leur travail, par exemple via la remise de bilans annuels ou pluriannuels de leur activité.
Veiller à la bonne articulation des travaux et réflexions menés dans le cadre de l’OFIS, du CoFIS, du ResInt et de la conférence des signataires.
Reconnaître l’intérêt des actions menées par les acteurs, promoteurs et garants de l’intégrité scientifique et soutenir leurs actions dans le respect de leur indépendance.
Normaliser davantage les règles d’instruction des méconduites scientifiques ; assurer que les règles démocratiques du débat contradictoire soient respectées lors des procédures d’instruction ; encourager les interactions transversales entre RIS et services juridiques des établissements ; inciter à une prise de décision finale collégiale et ne reposant pas exclusivement sur celle du chef d’établissement ; finaliser la base de données des cas d’instruction de méconduites afin de disposer d’un référentiel.
Rendre obligatoire la formation en intégrité scientifique tout au long de la carrière dans la recherche, en particulier pour les encadrants et autres positions de mentorat (HDR, post-doc), comme le font déjà, de manière informelle, certains établissements.
S’assurer que les signataires de la déclaration de San Francisco (DORA) et du manifeste de Leiden appliquent bien les principes préconisés par ces textes ; à la suite de la déclaration de Bonn, promouvoir au sein de l’Union européenne une réflexion juridique et législative afin de doter l’Union d’une réglementation en faveur de l’intégrité scientifique et des libertés académiques.
Intégrer la promotion et la garantie de l’intégrité scientifique au nombre de missions de l’Hcéres [Le Haut Conseil de l’évaluation de la recherche et de l’enseignement supérieur, ndlr].
Mieux identifier les processus par lesquels les objectifs poursuivis par la politique de la science ouverte peuvent aider au respect et à la promotion de l’intégrité scientifique ; définir des normes d’archivage et de mise à disposition des données de la recherche afin de garantir le contrôle par les pairs des productions scientifiques. Les rapporteurs jugent souhaitable et nécessaire qu’un rapport sur la science ouverte soit initié, dans la suite du présent rapport ».
Après deux échecs, SpaceX est parvenu à poser dans une relative douceur le prototype SN10 de sa prochaine fusée entièrement réutilisable Starship. C’est une étape importante pour la société… même si cet essai s’est finalement terminé par une explosion et des flammes quelques minutes après l’atterrissage.
En décembre, SpaceX faisait une première tentative de vol à haute altitude avec son prototype SN8 de Starship. Elle s’est soldée par une brutale rencontre avec le sol lors de la tentative d’atterrissage.
La société était revenue en détail sur les raisons de cet échec et les étapes intermédiaires qui avaient été des succès (notamment le délicat retournement). Elon Musk y voyait néanmoins un « Super test. Félicitations à l’équipe Starship ! » Début février, un second test était réalisé, avec le prototype SN9.
Il avait alors perdu l’équilibre dans son hangar, heureusement sans trop de gravité. Le résultat était le même du début à la fin. Le décollage et la série de manœuvres se passent correctement. Lors de la descente, les moteurs ont été rallumés, mais l’atterrissage s’est soldé par une explosion digne des films de Michael Bay.
Starship : enfin un « soft landing », avec le prototype SN10…
Cette nuit, rebelote avec SN10. L’allumage des trois moteurs Raptor, le décollage, le vol vers la haute altitude (jusqu’à plus d’une dizaine de kilomètres) et les manœuvres en l’air se sont pour la troisième fois déroulés visiblement sans la moindre anicroche, avec des images en direct toujours aussi impressionnantes.
Après quelques minutes, un, puis deux et enfin trois des moteurs sont éteints. SN10 se « couche » ensuite en l’air et commence sa descente, avec les trois Raptor éteints. Deux minutes plus tard, ils se rallument pour redresser la fusée et ralentir sa chute, mais un début d’incendie se déclare sur un des côtés.
De trois moteurs, la fusée passe à deux puis un seul pour terminer sa descente, toujours avec des flammes sur le flanc. Elle arrive malgré tout à se poser en « douceur » (soft landing) sur son pas de tir, sans exploser – pour le moment – contrairement à ses deux grandes sœurs.
Le feu est encore présent, mais il parvient apparemment à être maîtrisé, bien que de la fumée continue de sortir. Fin de mission ? SpaceX semble le penser que puisque le live se coupe alors sur la chaîne YouTube… mais un événement inattendu est venu jouer les trouble-fête : la fusée a explosé peu après, alors qu’elle était toujours en position verticale, certes un peu penchée, car un des pieds était vraisemblablement abîmé.
… suivi d’une exposition huit minutes après l’atterrissage
Sans crier gare, quatorze minutes après le décollage – et donc huit minutes après l’atterrissage – une explosion se déclenche et propulse le prototype SN10 sur quelques dizaines de mètres (la hauteur de Starship environ, soit une cinquantaine de mètres à vue d’œil) avant qu’il ne retombe et s’éparpille façon puzzle au sol.
On peut le voir sur la vidéo de NASA Spaceflight. SpaceX et Elon Musk n’ont donné aucune précision pour le moment, si ce n’est un message « d’adieu » du patron de la société sur Twitter : « RIP SN10, honorable discharge ».
Bon quand je disais « pas encore » j’avais finalement raison :o Quelques minutes après son atterrissage, SN10 a explosé. Je ne suis pas bien sur que le petit « hop » était prévu au programme… Enfin, c’est toujours mieux que les précédents prototypes ! pic.twitter.com/yAqTLX1Jdo
Dans tous les cas, SpaceX est parvenu à réaliser un nouvel objectif : poser son prototype SN10 avec une relative douceur. Il reste encore du travail, mais pas de doute : les ingénieurs avancent dans la bonne direction. Pour rappel, Elon Musk avait déjà annoncé qu’il « faudra atteindre au moins SN20 ou plus pour avoir Starship 1.0 ».
Dans une vidéo récemment mise en ligne, Elon Musk donne quelques précisions sur le calendrier qui se dessine pour Starship : « je suis très confiant sur le fait que nous aurons atteint l’orbite plusieurs fois avec Starship avant 2023 et que la sécurité sera suffisante sûre pour transporter des humains en 2023 ».
dearMoon : déjà des touristes pour Starship, lancement en 2023 ?
SpaceX prévoit de faire voler son Super Heavy Booster cette année. Il correspond pour rappel au premier étage du Starship final, la partie supérieure – actuellement testée avec les prototypes SNx – s’appelle elle aussi Starship. Il a fait cette déclaration dans la vidéo de présentation du projet dearMoon, du milliardaire japonais Yusaku Maezawa.
Il a déjà réservé un vol sur Starship et propose pas moins de huit sièges à des « artistes » pour l’accompagner dans son vol dans l’espace. La notion est vague puisqu’elle cible « chaque personne qui fait quelque chose de créatif ». dearMoon est la seconde mission commerciale de SpaceX avec uniquement des touristes à bord.
Ils iront rendre visite à notre Lune, sans se poser évidemment. La première est pour rappel Inspiration4, mais elle se déroulera à bord d’une capsule Crew Dragon sur une fusée Falcon 9. Cette mission se « contentera » de rester en orbite autour de la Terre pendant plusieurs jours. Cette fois encore, c’est un milliardaire qui régale : Jared Isaacman.
Il propose trois fauteuils à des personnes selon des critères précis. Hayley Arceneaux est la première sélectionnée.
Des chercheurs ont réussi à reproduire à petite échelle « des phénomènes astrophysiques inaccessibles à l’expérimentation ». Ils expliquent comment les manteaux de planètes peuvent créer des champs magnétiques – nécessaires à la vie – et donnent des explications sur la turbulence des jets de plasmas.
Pour étudier l’Univers qui nous entoure, les astrophysiciens utilisent les moyens de détection à leur disposition sur Terre où à proximité, avec les satellites d’observation dans l’espace. Avec parfois beaucoup d'astuce, ils arrivent à en déduire des caractéristiques assez précises de certaines étoiles, exoplanètes et autres objets célestes. Ils formulent aussi de nombreuses hypothèses… qu’il est impossible de vérifier in situ.
Comme alternative pour mieux appréhender des phénomènes astrophysiques inaccessibles à l’expérimentation, les chercheurs « ont recours à l’astrophysique de laboratoire, c’est-à-dire qu’ils reproduisent à petite échelle les conditions dans lesquelles se forment ou évoluent différents phénomènes ».
Le Laboratoire pour l’utilisation des lasers intenses (LULI), une unité mixte de recherche CNRS, École polytechnique - Institut Polytechnique de Paris, CEA et Sorbonne Université, s’est fait remarquer en février avec deux publications dans Nature Communication autour de ce domaine d’expertise.
L’une est « consacrée à la forme des jets de plasmas astrophysiques, et l’autre aux propriétés de matériaux situés au cœur des exoplanètes ». Cette dernière est d’autant plus intéressante qu’elle concerne le champ magnétique créé par certaines planètes, qui est considéré « comme l’une des conditions nécessaires à la présence de la vie ».
Super-Terres : un champ magnétique grâce aux silicates ?
Dans la quête sans fin de la recherche de traces de vie sur d’autres planètes, les chercheurs misent beaucoup sur Mars. Souvent considérée comme la jumelle de la Terre, elle a l’avantage d’être à portée de fusée. Plusieurs rovers sont déjà sur place et un nouveau vient juste d’arriver : Perseverance.
Mais la vie peut aussi avoir été créée en dehors de notre système solaire et même de notre galaxie (la Voie lactée). Plusieurs télescopes – dans l’espace et sur Terre – traquent des exoplanètes, et elles sont très nombreuses : « La découverte de plus de 4 000 planètes en dehors de notre système solaire soulève l’excitante promesse d’en découvrir certaines capables d’abriter la vie », explique l’École Polytechnique.
En se basant sur le seul exemple que l’on connait avec la Terre, « les chercheurs s’intéressent tout particulièrement aux planètes dont la masse est comprise entre une et quelques masses terrestres. Ces “super-Terres” sont supposées être rocheuses, avec un cœur de fer et de nickel, et un manteau (partie entourant le cœur) constitué de silicates ».
Une des conditions qui seraient nécessaires à la vie
« L’existence d’un champ magnétique est considérée comme l’une des conditions nécessaires à la présence de la vie », ajoute le CEA. Sur Terre, il est produit par les mouvements de la partie liquide du noyau de fer et forme ainsi un « bouclier invisible qui nous protège de tous les rayonnements hyperénergétiques émis par le Soleil et qui protège aussi notre atmosphère ».
Problème, « dans le cas des super-Terres, le cœur de fer est probablement entièrement cristallisé en raison des pressions colossales, ce qui empêcherait l’existence d’un champ magnétique », car il n’y a plus de partie liquide et donc plus de mouvement. Mais selon les scientifiques, un champ magnétique pourrait être généré d’une autre manière : dans les manteaux (couches intermédiaires entre la croute et le noyau) qui « sont constitués de silicates fondus et électriquement conducteurs ».
Il ne s’agit que d’une hypothèse et, pour en vérifier la viabilité, deux solutions : se rendre sur place pour effectuer des mesures – impossible en l’état de nos connaissances – ou une confirmation en laboratoire. Cette dernière ne peut se faire qu'à condition de « pouvoir mesurer la conductivité électrique de ces matériaux dans les conditions qui règnent au cœur des super-Terres, à savoir des températures de plusieurs milliers de degrés et des pressions de plusieurs millions de fois celle de notre atmosphère ».
Les chercheurs passent la main aux astrophysiciens
C’est l’axe de recherche d'une équipe de scientifiques qui a étudié « les propriétés des silicates en reproduisant expérimentalement ces conditions extrêmes ». Bonne nouvelle, leur conclusion confirme que « l’hypothèse d’un manteau conducteur semble viable ».
Ce n’était pas simple, explique Alessandra Ravasio, chercheuse CNRS au LULI :
« Reproduire expérimentalement ces conditions est très complexe […] Nous avons comprimé des échantillons de quartz (SiO2) en générant deux ondes de choc successives à l’aide du laser LULI2000 du laboratoire […]
Contrairement à la compression par un simple choc qui engendre des très hautes températures, la technique de double choc nous a permis de générer des hautes pressions, tout en gardant des températures relativement modérées, plus pertinentes aux intérieurs de super-Terres ».
Les chercheurs ont appliqué cette méthode de « doubles chocs » à des échantillons de quartz et, « en couplant les données expérimentales à des simulations, ils ont pu estimer la conductivité électrique du SiO2 », ou dioxyde de silicium. Leurs résultats indiqueraient « pour SiO2 des conductivités électriques suffisamment élevées pour soutenir des champs magnétiques à l’intérieur des super-Terres ».
Selon le communiqué de l’École Polytechnique, cela permettra « aux astrophysiciens d’améliorer leurs modèles et de mieux orienter l’étude d’exoplanètes potentiellement habitées ou habitables ».
Des jets de plasma en laboratoire
La seconde publication dans Nature Communication concerne l’étude des « jets de plasmas turbulents », qui prennent « la forme de cylindres de matière ionisée, des plasmas, extrêmement longs et émergeant de jeunes étoiles, de trous noirs et même de notre Soleil ».
Contrairement à la flamme uniforme et continue d’un briquet à gaz, ces jets sont saccadés, avec des courbures et des nœuds : « comme une chaîne de code morse ou comme l’échappement d’une vieille voiture diesel », explique Julien Fuchs, directeur de recherche CNRS au LULI.
L’hypothèse des spécialistes était que ces irrégularités « provenaient de changement dans la structure du champ magnétique environnant ». Problème, aucune expérience ne permettait de confirmer ou d’infirmer cette supposition. C’était un des objectifs des travaux de Julien Fuchs :
« Il y a quelques années, nous avons mis au point une technique expérimentale permettant de recréer en laboratoire des jets de plasma d'un centimètre de long qui correspondaient étroitement aux caractéristiques des jets créés par les jeunes étoiles […]
Nous avons introduit un angle entre le plasma créé par laser et le champ magnétique ambiant[…] Nous avons constaté qu'il y avait bien une perturbation dans la collimation du jet et du plasma s'échappant à travers les lignes de champ magnétique ».
En se basant sur les observations expérimentales et des simulations, les chercheurs avancent une explication possible à la structure des jets « en code morse » : elle vient de « la nature toujours changeante des champs magnétiques locaux ».
Ces deux publications ne révolutionnent pas le monde scientifique (il s’agit principalement de confirmer des hypothèses), mais montrent bien comment on peut améliorer notre connaissance de l’Univers qui nous entoure avec de « l’astrophysique de laboratoire ».
Selon nos informations, c’est le 16 mars prochain que la Commission Copie privée enclenchera une nouvelle étape vers l’adoption d’un barème dédié aux produits reconditionnés.
Ce jour, la Commission votera à la fois le questionnaire relatif aux smartphones et tablettes et choisira le prestataire chargé de réaliser cette petite enquête auprès d’un panel.
Hier, lors d’une réunion au ministère de la Culture, le collège des ayants droit (SACEM, etc.) épaulé par le président Jean Musitelli, a refusé qu’une véritable étude de marché soit lancée, préférant la voie de ce petit questionnaire rédigé dans l’urgence.
Cette petite enquête d’usage, souffrant déjà de plusieurs biais, sera donc financée par les ayants droit, pour leur permettre de prélever des millions d’euros de redevance sur le reconditionné, après adoption d’un barème au sein d’une instance où ces mêmes ayants droit sont en force.
Rocket Lab va finalement venir jouer sur les platebandes de Soyouz avec son lanceur Neutron capable d’emporter jusqu’à 8 tonnes de charge utile en orbite, d’aller vers la Lune, Mars et Vénus. Comme d'autres, la société mise sur le réutilisable pour réduire ses coûts et accélérer la cadence.
La société américaine (d’origine néo-zélandaise) s’est lancée en mai 2017, avec un raté pour sa première mission « It’s a test ». Un peu moins d’un an plus tard, en janvier 2018, elle réalisait avec succès son second lancement, baptisé « Still Testing ». Rocket Lab a ensuite enchainé les réussites avec son lanceur Electron, du moins jusqu’à sa treizième mission « Pics or it didn't happen » qui s’est soldée par un échec.
Pas de quoi décourager ses équipes qui réussisaient à nouveaux moins de deux mois plus tard avec la mission « I can't believe it's not optical ». En novembre 2020, elles parvenaient à « récupèrer » le premier étage d'une fusée, dont la chute dans l’eau avait été ralentie par un parachute.
Elle doit maintenant réussir à l’attraper en plein vol avec un hélicoptère pour aller au bout de son idée.
Depuis, les missions « The owl's night begins » et « Another one leaves the crust » se sont déroulées avec succès. Alors que d’autres lancements sont d’ores et déjà programmés pour les semaines à venir, la société vient d’annoncer une nouvelle fusée réutilisable – Neutron – avec laquelle elle change de registre.
Elle succédera à Electron, qui revendique être « la deuxième fusée américaine la plus fréquemment lancée chaque année depuis 2019 », avec six lancements en 2019, sept en 2020, et permettra d’envoyer des charges plus importantes en orbite, de proposer des vols habités et même d’aller vers d’autres planètes.
Neutron, un lanceur pensé pour les méga-constellations…
Alors qu’Electron permet de lancer en orbite de petits satellites pesant jusqu'à 300 kg, « Neutron transformera l'accès à l'espace pour les constellations de satellites », et proposera aussi une solution dédiée pour des charges utiles commerciales et gouvernementales plus importantes, affirme l’entreprise.
Cette fusée ne vise pas à concurrencer les lanceurs lourds (encore moins des monstres comme Falcon Heavy) et se veut au contraire une solution intermédiaire : « plus grand ne veut pas toujours dire le meilleur lorsqu'il s'agit de déploiements de constellations », affirme Peter Beck, le CEO de Rocket Lab. « Développer efficacement des méga-constellations nécessite le lancement de plusieurs satellites par lots sur différents plans orbitaux », ajoute-t-il.
Les constellations de plusieurs centaines (ou milliers) de satellites ont le vent en poupe ces derniers temps. Il y a évidemment SpaceX avec Starlink qui a déjà plus d’un millier d’engins en vol et qui a commencé la commercialisation de ses services, mais aussi OneWeb et Lightspeed de Telesat.
Ce dernier vient de confier la construction des satellites à Thales Alenia Space. Les premiers modules doivent être mis en orbite par un concurrent : New Glenn de Blue Origin, un lanceur lourd.
Bien évidemment – du moins selon le patron de l’entreprise – Neutron serait justement « idéalement dimensionné pour déployer des satellites par lots sur des plans orbitaux spécifiques ».
Sa taille intermédiaire lui donnerait plus de flexibilité dans les cadences de vols… même si sur ce point SpaceX n’est pas franchement en retard : la société arrive à enchainer les missions comme les petits pains si besoin. Selon Rocket Lab, Neutron « sera capable d’emporter 98 % des satellites dont le lancement est prévu jusqu'en 2029 ».
De quoi lui ouvrir la porte à de nombreux contrats potentiels ; reste maintenant à passer de la théorie à la pratique et à remplir les carnets de commandes.
40 mètres de haut, 4,5 mètres de diamètre
D’un point de vue technique, cette nouvelle fusée prend la forme d’un lanceur à deux étages d'une hauteur totale de 40 mètres, avec un carénage de 4,5 mètres de diamètre et une capacité charge utile de 8 tonnes maximum en orbite basse. Elle peut aussi emporter jusqu’à 2 tonnes sur la Lune, ainsi que 1,5 tonne vers Vénus ou Mars.
Pour rappel, Ariane 5 peut emporter une vingtaine de tonnes sur une orbite basse (± suivant les versions), contre 22,8 tonnes pour Falcon 9 de SpaceX, qui peut aussi emmener 4 tonnes vers Mars. De l’autre côté du tableau, nous avons Vega avec jusqu’à 2,5 tonnes en orbite basse seulement.
La fusée s’approchant le plus de Neutron serait donc Soyouz, avec 5 tonnes en orbite basse. Des détails manquent par contre à l’appel, notamment au niveau des moteurs utilisés par Neutron.
Premier étage réutilisable, lancement à partir de 2024
Le premier étage pourra venir se reposer sur une plateforme dans l’océan, puis servir à d’autres lancements par la suite. Rien n’est précisé concernant le coût de remise en état avant un nouveau lancement.
Dans un second temps, elle pourra également servir à envoyer du ravitaillement et des humains dans la Station spatiale internationale… sans aucun détail supplémentaire sur la capsule qui sera utilisée. Dans tous les cas, ce n’est pas sans rappeler Falcon 9 de SpaceX, même si la société est déjà en train de préparer la suite avec Starship.
Pour rappel, l’Europe prépare aussi la relève avec Vega-C et Ariane 6 (que nous avons longuement détaillée dans notre second magazine), mais aucune des deux fusées n’est réutilisable. Les travaux sont en cours avec le démonstrateur Themis et le moteur Prometheus, mais le premier vol d’essai (un simple bond) n’est prévu qu’en 2022, pour une utilisation commerciale aux alentours de 2030 si tout va bien.
Le premier lancement de Neutron est pour 2024, depuis une base située au NASA Wallops Flight Facility aux États-Unis (en Virginie). Jusqu’à présent, les missions Rocket Lab décollaient du Launch Complex 1 en Nouvelle-Zélande.
Rocket Lab en bourse, Peter Beck « mange son chapeau »
Dernier point et pas des moindres : Rocket Lab annonce sa fusion avec le fonds d’investissement Vector Acquisition Corp et son entrée prochaine en bourse, sous l’identifiant RKLB du Nasdaq. Elle vise une valorisation à 4,1 milliards de dollars et pense que cette opération sera terminée au second trimestre de l’année.
Pour terminer sur une note plus légère, on peut voir le patron de la société « manger son chapeau » (ou plus précisément un petit bout de sa casquette passée au mixeur) dans la vidéo ci-dessous. Pour expliquer son geste, Il rappelle que la société avait en effet affirmé qu’elle ne ferait jamais de fusée plus grosse que son Electron.
Contre les cyberattaques, les mathématiques sont une aide précieuse. On connait la cryptographie pour protéger les données de regards indiscrets et limiter les dégâts en cas de fuite. Il y a aussi les méthodes formelles pour « générer des garanties » et le machine learning pour épauler les experts… avant de les remplacer ?
Après le plan quantique (lire notre dossier), le gouvernement a récemment annoncé un plan sur la cybersécurité avec un milliard d’euros à la clé, dont 720 millions de financements publics. Il comprend six grands piliers, qui ont été détaillés par une demi-douzaine de chercheurs des trois laboratoires impliqués : CEA, CNRS et Inria.
Ils pilotent notamment les Programmes et équipements prioritaires de recherche (PEPR), qui se voient attribuer 65 millions d'euros. Dans cette seconde partie de notre dossier, nous revenons en détail sur les enjeux et les attentes de deux des six piliers : le codage et la cryptographie tout d'abord, avec des explications de David Pointcheval (cryptographe du CNRS au Département d'informatique de l'École Normale Supérieure), puis les méthodes formelles avec Florent Kirchner (responsable du programme Cybersécurité du CEA List).
« Un jour ou l'autre on sera attaqué » : cryptographie et méthodes formelles au chevet de la cybersécurité
Vie privée, système, réseau : « La maîtrise totale est sans doute totalement hors de portée » (à venir)
Certains dommages sont « irréparables »
Personne ne peut revendiquer disposer de cyberprotections à toute épreuve, un point d’autant plus inquiétant que, c’est une quasi-certitude, « un jour ou l'autre on sera attaqué », lâche David Pointcheval. Cela ne doit pas empêcher de dresser et vérifier un maximum de protections, mais il faut aussi anticiper le pire.
Le chercheur se veut rassurant : « Si la détection est assez rapide sur certaines attaques telles que les rançongiciels […] et si de bonnes mesures ont été prises, on peut espérer une réparation sans séquelles ». Il ne faut pas généraliser pour autant : on ne peut pas toujours faire machine arrière.
« Ce n'est pas forcément le cas dans les fuites d'informations sensibles, qui peuvent d'un côté prendre beaucoup de temps pour être détectées, et de plus conduire à des dommages irréparables, notamment s'il s'agit de données personnelles ». Avec un rançongiciel, on peut en effet restaurer une sauvegarde. Avec une fuite de données, impossible de rappeler les informations dévoilées, elles sont dans la nature et y resteront.
Un des buts de la cryptographie est justement de limiter les risques : assurer la « confidentialité des données stockées, transmises ou calculées, avec des garanties que l'on appelle parfois mathématiques », explique le cryptographe du CNRS. Il ajoute qu’il existe des « méthodes sûres, ou tout du moins des méthodes raisonnables » pour assurer la confidentialité du « stockage et des communications ».
Avec tout de même un bémol important dans la pratique : il y a en effet de « nombreuses menaces résiduelles […] telles que des failles dans les briques élémentaires qui sont la base de la sécurité des systèmes ».
Le spectre de l’ordinateur quantique sur la cryptographie
Des algorithmes considérés comme sûrs pendant un temps peuvent rapidement représenter un danger, voire devenir des passoires ; le passé regorge d’exemples. On peut citer le cas emblématique d’Heartbleed, quand une brèche dans une brique open source a fait trembler Internet, la menace (à venir) de l’ordinateur quantique, etc.
Il n’est pour le moment pas en mesure de battre un ordinateur classique sur des problèmes « utiles » – c’est pour cela que certains parlent plutôt d’avantage quantique à la place de suprématie – mais son spectre inquiète, à raison. Peu importe que ce soit dans un horizon de cinq ou quinze ans, une machine quantique sera un jour capable de casser certains pans de la cryptographie actuelle.
Il « suffit » donc de stocker dès à présent des données (des communications par exemple) pour les décrypter dans plusieurs années. C’est d’autant plus vrai que, « avant même l'existence d'un véritable ordinateur quantique, on a déjà à notre disposition des algorithmes qui seront efficaces pour casser la cryptographie actuelle ».
Bonne nouvelle, des parades sont disponibles et d’autres sont à l’étude : « les cryptographes travaillent sur la cryptographie quantique avec de nouveaux systèmes pour nos ordinateurs actuels qui résisteront à un éventuel ordinateur quantique attaquant pour l'exploiter ».
Dilemme moderne : traitement de masse VS vie privée
Pour David Pointcheval on serait actuellement confronté à un dilemme :
« Soit on ne traite pas les données parce qu'elles sont trop sensibles, et cela peut conduire à un manque à gagner important dans de nombreux domaines où les données ont une grande valeur. Soit on traite, mais on ne protège pas assez, voire on ne protège pas du tout ses données et donc avec de gros risques de fuite ».
Il cite l’exemple de l’apprentissage automatique, une technique nécessitant de très grandes quantités de données pour entrainer les algorithmes, « parfois très sensibles comme des données personnelles, médicales, financières, économiques… ». Traiter en masse avec une garantie de la confidentialité est actuellement un « enjeu majeur » en cryptographie. Des solutions existent, mais malgré d’importantes améliorations, « elles restent encore coûteuses et limitées ». On peut citer le chiffrement homomorphe, sur lequel nous aurons l’occasion de revenir.
Un exemple frappant concerne le vote électronique ou « l’authenticité, l'intégrité des données et des calculs » sont des points primordiaux, qui doivent se conjuguer « avec un fort besoin de confidentialité ». On doit arriver à des résultats « sincères » avec un maximum de précaution sur le respect de la vie privée… et ce n’est pas si simple.
David Pointcheval cite aussi l’exemple de la « décentralisation, dans des contextes où nul ne peut faire confiance à un tiers, comme dans le cas de la blockchain ».
Méthodes formelles et preuves mathématiques
Florent Kirchner, responsable du programme Cybersécurité du CEA List, prend la relève pour le second pilier de la cybersécurité : les méthodes formelles. Le chercheur commence par un rappel : « c'est utiliser des bases, des théories et des raisonnements mathématiques pour donner des outils qui permettent de comprendre les systèmes numériques dans toute leur complexité, et de générer des garanties qui ont la force de preuves mathématiques ».
Certains systèmes nécessitent en effet de produire des preuves (aussi appelées démonstrations) mathématiques. Depuis des années, c’est le cas « des cartes à puce qui sont critiques pour le domaine bancaire et qui requièrent de fournir des garanties très fortes de leur fonctionnement ».
Dans ce domaine de la cybersécurité, les mathématiques permettent deux choses intéressantes : « D'abord, une fois qu'on a construit cette garantie, de s'assurer qu'il y a une forme d'exhaustivité […] Le deuxième impact, c'est que les mathématiques sont facilement automatisables – en tout cas ça peut s’automatiser, facilement c'est peut-être un peu rapide ». Florent Kirchner détaille « trois défis » actuels des méthodes formelles en cybersécurité :
« Le premier, c'est la complexification de ce qui constitue une vulnérabilité […] On voit par exemple avec les failles Spectre-Meltdown que finalement, aujourd'hui, les attaques évoluent pour devenir de plus en plus complexes. Dans une attaque logicielle, elles exploitent, par exemple, un dysfonctionnement ou une faille du matériel […]
Le deuxième défi, c'est celui de traiter des systèmes nouveaux et de plus en plus complexes. Et à ce titre-là, c'est intéressant de prendre l'exemple du vote électronique pour lequel on veut non seulement avoir des garanties sur le résultat du vote, mais aussi sur l'anonymat des votants […] Mais on a aussi tous les systèmes déjà en place – qu'on appelle legacy – et qui sont de plus en plus nombreux, qui restent et qu'il faut pouvoir sécuriser en place […].
Le troisième défi, c'est que ces systèmes – qu’ils soient nouveaux ou anciens – deviennent de plus en plus dynamiques. Tout le monde a en tête l'exemple de Tesla, qui met à jour ses voitures tous les dix jours grosso modo ces derniers temps. Mais également un exemple comme SolarWinds, une attaque toute récente sur un système de gestion de l'infrastructure informatique utilisé par les grands acteurs, en particulier chez nos collègues américains ».
Même si on construit son système comme une forteresse, il faut régulièrement le mettre à jour, ce qui en fait potentiellement un vecteur d’attaque. Il faut également vérifier régulièrement les briques élémentaires de son système, car un seul petit composant défectueux peut faire tomber l’ensemble comme un château de cartes.
Espoir du machine learning, douche froide sur les données
Pour détecter d’éventuels risques de brèches, l’informatique moderne peut apporter une aide importante. Ludovic Mé, adjoint au directeur scientifique d’Inria en charge du domaine de recherche « Cybersécurité », explique ainsi que le « machine learning est un grand espoir dans le monde de la sécurité réactive »… mais ce n’est pour le moment guère plus qu’un espoir : « On n’a pas vu de révolution [...], on en est toujours à évaluer l'apport réel des différents mécanismes […], on en est dans une phase d'expérimentation ».
Comme pour le quantique, nous sommes à un point de pivot : « Ces systèmes à base de machine learning permettent de faire parfois/souvent – j'hésite entre parfois et souvent, on est encore en train de rechercher, c'est difficile de se prononcer – à faire aussi bien que les experts humains ». David Pointcheval va plus loin : dans « des mécanismes complexes, seuls des outils automatiques peuvent aider l'humain ».
Les attentes sont pourtant élevées dans un marché où les systèmes « génèrent énormément de données et [où] il faut beaucoup d'experts humains » pour les traiter… sans oublier que ces experts ne sont pas nombreux. Bref, les enjeux économiques et en termes de sécurité sont importants.
Sur le sujet du machine learning, Ludovic Mé rejoint David Pointcheval concernant l’accès aux données : « Pour vraiment être capable de faire de bons systèmes de détection, il faudra avoir beaucoup de données qui permettent de les entrainer et ça, c'est un problème extrêmement aigu : on a beaucoup beaucoup beaucoup beaucoup (sic) de mal dans le monde académique à avoir des données pertinentes en volume suffisant ».
Même quand il n’y a aucune intrusion, ces données sont généralement considérées comme sensibles par les entreprises, qui ne veulent laisser personne y accéder, y compris pour des recherches. « On court après des volumes de données importants depuis des années », regrette le chercheur de l’Inria.
Dans le prochain article de notre dossier, nous reviendrons sur d’autres piliers du plan cybersécurité comme la protection de la vie privée et l’anonymisation, la sécurité des systèmes, des logiciels et des réseaux, la sécurité des contenus multimédia et enfin celle du matériel.
Les Live Rooms sont une extension d’Instagram Live, lancé en 2017. Cette fonction permet pour rappel de lancer un Live et d’y inviter une autre personne. La conversation peut alors être suivie publiquement.
Les Rooms étendent le concept à trois personnes. Si vous créez un flux Live, vous pourrez donc inviter jusqu’à trois personnes à vous rejoindre pour une conversation. La fonction est compatible avec les « badges » d’Instagram, que le public peut acheter pour récompenser l’auteur du flux.
Des outils supplémentaires arriveront plus tard, notamment pour régler l’audio ou la modération.
La fonction semble avoir été inspirée par l’impact de la crise sanitaire sur la fonction Live, qui aurait servi entre autres à faire intervenir des célébrités dans le rappel des gestes barrières.
Avec près de 300 satellites, Telesat proposera dès 2023 un accès à Internet n’importe où sur le globe. La société vient de signer avec Thales Alenia Space pour la construction des satellites et la gestion des « performances du réseau de bout en bout ». Sur le papier, Telesat espère proposer jusqu’à 7,5 Gb/s vers un seul terminal.
Le plan France Très Haut Débit promet du THD pour tout le monde à l’horizon 2022 avec au moins 80 % de fibre optique. Le déploiement avance bon train et les délais pourraient être tenus malgré la crise sanitaire. Pour les 20 % restants, d’autres technologies seront disponibles, notamment le satellite.
Des offres sont déjà disponibles sur le territoire, mais elles souffrent d’une latence très importante de plusieurs centaines de millisecondes, causée par l’utilisation de satellites géostationnaires. Ce délai est incompressible puisqu’il est la conséquence de la vitesse de la lumière et de la distance à parcourir pour obtenir une information. Nous en avons déjà longuement parlé dans notre dossier sur le sujet.
SpaceX propose une approche différente avec des satellites sur des orbites basses à partir de quelques centaines de kilomètres. Starlink est ainsi en mesure de proposer entre 50 et 150 Mb/s – et espère même atteindre 300 Mb/s cette année – avec une latence entre 20 et 40 ms. La société vient d’ailleurs d’obtenir le feu vert de la part de l’Arcep pour exploiter les fréquences en France. Les précommandes sont déjà ouvertes et le lancement commercial prévu « entre le milieu et la fin de 2021 ».
Un nouveau joueur entre dans la partie
D’autres se sont aussi lancés dans cette aventure, notamment OneWeb, rachetée par le Royaume-Uni et l’Indien Bharti Global après sa mise en faillite. L’opérateur renait de ses cendres et de nouveaux satellites ont déjà été envoyés en orbite en décembre 2020. L’Europe aussi s’intéresse à ce sujet et la Commission se penche depuis peu sur la création d’un « système européen de connectivité par satellite »
Après plusieurs années de recherche, c’est au tour de l’opérateur canadien Telesat de passer une étape cruciale qui ouvre la voie à une commercialisation à partir de 2023 : il sélectionne Thales Alenia Space pour « construire la constellation Lightspeed ». Il proposera ses services à ses compatriotes canadiens et au reste du monde.
Lightspeed est présenté comme un « réseau ultra performant de plusieurs milliards de dollars, basé sur une flotte initiale de 298 satellites en orbite basse (LEO) ». Dans tous les cas, de la concurrence supplémentaire sur ce marché ne peut pas faire de mal…
Thales Alenia Space est une société conjointe créée en 2007 entre le Français Thales, qui détient 67 % des parts, et l’italien Leonardo qui dispose des 33 % restants. En présence de Bruno Le Maire, l’entreprise « a signé un accord avec l’opérateur de satellites Telesat pour assurer la maîtrise d’œuvre de Lightspeed ». Cela comprend les segments spatiaux et de cette mission, ainsi que la responsabilité « des performances du réseau de bout en bout ».
Des liaisons laser intersatellites
Sans trop entrer dans les détails techniques, Thalès vante les caractéristiques de cette constellation : « Elle combine des équipements avancés à bord des satellites – antennes actives capables de repositionner dynamiquement les faisceaux jusqu’à un millier de fois par seconde, puissants processeurs capables de traiter de multiples largeurs de bande ». Chaque satellite sera ainsi en mesure de générer jusqu’à 135 000 faisceaux.
Les satellites disposeront de « liaison optique laser » pour communiquer entre eux et fournir « un maillage recouvrant l’intégralité de la surface du globe, y compris au-dessus des océans et des pôles, tout en offrant un haut niveau de sécurité de service de bout en bout ».
Ces liaisons intersatellites permettent aussi d’« optimiser le segment sol en réduisant le nombre de stations ». Cela procurerait aussi une plus grande flexibilité concernant leur implantation et des ajouts de capacités facilités si besoin. Ces liaisons seront au nombre de 1 192, soit quatre pour chaque satellite de la constellation.
Caractéristiques et orbites des satellites
Chaque satellite de Telesat a une masse comprise entre 700 et 750 kg. À titre de comparaison, les satellites Starlink pèsent moins de 230 kg. Leur durée de vie est de 12 ans, dont 10 en fonctionnement opérationnel. Le désorbitage est évidemment prévu.
Les 298 satellites seront répartis ainsi dans le ciel, ce placement étant « en instance de brevet » selon la société :
Cela permet « une véritable couverture mondiale pôle à pôle », affirme Telesat. La constellation de satellites dans son ensemble aura une capacité de 15 Tb/s. La bande passante maximale par terminal sera de 7,5 Gb/s, contre 20 Gb/s pour un « hotspot » qui rediffusera ensuite la connexion, par exemple via des réseaux mobiles 4G et/ou 5G. Cela peut concerner des zones éloignées, des aéroports, des ports maritimes, etc.
Quid de la latence ?
Avec un satellite géostationnaire à 36 000 km, il y a 500 ms de latence totalement incompressible, car elle dépend directement de la vitesse de la lumière. Cette demi-seconde correspond au temps nécessaire pour faire deux allers-retours (soit 144 000 km), correspondant au chemin suivant : modem de l’utilisateur > satellite > station de base qui effectue la recherche sur Internet > satellite > modem de l’utilisateur.
Avec des satellites à environ 1 000 km d’altitude, on change complètement de registre pour descendre à 13,3 ms de latence (4 000 km pour deux allers-retours). Ceux de SpaceX se situent encore plus bas, à 550 km pour le moment, soit 7,33 ms de latence. Il s’agit pour rappel des minimums théoriques et incompressibles… qui sont donc inatteignables dans la pratique.
Il faut en effet ajouter le temps de traitement de l’information, le temps nécessaire pour récupérer les données sur les sites, etc. Il existe une différence notable entre SpaceX et Telesat, mais il faudra attendre de voir les premiers tests pour savoir comment se placent exactement l’une et l’autre des solutions. Dans tous les cas, c’est largement moins que les satellites géostationnaires.
Les retours du prototype, le lancement commercial de Lightspeed
Avant de signer avec Thales Alenia Space pour la construction de ses satellites, Telesat a déjà envoyé un prototype dans l’espace en 2018. De premiers résultats ont été publiés au cours de l’année passée. Le plus récent date de juin, en partenariat avec Telefónica. La latence était alors comprise entre 30 et 60 ms dans divers usages (streaming, visioconférence, téléchargement…) mais les débits n’étaient pas précisés.
Thales Alenia Space ajoute enfin que « les premiers satellites devraient être prêts à être lancés dans deux ans ». Telesat a déjà annoncé que Blue Origin se chargera des vols, avec sa prochaine fusée réutilisable New Glenn… en espérant qu’un nouveau retard ne vienne pas contrarier les plans. Le vol inaugural a pour rappel été repoussé à fin 2022.
Une phase bêta devrait être lancée dans la foulée du lancement, tandis que le lancement des services commerciaux devrait intervenir durant la seconde moitié de l’année 2023. Cela pourrait bouger en fonction de l’avancement du programme de financement de Telesat.
La distribution a franchi un cap dans son passage à Python 3, la branche 2.X du langage n’étant plus supportée. Le travail n’est d’ailleurs pas spécifique à Fedora, comme on a pu le voir récemment avec la sortie de Kodi 19.
Dans les commentaires sur Reddit, on peut également se rendre compte que le dernier pourcent sera peut-être le plus difficile à éliminer, car on trouve encore du code Python 2 dans Gimp, Chromium ou encore Thunderbird.
La cybersécurité est un vaste domaine, aux conséquences importantes. La recherche y est cruciale pour améliorer les défenses, mais aussi réagir en cas d'attaque. En marge d'annonces gouvernementales, CEA, CNRS et Inria brossent un portrait de la situation et des pistes d'action.
Peu après le Plan Quantique – avec 1,8 milliard d’euros pour la recherche et la construction de telles machines – le gouvernement a annoncé sa « stratégie Cyber » à 1 milliard d’euros, « dont 720 millions de financements publics ».
La Banque des territoires a depuis donné quelques détails : « 500 millions d'euros seront affectés à des projets R&D portés par des acteurs tricolores, 140 millions à la création d’un écosystème dont 74 millions affectés à un campus cybersécurité implanté à La Défense. 176 millions seront pilotés par l’ANSSI pour le "soutien de la demande" […] dans lesquels figurent 136 millions de financements aux collectivités et hôpitaux ».
Ces derniers sont durement touchés ces derniers temps et la crise sanitaire n'arrange pas la situation. Ils sont ainsi invités à faire mieux dans leurs prochains investissements. Ce n'était d'ailleurs pas un hasard si cette annonce s'est déroulée en visioconférence avec les hôpitaux de Dax et de Villefranche, touchés par des rançongiciels.
65 millions pour la recherche, « c'est beaucoup et c'est peu »
Une part – 65 millions d’euros – servira aux Programmes et équipements prioritaires de recherche (PEPR), piloté conjointement par le CEA, le CNRS et Inria. De quoi « donner un coup de fouet » en matière de cybersécurité, selon Gildas Avoine, professeur à l'INSA Rennes à l’Institut de recherche en informatique et systèmes aléatoires.
Il précisait néanmoins que « 65 millions c'est beaucoup et c'est peu, ça dépend le point de vue que l'on prend ». Cette somme pourra néanmoins « raisonnablement être utilisée comme un effet de levier pour accélérer les activités de recherche et que cela aboutisse [...] à des innovations que ce soit à 5 ou 10 ans ».
Comme avec le Plan Quantique, il ne faut ainsi pas attendre des changements rapides. Pour détailler davantage les attentes au niveau du PEPR, des chercheurs des trois instituts s'étaient donné rendez-vous la semaine dernière pour une conférence. Après un point l'open source et de la confiance dans le matériel, voici notre compte rendu.
Notre dossier sur le plan Cyber :
Cybersécurité : on peut prouver que « la sécurité parfaite n'existe pas »
La cybersécurité, des méthodes formelles au codage en passant par la cryptographie (à venir)
Pourquoi un plan sur la cybersécurité maintenant ?
Gildas Avoine commence avec un détour par les fondamentaux et une définition de la cybersécurité : « c'est protéger l'information, c’est aussi protéger des services et des ordinateurs ». Il ajoute d'ailleurs que l'« on parle de systèmes plutôt que d'ordinateurs, le système pouvant être logiciel ou matériel ».
La cybersécurité des systèmes est un vaste sujet, regroupant à la fois la protection, la surveillance, la détection et la réaction aux attaques. Ce dernier point est « extrêmement important » pour le chercheur, car il faut pouvoir « revenir rapidement à la normale après une attaque », ce que l'on appelle la résilience.
La motivation derrière les cyberattaques est, « dans la très grande majorité des cas, l'argent ». Et à ce petit jeu, « les pirates sont vraiment aujourd'hui des experts du domaine avec un niveau de compétence extrêmement élevé. Ils s'organisent en bandes et on peut même parler dans certains cas de bandes mafieuses ».
Ces dernières années, on a connu une « très forte croissance des attaques », notamment des ransomwares, quand les pirates demandent à leurs cibles de payer une rançon pour récupérer leurs données ; c'est du moins la promesse faite. Cette nouvelle vague « justifie ce plan d'accélération sur la cybersécurité », affirme Gildas Avoine.
L'illusion d'une forteresse impénétrable
Et l'avenir promet d'être au moins aussi chargé : « Il ne faut pas être anxiogène, je pense que ce n'est pas le but, mais il ne faut pas non plus rester les bras croisés ». Il partage ensuite un constat qui fait consensus depuis longtemps dans le monde de la sécurité en ligne, mais qu'il est bon de rappeler :
« On pourra mettre autant d'argent que l'on veut. Malheureusement, on sait que la sécurité parfaite n'existe pas. On peut d'ailleurs le prouver et qu'il faut changer en quelque sorte de paradigme. »
Au cours des dernières années, la philosophie a évolué. Des systèmes que l'on pensait robustes sont tombés, rappelant que, effectivement, personne n'est à l'abri. Le moindre grain de sable peut entrainer une réaction en chaine et gripper tous les rouages, avec des interruptions de service, des fuites de données, etc.
Alors que l'on était dans « une philosophie où on essayait de construire une forteresse autour de notre système informatique […] Aujourd'hui, on considère que de toute façon une attaque arrivera un jour. Donc, il faut impliquer tous les acteurs, tous les habitants de cette forteresse pour combattre et réagir à cette attaque ».
Cette notion de « forteresse » ne tient pas la route, comme le détaillaient d'autres chercheurs durant la conférence. On peut construire des murs aussi solides et épais que l'on veut, les attaquants peuvent toujours creuser des tunnels souterrains, utiliser des hélicoptères pour passer au-dessus et parfois utiliser d'autres « astuces ».
C'était le cas de SolarWinds où, en continuant la comparaison avec un château fort, on pourrait dire que les pirates sont passés par des paniers de linges livrés par des blanchisseurs.
Le principal problème en cybersécurité ? Les utilisateurs…
Bref, il est illusoire d'espérer construire une forteresse, d'autant que le principal vecteur d'attaque (et maillon faible) est bien souvent l'utilisateur. Ludovic Mé, adjoint au directeur scientifique d’Inria en charge du domaine de recherche Cybersécurité, donne son point de vue :
« Un virus s'exécute au nom d'un utilisateur, la cible première du virus c'est l'utilisateur avant les fichiers ou l'information [...] On a ce problème que l'utilisateur est dans la boucle [...] La patte humaine est complexe et difficile à maitriser [...] La sensibilisation et la formation des utilisateurs est quelque chose d'essentiel dans la lutte contre les virus... et c'est extrêmement compliqué. »
Il ajoute que « les utilisateurs doivent être sensibilisés à rester aux aguets, ne pas cliquer sur tout ce qui passe à leur portée, à réfléchir un peu avant d'agir » mais que « les administrateurs doivent être en nombre suffisant, formés par des experts en sécurité […] Les industriels, évidemment, doivent innover, fournir des outils qui sont à même de prévenir les attaques ou de les détecter ». Le manque de moyens humains est souvent pointé du doigt.
De son côté, la recherche « doit apporter des connaissances et des idées nouvelles » : « Plus fondamentalement, il faut qu'on réfléchisse à la conception de systèmes plus résistants par nature. Même si, face à un virus, le combat est difficile parce que c'est l'utilisateur lui-même qui enclenche l'attaque en quelque sorte ».
Les chercheurs et la collaboration « cyber » en France
Florent Kirchner, responsable du programme Cybersécurité du CEA List, donne quelques chiffres :
« Pour vous donner un ordre de grandeur entre 2008 et 2018, on est passé grosso modo de 400 équivalents temps plein à 850, qui mélangent finalement une grande diversité d'acteurs et en particulier des chercheurs, d’anciens chercheurs, mais également des doctorants, avec une formation annuelle de 130/140 doctorants »
Toujours dans le monde de la recherche, l’entente entre les laboratoires semble cordiale avec des projets conjoints et des équipes communes... mais on imagine mal les chercheurs dire le contraire dans une conférence commune.
« On a vu aussi ces dernières années l'émergence d'initiatives de coordination et d'animation », ajoute Florent Kirchner. La France n’aurait pas à rougir au niveau mondial et aurait des compétences reconnues dans certains domaines clés de la cybersécurité comme « la cryptologie et les méthodes formelles ».
Public/Privé : un but commun, un travail main dans la main ?
Nous avons demandé aux chercheurs ce qu’il en était de la collaboration entre le public (avec le monde académique) et le privé, où les enjeux sont souvent bien différents : les sociétés n’auraient-elles ainsi pas tendance à faire de la recherche de leur côté, de manière isolée ? Pour Florent Kirchner, c’est « un peu les deux ».
Il y a effectivement « un certain nombre de thématiques propres à la cybersécurité qui sont des domaines sensibles pour lesquels il y a des travaux plutôt fermés ». A contrario, « il y a beaucoup de collaborations qui se font avec le monde de la recherche ». Plusieurs exemples sont donnés : « la formation par la recherche et l'encadrement de jeunes thésards » qui mélange des laboratoires de recherche et des équipes de R&D, des projets collaboratifs, etc.
Ludovic Mé précise que, au besoin, les chercheurs peuvent aussi « travailler sur des sujets sensibles et même classifiés (confidentiel défense ou secret défense) », y compris pour la défense nationale. Ils peuvent obtenir une habilitation et certains laboratoires disposent de protections spécifiques si besoin, certains en ont l'habitude.
De manière générale, « on n’a pas beaucoup de problèmes de collaboration lié à la sensibilité », affirme-t-il. Il reconnait que, il y a 10 ou 15 ans, « les industriels traitaient ce sujet de cybersécurité en vase clos, de chez eux, en communiquant peu ». Mais aujourd'hui, « il y a une certaine prise de conscience sur le fait que c'est un sujet tellement complexe et pluridisciplinaire qu'ils ne peuvent plus se permettre de tout gérer en interne. Ils viennent nous chercher, notre expertise et collaboration pour les aider à avoir une vision plus globale ».
Les six principales thématiques du plan Cyber
Dans la suite de notre dossier, nous reviendrons en détail sur six thématiques que les chercheurs du CEA, CNRS et Inria ont mis en avant durant leur conférence : codage et cryptographie, méthodes formelles, protection de la vie privée, sécurité des systèmes et des logiciels, sécurité des données multimédia et sécurité des systèmes matériels.
Elles se retrouveront « sous une forme ou sous une autre dans la cadre du PEPR », affirme Florent Kirchner.
Comme toujours, vous pouvez également vous inscrire à nos newsletters. Pensez également à nous notifier de vos trouvailles via ce formulaire dédié en bas de cette page pour en faire profiter le reste de la communauté.
Bien que des jeux soient encore en développement pour la PlayStation 4, c’est bien sûr la dernière console qui avait tous les honneurs.
De nombreuses bandes-annonces de titres en approche ont été montrées, dont la version PS5 du Remake de Final Fantasy VII, baptisée Intergrade. Elle sera gratuite pour ceux ayant déjà acheté la mouture PS4 et contiendra un nouvel épisode – à acheter – qui proposera de sauver Yuffie. Intergrade sortira le 10 juin.
Vous trouverez ci-dessous les autres jeux présentés durant l’évènement, dont beaucoup étaient déjà connus. Le State of Play a été l’occasion de montrer de nouvelles images et, pour certaines, d’apporter une date de sortie.
Returnal : 30 avril
Oddworld: Soulstorm : 6 avril
Crash Bandicoot 4 : 12 mai
Knockout City : 21 mai sur PlayStation 4 pour 19,99 dollars, la version PS5 sera améliorée
Sifu : pas de date, sortie prévue sur les deux consoles
Solar Ash : 2021
Five Nights at Freddy's: Security Breach : pas de date
En matière de cybersécurité, l’open source est un bon point de départ, mais pas suffisant pour autant. La traçabilité des composants est aussi importante, comme nous le rappelle l’affaire Supermicro. Quels sont les risques et les solutions envisagées sur ces sujets ? Une demi-douzaine de chercheurs répondent à ces questions.
La semaine dernière, Emmanuel Macron annonçait une stratégie cyber avec un milliard d’euros à la clé. Afin de revenir sur les ambitions de ce plan, le CEA, le CNRS et Inria organisaient une conférence commune pour faire un point de la situation de la recherche en France.
Durant cette présentation, sur laquelle nous aurons l’occasion de revenir en détail, nous avons interrogé les chercheurs sur un point en particulier de la cybersécurité : les projets open source. Nous avions évidemment en mémoire la faille Heartbleed d’OpenSSL, qui a fait trembler Internet il y a maintenant sept ans.
Pour Ludovic Mé, adjoint au directeur scientifique en charge du domaine de recherche Cybersécurité à Inria, il y a deux aspects à cette problématique. Il commence par voir le côté positif et rappelle qu’il y a « un certain nombre de failles dans SSL qui ont été découvertes grâce aux travaux académiques », notamment ceux « liés au domaine des méthodes formelles ».
Pour résumer il s’agit de « techniques informatiques d'une grande rigueur permettant, à l'aide de langages spécialisés et de règles logiques, de s'assurer (idéalement) de l'absence de tout défaut de programmes informatiques », rappelle l’Universalis.
Le chercheur explique que, dans certains cas, « les failles et les attaques correspondantes étaient tellement compliquées qu’on ne pouvait pas les trouver avec un crayon et un papier pour le dire simplement ». « C’est le monde académique qui a découvert les failles et c’est le monde académique qui a produit en association avec Microsoft, pour être très précis, une nouvelle version de SSL exempte de ces failles », affirme-t-il.
Cette technique d’« épauler l’expert – l’être humain – avec des capacités automatisées, y compris à base de machine learning », est prometteuse pour Florent Kirchner, responsable du programme Cybersécurité du CEA List. Pour détailler son propos, il reprend la notion de Centaure (une créature mi-homme, mi-cheval de la mythologie) notamment utilisée par le Grand Maitre des échecs Garry Kasparov, pour qui une association « entre l’homme et la machine, qui en fait joue mieux que l’homme tout seul ou la machine toute seule ».
Pour Florent Kirchner, cette collaboration serait particulièrement efficace dans le cas de l’analyse d’un système : « Un cyber centaure c’est quelque chose que demain on va continuer d‘explorer […] et montrer que cette complémentarité libère du temps aux experts, apporte une valeur ajoutée significative pour leur permettre de se concentrer sur les problèmes intéressants et importants », affirme-t-il.
Le responsable du programme Cybersécurité du CEA List voit ce cyber centaure comme l’« organisation ultime en matière de cybersécurité ». Pour Ludovic Mé, c’est la preuve que « les travaux académiques peuvent avoir un impact extrêmement réel ».
Le risque zéro n’existe pas
A contrario, une seconde lecture de cette douloureuse affaire Heartbleed peut être faite : « Est-ce que ça change aujourd’hui ? Si on disait les choses un peu rapidement on dirait : "non, ça n’a pas changé aujourd’hui" ». Pour le chercheur, le fond du problème est « qu’on ne peut jamais assurer qu’il n’y a pas une faille résiduelle dans [un] système ; qu’il soit ouvert ou fermé ne change rien ».
Cette remarque est valable pour tous les systèmes, mais le risque se multiplie lorsqu’un même logiciel est largement utilisé, ce qui était le cas d’OpenSSL. Ludovic Mé précise néanmoins que, comme de nombreux autres chercheurs du milieu académique, il pense que « si c’est ouvert c’est mieux, mais ce n’est pas une garantie complète non plus ».
Il s’explique :
« Le système est tellement compliqué, il y a tellement de dizaines de milliers de lignes de code que personne n’est capable d’assurer qu’effectivement tout a été revu. Et même si tout a été revu, toutes les failles n’ont pas été découvertes. Il est impossible d'éliminer le problème, c’est pour ça que la réponse un peu rapide serait de dire "non, ce n’est pas mieux aujourd’hui" ».
Point positif : il y a une « espèce de sensibilité globale à ce problème-là qui a augmenté, en particulier car il y a eu des cas comme ceux que vous mentionnez avec Heartbleed ». D’autres failles ont depuis fait trembler Internet et tomber certains protocoles de sécurité, renforçant la prise de conscience collective (souvent tardive). Mais il reste encore tellement de mauvaises pratiques, de « bugs », de défauts de conception… On est toujours surpris de les voir faire surface lorsqu’ils entrainent des fuites de données personnelles.
« Open source » ne sont pas deux mots magiques en cybersécurité
Gildas Avoine, directeur du GDR CNRS Sécurité informatique et professeur de l’INSA Rennes à l’Institut de recherche en informatique et systèmes aléatoires, apporte son grain de sel sur la question de l’open source : « Ce qui est clair aujourd’hui [et] prôné par la communauté académique, c’est que les algorithmes et le code soient ouverts. On ne doit plus faire de sécurité par obscurité ».
Pour appuyer ses dires, le directeur de recherche cite le principe du linguiste Auguste Kerckhoffs Van Nieuwenhof, consigné dans son traité de La cryptographie militaire de 1883 : « La sécurité d’un système de cryptement ne doit pas dépendre de la préservation du secret de l’algorithme. La sécurité ne repose que sur le secret de la clé », comme l’indique l’ANSSI dans guide des bonnes pratiques de la cryptologie.
Appliqué au monde moderne, ce principe « pourrait se traduire par l’open source », lâche Gildas Avoine. Son corolaire est tout aussi important : « la sécurité ne doit pas reposer sur le fait que le code n’est pas open source ».
« Bien souvent », personne n’a audité le code
Mais attention, si « open source » veut dire que tout le monde peut (en théorie) accéder au code source, cela ne signifie pas pour autant que des chercheurs passent des heures, semaines, mois ou années à le vérifier sous toutes les coutures… c’est même très loin d’être le cas : « Au final, il y a très peu de gens qui ont la compétence pour l’auditer, et bien souvent il n’y a personne qui l’a fait ». C’est malheureusement une triste réalité.
Gildas Avoine en ajoute une couche : « Le code est dynamique, il évolue […] il y a différentes versions. Même s’il a été audité à un instant T, on s’aperçoit qu’il peut y avoir des failles qui arrivent un peu plus tard. C’était le cas de Heartbleed, une faille introduite avec le développement d’une nouvelle version ». Cette brèche était en plus passée sous les radars pendant plusieurs années.
Pire encore selon Ludovic Mé : « quand une nouvelle version corrige, une faille est produite, il se passe parfois des mois, des années – des années – avant qu’elles soient déployées concrètement sur 99 % des systèmes. La faille résiduelle, même corrigée, est présente souvent pour de nombreuses années ». Dans le cas de Heartbleed par exemple, près de 200 000 serveurs étaient toujours vulnérables trois ans après la mise en ligne des correctifs. C’est un problème beaucoup plus large, que l’on retrouve par exemple dans les objets connectés embarquant d'anciens noyaux Linux, les ordinateurs, etc.
Pour résumer, « il faut être vigilant avec le code open source », explique Ludovic Mé. Même si l’open source est largement soutenue par le monde académique et que certaines sociétés sautent le pas notamment pour essayer de montrer qu’elles n’ont rien à cacher, « on n’a aucune garantie de sécurité parce que le code est open source ».
Supermicro : la crédibilité des déclarations de Bloomberg
Durant la conférence, le sujet des micropuces chinoises espionnes sur des cartes mères Supermicro est revenu sur le devant de la scène. Jacques Fournier, chef du laboratoire de sécurisation des objets et systèmes physiques du CEA Leti, était le premier à répondre : « Je n’ai pas d’information, je ne peux pas confirmer quoi que ce soit sur les révélations de Bloomberg ».
Il ajoutait néanmoins que c’est « effectivement une problématique qui est aujourd’hui existante […] On a des chaines d’approvisionnement de plus en plus complexes, qu’on n’arrive plus à tracer. Sur certains objets connectés et déploiements de systèmes critiques, ça peut poser problème ». Avec d’autres chercheurs et des partenaires privés, Fournier travaille sur des « processus qui permettent de réduire et mitiger les risques de supply chain ».
Florent Kirchner, responsable du programme Cybersécurité du CEA List, est plus sceptique : « jusqu’ici, il n’y a rien qui est venu prouver ces révélations là. On n’a pas trouvé ces puces chinoises. On aurait pu imaginer qu’en deux ans, on s’était laissé assez de temps pour regarder tout ça ».
Comme nous l’avions expliqué, des sociétés avec d’énormes moyens et de forts enjeux sur le sujet de la confidentialité (Amazon, Apple, OVH) se sont penchées sur ce sujet sans rien trouver jusqu’à présent. « Je prendrais ces révélations de Bloomberg avec une dose un peu sérieuse de sel en termes de crédibilité », ajoute Florent Kirchner.
Des choses qu’on a « du mal à expliquer » dans les processeurs
Cela ne doit par contre pas cacher le fond du problème, comme nous l’avions déjà expliqué : « On a des composants qui viennent de partout dans le monde, et qui sont intégrés un peu partout dans le monde, qu’on reçoit ensuite et dans lesquels se pose fondamentalement la question de "est-ce que je peux avoir confiance ?" » ; une question valable aussi bien pour la partie logicielle que matérielle.
On touche ici à la question de la souveraineté numérique : « qu’est-ce qu’on veut maitriser, en quoi on a confiance, comment on fait pour établir la confiance ? », se demande Ludovic Mé.
Ce dernier ajoute : « je ne sais pas quel est le statut juridique de ça, mais reverser [au sens rétro-ingénierie, ndlr] les processeurs de nos amis ou moins amis américains ou d’ailleurs, pour voir ce qu’il y a dedans. Ceux qui le font savent et voient qu’il y a parfois des choses qu’ils ont du mal à expliquer dans ces processeurs. C’est avéré pour le coup ».
L’Arcep vient de mettre en ligne son nouvel observatoire du déploiement de la 5G. Il ne réserve pas de grosses surprises puisque les stratégies de chacun restent inchangées. En tout, près de 10 000 sites sont d’ores et déjà accessibles aux clients, dont plus de la moitié sur les 700 MHz chez Free Mobile.
Lancée officiellement depuis plusieurs semaines en France, la 5G est en train de se déployer sur le territoire, avec de grosses différences dans les stratégies des opérateurs, chacune avec ses avantages et inconvénients. Afin d'en suivre l’évolution, l’Arcep et l’ANFR agissent de concert, publiant chacune son propre observatoire.
L’Agence nationale des fréquences (ANFR) détaille ainsi chaque mois le bilan des autorisations qu’elle délivre, ce qui n’indique en rien qu’une antenne est en place ou qu’elle est activée. Elle précise également le nombre de sites « techniquement opérationnels », émettant des ondes radio sans forcément être commercialement ouverts.
Cette dernière information se trouve du côté de l'autorité de régulation des télécoms, qui vient d’ailleurs de mettre à jour son observatoire avec les données datant du 31 janvier 2021. En un mois, les opérateurs ont déployé plus de 1 300 sites 5G dans leur ensemble, s’approchant ainsi de la barrière des 10 000 actifs.
Le grand écart : 869 sites 5G pour SFR, 6 273 pour Free Mobile
Voici le bilan tel que donné par l'Arcep :
Bouygues Telecom : 1885 sites en 5G, dont 14,6 % en 3,5 GHz
Free Mobile : 6 273 sites 5G, dont 6,5 % en 3,5 GHz
Orange : 953 sites en 5G, dont 74,6 % en 3,5 GHz
SFR : 869 sites en 5G, dont 22,8 % en 3,5 GHz
De notre côté, nous avons compilé les chiffres en fonction des fréquences, avec à chaque fois les évolutions par rapport au précédent relevé. L'Autorité rappelle au passage un point important : « Un même site peut être équipé de plusieurs bandes de fréquences pour fournir le service 5G. Ainsi, le nombre de sites total peut être inférieur à la somme des sites répartis selon les bandes de fréquences ».
Dans ses calculs et dans son communiqué de presse, elle mélange sur une même ligne les fréquences de 700-800 MHz et sur une autre celles de 1800-2100 MHz. Ce n’est pas notre cas dans le tableau ci-dessous, car dans les faits la situation est (pour le moment) bien plus simple comme le montrent les données brutes, disponibles par ici.
En les analysant, on constate que hors de la bande des 3,5 GHz, Free n’utilise que celle des 700 MHz, ce qui n’est pas surprenant puisqu’il ne dispose pas de fréquences dans celle de 800 MHz (il n’a rien remporté aux enchères). De leur côté, Bouygues Telecom, Orange et SFR ne réutilisent pour le moment que la bande des 2,1 GHz.
Cela donne le résultat suivant :
Ainsi, aucun site n'est ouvert commercialement dans les 800 MHz et 1,8 GHz, tous les opérateurs confondus. On peut donc résumer la situation ansi que le pourcentage de sites ouverts comme suit :
1 594 sites 5G dans les 3,5 GHz : Orange à 44,6 %, Free à 25,7 %, Bouygues à 17,3 % et SFR à 12,4 %
2 771 sites 5G dans les 2,1 GHz : Bouygues à 65,6 %, SFR à 24,9 % et Orange à 9,5 %
6 273 sites 5G dans les 700 MHz : Free Mobile à 100 %
SFR tourne au ralenti
Après avoir été le premier opérateur à lancer son réseau commercial (pour 50 % de la population niçoise seulement), SFR est cette fois dernier du classement en nombre de sites ouverts pour ses clients.
L’opérateur ne revendique que 869 sites, soit une hausse de 77 sites seulement en un mois (+8,9 %). Sur les deux dernières semaines de décembre, la progression de la marque au carré rouge était pourtant de pas moins de 500 sites. SFR est également bon dernier sur un autre point : il n’a « que » 198 sites sur la bande des 3,5 GHz.
Cette dernière est considérée comme étant au « cœur » de la 5G car elle est plus élevée et les blocs de fréquences y sont plus larges que dans les autres bandes, ils peuvent donc y proposer des débits bien supérieurs.
Orange toujours à fond sur les 3,5 GHz, Free Mobile sur les 700 MHz
Orange est légèrement devant avec 953 sites ouverts commercialement pour la 5G, mais il existe une différente fondamentale : l'opérateur se concentre massivement sur les 3,5 GHz représentant près de 75 % de ses sites (soit 711). Il est d’ailleurs largement en tête puisqu'il en compte près de deux fois plus que le second, Free Mobile.
La stratégie de Bouygues Telecom semble proche de celle de SFR puisqu'il est troisième en nombre de sites sur les 3,5 GHz : seulement 275. C'est tout de même près du double de décembre dernier. L’opérateur peut néanmoins revendiquer la seconde marche du podium concernant le nombre de sites 5G ouverts commercialement… principalement grâce à la réutilisation du 2,1 GHz, sur pas moins de 1 819 sites.
Reste le cas de Free Mobile, second sur le 3,5 GHz donc, mais qui domine largement les débats sur le nombre de sites 5G : 6 273. Mais aussi de la couverture, car c’est le seul opérateur à miser sur le 700 MHz pour proposer de la 5G. Il revendique ainsi plus de 40 % de la population –, mais avec des débits bien moindres… le problème étant que l’opérateur ne les précise pas. Il ne fait d’ailleurs aucune mention d’une différence de débit sur sa carte.
Depuis sa nouvelle et dernière demeure, le rover Perseverance envoie ses premières photos et informations. Des images de la descente ont également été prises par Mars Reconnaissance Orbiter et le jetpack chargé de poser le rover. Une fausse vidéo rapidement devenue virale est arrivée dans la foulée.
C’est fait : un nouveau rover s’est posé sur Mars. Il va pouvoir commencer à parcourir la planète rouge à la recherche de traces de vies passées. Nous avons déjà longuement détaillé les tenants et aboutissants de cette mission, et notamment de l’un de ses principaux instruments (développé en France) : SuperCam.
Notre dossier sur l'exploration de Mars et la recherche de la vie avec Mars 2020 :
Le premier rover sur la quatrième planète de notre Système solaire remonte pour rappel à 1997, avec la mission Pathfinder et son petit rover Sojourner. Les choses se sont ensuite accélérées dans les années 2000.
Tout d’abord avec les jumeaux Spirit et Opportunity de la mission Mars Exploration Rover, puis Curiosity en 2012 avec la mission Mars Science Laboratory. On est maintenant avec Perseverance de Mars 2020, qui se trouve dans le cratère de Jezero. Pour approfondir l’histoire des rovers martiens, le CNES proposait il y a quelques mois une émission baptiséeDe Sojourner à MMX, la lignée des rovers.
Perseverance réussit son atterrissage, en plein dans la zone prévue
L’Agence spatiale américaine avait minutieusement préparé le terrain avant le lancement. Elle avait délimité une zone de 45 km de diamètre où le rover devait se poser afin d’avoir le plus de chance de mener à bien sa mission. Bonne nouvelle, il s’est parfaitement positionné, comme on peut le voir sur cette carte interactive de la NASA. Elle sera mise à jour en fonction des déplacements du rover sur le sol martien.
Le rover Perseverance à gauche, une vue globale avec les autres rovers et modules à droite
Pour rappel, la marge de manœuvre est extrêmement réduite lors de la rentrée dans l’atmosphère : « un degré de plus et l’engin qui arrive à plus de 20 000 km/h se détruit. Un degré de moins et il rebondit sur l’atmosphère et se perd dans l’espace », comme le rappelait le CNES.
La NASA propose sur cette page de revivre en images de synthèse la procédure d’atterrissage du rover, avec la possibilité de changer de point de vue, d’accélérer ou ralentir le déroulement des opérations, etc. En réalité, cette manœuvre est entièrement automatisée.
Des photos de Perseverance depuis le jetpack et la sonde MRO
En plus d’avoir des instruments de nouvelle génération, la plateforme volante – ou jetpack – qui a ralenti la chute de Perseverance était elle aussi équipée d’une caméra haute définition pour suivre la descente. Une première image du rover juste avant que ces roues ne touchent le sol a été mise en ligne, sur son compte Twitter officiel.
Une vidéo (elle aussi en HD) sera publiée prochainement indique l’Agence spatiale américaine. Pour Curiosity, un stop motion avait été mis en ligne, mais la qualité était loin d’être la même.
Ce n’est pas la seule image actuellement disponible de la descente. La caméra HiRISE de la sonde Mars Reconnaissance Orbiter (MRO) a capturé le rover et son parachute lors de cette délicate phase. Il ne s’agit pas d’une image en très haute résolution, mais ce cliché n’en reste pas moins « exceptionnel », même si ce n’est pas une première pour l’instrument HiRISE. Il avait déjà capturé la descente de Curiosity.
Quoi qu’il en soit, à peine le rover Perseverance est posé sur Mars que les premières photos in situ arrivent sur Terre (en noir et blanc pour commencer). Elles sont disponibles sur cette page, et se comptent déjà par dizaines au format RAW. D’autres images sont également accessibles par ici, dont certaines en couleurs… et ce n’est que le début, d’autant que SuperCam n’est pas encore en marche. « Contrairement aux anciens rovers, la majorité des caméras de Perseverance capturent des images en couleur », ajoute la NASA.
Une conférence de presse est prévue ce soir à 20h, avec de nouvelles images et vidéos de la planète rouge, indique l’Agence spatiale américaine. Il sera possible de la suivre par ici.
De son côté, le petit hélicoptère Ingenuity est en train de faire le plein d’énergie avant de voler de ses propres hélices. Si des bonnes nouvelles sont envoyées par le rover, l’émancipation n’est pas pour tout de suite : « La liaison descendante […] à travers une connexion via Mars Reconnaissance Orbiter indique que l'hélicoptère, qui restera attaché au rover pendant 30 à 60 jours, et sa station de base (une boîte électrique sur le rover qui stocke et envoie les communications entre le giravion et la Terre) fonctionnent comme prévu », affirme le JPL de la NASA.
Le chargement des six batteries au lithium-ion du drone se fait en douceur, le temps de vérifier que tout se passe comme prévu. Plus tard, lorsqu’il sera autonome, il devra les recharger tout seul, avec son panneau solaire. « Une fois que Perseverance aura déployé Ingenuity à la surface, l'hélicoptère disposera d'une fenêtre d'essai en vol de 30 jours martiens (31 jours terrestres) », rappelle le PJL.
Il faudra pour cela que le petit drone de 2 kg survive aux nuits martiennes, durant lesquelles les températures peuvent descendre jusqu’à -90°C. Si le décollage et le premier vol d’Ingenuity sont un succès, 90 % de la mission sera remplie. Ensuite, « si le giravion atterrit avec succès et reste opérationnel, jusqu'à quatre autres vols pourraient être tentés ». Si cette expérimentation est un succès, elle pourrait être reconduite sur d’autres missions.
Ce week-end, une vidéo a largement circulé sur les réseaux sociaux (voir ici ou encore là), rapidement relayés par certains sans plus de précautions. Elle présentait bien un paysage martien avec en prime une piste audio laissant croire que c’était en provenance de Perseverance qui venait juste d’arriver sur Mars.
La présence de micros est en effet une des nouveautés de Perseverance qui fait parler d’elle et pour lesquelles les attentes scientifiques sont importantes. Une lecture même rapide de la vidéo permettait pourtant d’éviter de tomber dans le panneau, sans avoir besoin de pouvoir identifier le rover au premier coup d’œil.
Le premier indice était flagrant et se trouvait à la fin de la vidéo : on pouvait voir Curiosity écrit sur le rover. Autre indice important : les traces laissées par les roues dans le sol, alors que Perseverance n’a pas encore bougé d’un iota. Bref, « la mariée était trop belle », mais son histoire s’est répandue comme une trainée de poudre.
Cette affaire – sans gravité dans le cas présent – est l’occasion de rappeler qu’il faut faire preuve de prudence avec ce genre de vidéos sensationnelles, d’autant plus dans le domaine des sciences. Si dans le cas présent les ficelles étaient très grosses, ce n’est pas toujours le cas.
SpaceX dispose désormais de quatre autorisations de l’Arcep, lui permettant de déployer son offre en France. Elles concernent l’exploitation des fréquences sur trois stations de base au sol ainsi que pour les « terminaux utilisateurs (type paraboles) », qui permettent aux clients d’accéder à Internet.
Cela fait maintenant des mois que SpaceX envoie des satellites par paquets de plusieurs dizaines sur des orbites basses pour construire son réseau mondial Starlink. La constellation grossit rapidement puisqu’il y en a désormais plus de 1 000 en orbite, selon SpaceNews.
Le but de Starlink est de proposer un accès à Internet partout dans le monde, avec une latence raisonnable, surtout comparée à celle des autres offres par satellites (géostationnaires). Pendant la bêta, « les utilisateurs peuvent s'attendre à voir des vitesses variant entre 50 et 150 Mb/s et une latence de 20 à 40 ms ».
Avec des offres traditionnelles, la latence est de plusieurs centaines de millisecondes au minimum, à cause de la distance à parcourir (36 000 km entre le satellite et la Terre). Le lancement de nouveaux satellites permet certes d’augmenter les capacités et donc les débits des clients, mais ne change rien à la latence tant qu’ils sont géostationnaires.
Des stations au sol dans le Nord, la Gironde et la Manche
La bêta a débuté l’année dernière pour certains clients triés sur le volet, avec l’interdiction de parler des performances… même si des fuites sont rapidement arrivées. La procédure s’est accélérée sur la fin de l’année pour des clients sur liste d’attente. On apprenait au passage que l’abonnement est à 99 dollars par mois, et qu’il faut acheter un kit de réception (parabole) à 499 dollars.
Les précommandes ont officiellement ouvert il y a quelques jours, avec un lancement prévu pour la seconde moitié de l’année en France. « La disponibilité est limitée. Les commandes seront traitées sur la base du premier arrivé, premier servi », précise la société.
Au cours de l’année dernière, l’Arcep a délivré trois « autorisations d’exploitation de fréquences liées aux stations passerelles (Gateway), essentielles au fonctionnement du réseau (ces fréquences sont utilisées pour permettre au satellite de se connecter au réseau terrestre) ». Pour rappel, Internet par satellite a un fonctionnement particulier : le client envoi une demande au satellite, qui la transmet à une station de base au sol, qui renvoie le résultat au satellite, qui la transmet à l’utilisateur.
La première autorisation remonte à début juillet, au nom de la société Tibro (orbit à l’envers) et porte sur « la station terrienne Gravelines Starlink ». La seconde est arrivée quelques semaines plus tard, en aout. Elle concerne de nouveau la société Tibro (qui sert visiblement à cacher le nom de SpaceX), mais pour une station au sol à Villenave-d’Ornon, en Gironde cette fois.
La troisième date de début décembre, mais est un peu différente : SpaceX ne se cache plus derrière Tibro ; l’autorisation est à son nom propre. Elle concerne la ville de Saint-Senier-sur-Beuvron (non loin du Mont-Saint-Michel) dans la Manche. Cette autorisation avait soulevé quelques inquiétudes chez certains habitants.
Dans les trois cas, les autorisations de l’Arcep permettent à SpaceX d’exploiter des fréquences radioélectriques « dans les bandes 18 GHz et 28 GHz ». La première sert à la liaison descendante (espace vers Terre), la seconde pour les liaisons montantes (Terre vers espace). Il est indiqué que les autorisations sont valables pour « une durée de dix ans », et qu’elles sont renouvelables sous certaines conditions.
Bref, les satellites se mettent en place dans le ciel et les stations au sol ont leurs autorisations dans trois points stratégiques en France (et dans d’autres pays dans le monde), mais cela n’est toujours pas suffisant pour lancer un réseau commercial : il faut encore que les clients puissent se connecter aux satellites.
Paraboles pour Starlink : SpaceX obtient le feu vert de l’Arcep
Elle est valable « sur l’ensemble du territoire sur lequel l’Arcep est affectataire » et permet à SpaceX l’« exploitation de fréquences liées aux terminaux utilisateurs (type paraboles), nécessaire pour fournir un service d’accès à Internet par satellite aux utilisateurs finaux ».
D’un point de vue technique, cela correspond aux bandes de 10,95 à 12,70 GHz pour le sens espace vers Terre et de 14 à 14,5 GHz dans le sens inverse.
Cette autorisation s’inscrit dans le cadre de la décision ECC/DEC/(17)04 de la Conférence européenne des administrations des postes et télécommunications (CEPT). Elle précise « un certain nombre de critères relatifs à l’utilisation de fréquences radioélectriques de ces bandes afin d’effectuer des communications entre des systèmes à satellites non-géostationnaires et des stations terriennes fixes ».
SpaceX devra « interrompre immédiatement » en cas de brouillage
Le but est de « prévenir des brouillages qui pourraient être causés par les terminaux utilisateurs », une étape importante puisque les clients ne sont soumis à aucune déclaration individuelle pour l’installation des paraboles. Cette autorisation ne donne par contre aucune « garantie de non-brouillage » et oblige à une « non-interférence vis-à-vis d’autres systèmes et services utilisant ces bandes de fréquences ou présents en bandes adjacentes ».
Dans l’article 4 il est précisé que « la société Starlink Internet Services Limited devra interrompre immédiatement toute activité liée à l’utilisation de ces fréquences si des brouillages étaient constatés ». Cette autorisation est également valable dix ans.
Enfin, l’Arcep rappelle qu’il ne s’agit là que des autorisations nécessaires à l’exploitation des fréquences. Cela « ne dispense pas de la délivrance d’autres autorisations requises pour l’implantation de stations radioélectriques (déclarations auprès de l’Agence nationale des fréquences, autorisations d’urbanisme) ».
Google vient de mettre en ligne la première version d’Android 12 pour les développeurs. Comme précédemment, elle met l’accent sur la sécurité et la confidentialité des données. Des changements sont aussi annoncés sur le multimédia et les notifications. La société précise aussi son calendrier pour les bêtas et versions finales.
Il y a un an quasiment jour pour jour, Google publiait la première Developper Preview d’Android 11. D’autres ont suivi, puis des bêtas sont arrivées avant la version finale début septembre. Le calendrier avait été quelque peu chamboulé par la crise sanitaire, même si les délais avaient dans l'ensemble été tenus.
Google s’était réjoui de l’adoption d’Android 11 par ses partenaires, qui serait plus rapide qu’avec Android 9 et 10 (au moins sur les deux premiers mois de l’année). Rappelons que la fragmentation d’Android est un réel problème, et pas seulement pour profiter des nouvelles fonctionnalités : certains smartphones ne peuvent même plus avoir de mises à jour de sécurité.
Comme c’est le cas depuis plusieurs versions déjà, Android 12 promet d’améliorer (un peu) les choses sur ce point. Voici un tour d’horizon des nouveautés que l’on peut attendre de cette nouvelle version.
Comme son nom l’indique, cette Developper Preview s’adresse principalement aux développeurs afin de tester leurs applications. Les utilisateurs finaux peuvent évidemment l’installer, mais à leurs risques et périls : Android 12 ne doit pas être considéré comme stable et de nombreux bugs peuvent survenir à tout moment.
Un des premiers changements mis en avant concerne la sécurité et la confidentialité : Android 12 va donner « aux utilisateurs plus de transparence et de contrôle tout en protégeant leurs appareils et leurs données ». Le système d’exploitation propose ainsi « de nouveaux contrôles sur les identifiants pouvant être utilisés pour le suivi, des valeurs par défaut plus sûres pour les applications, etc ».
Ce genre de sujet est le cheval de bataille d’Apple depuis très longtemps, mais Google le prend (enfin) au sérieux depuis quelque temps. Le père d’Android ne donne aucune précision supplémentaire pour le moment sur les « identifiants pouvant être utilisés pour le suivi », alors que son concurrent est passé à l’offensive, avec des levées de boucliers chez les publicitaires.
La nouvelle WebView d’Android 12 récupère une fonctionnalité sur la gestion des cookies présente dans Chrome depuis quelque temps déjà : SameSite. Selon Google, cela permet de renforcer la « sécurité et la confidentialité, et de donner aux utilisateurs plus de transparence et de contrôle sur la façon dont les cookies peuvent être utilisés sur les sites ».
Comme à chaque nouvelle version d’Android, Google promet que ce n’est que le début : « plus de fonctionnalités de confidentialité et de sécurité » seront proposées avec les prochaines préversions. Quoi qu’il en soit, les développeurs doivent maintenant tester au plus vite leurs applications avec ces nouveaux mécanismes pour en vérifier la compatibilité.
La société de Mountain View précise enfin que les modifications liées aux applications sont pour le moment en opt-in pour laisser le temps aux développeurs de se préparer. De la documentation technique est disponible par ici.
Multimédia : transcodeur HEVC, AVIF, ImageDecoder
Sur le multimédia, Google présente son « Compatible media transcoding », un transcodeur qui permet de transformer automatiquement une vidéo HEVC (H.265) dans le format AVC (H.264/MPEG-4) pour les applications qui en auraient besoin. L’opération n’est pas immédiate : il faut environ 9 secondes à un Pixel 4 pour une vidéo d’une minute en 1080p à 30 ips. Autant dire que cela pourra rapidement devenir fastidieux sur de longues vidéos, mais cela peut avoir un intérêt pour de petites scènes filmées avec son smartphone.
Pour les photos, Android 12 prend en charge AV1 Image File Format (AVIF), un système basé sur le codec AV1, pensé pour les vidéos. Pour rappel, ce dernier est pris en charge par Android depuis la version 10. Une comparaison entre AVIF, WebP et JPEG avec différentes tailles de fichiers (mais forcément à l’avantage d’AVIF) est disponible par ici.
Dans Android 11, le NDK ImageDecoder ne récupérait que la première image d’un GIF ou d’un WebP, alors qu’il récupère désormais l’ensemble des images et des informations contenues dans les fichiers. Pour un « son spatial », le MPEG-H serait désormais supporté avec jusqu’à 24 canaux, contre 8 auparavant, selon plusieurs confrères américains (le billet de blog n’en fait pas mention).
Afin d’agrémenter ses messages avec des contenus multimédias, Android 12 propose « une nouvelle API unifiée [OnReceiveContentListener] qui accepte du contenu de n'importe quelle source : presse-papiers, clavier ou glisser-déposer ». Ce peut être du texte (avec mise en forme), des images, des vidéos, du contenu audio…
Le retour haptique se synchronise avec l’audio
Cette fonctionnalité permet au système d’interagir avec l'utilisateur pour indiquer qu’une commande a bien été validée. Par exemple, vous pouvez l’activer sur les claviers virtuels pour avoir un retour (sous la forme d’une petite vibration) lorsque vous cliquez sur une touche.
Désormais, « la force et la fréquence des vibrations sont dérivées d'une piste audio, ce qui vous permet de créer des expériences de jeu et audio plus immersives ». Deux exemples sont mis en avant : un flot de vibrations différent suivant la personne qui vous appelle (si elle a une sonnerie personnalisée bien évidemment) et « simuler » un terrain accidenté dans un jeu de courses de voitures. Des capacités que l'on trouve sur les iPhone depuis plusieurs années.
Performances et notifications
Afin d’améliorer les performances du terminal et éviter d’avoir un système surchargé, la nouvelle version d’Android empêchera des applications en arrière-plan de lancer des services au premier plan, « sauf dans quelques cas particuliers ». De plus amples informations pour les développeurs se trouvent par là.
Comme avec chaque version ou presque, les notifications sont revues afin de « les rendre plus modernes, plus faciles à utiliser et plus fonctionnelles ». Les applications avaient jusqu’à présent une grande marge de manœuvre pour les personnaliser (mises en page, style…), mais Google reconnait que cela pouvait « embrouiller » les utilisateurs ou causer des problèmes de rendu. Android 12 réduit la voilure et « applique un modèle standard » pour la mise en page des notifications. La trame est disponible ici.
Mises à jour : ART (et le transcodage) dans Mainline
Initié avec Android 10, le projet Mainline permet de passer certaines mises à jour par le Google Play pour ne plus dépendre du bon vouloir des constructeurs.
Avec cette nouvelle version du système d’exploitation, cette méthode est encore renforcée : « Dans Android 12, nous avons ajouté le module Android Runtime (ART) qui nous permet d’envoyer des mises à jour au système et aux bibliothèques sur les terminaux mobiles ».
La fonction de transcodage vidéo (HEVC->AVC) se servira par exemple de cette méthode.
Tablettes, smartphones pliables et Android TV
Les tablettes et les smartphones pliables ne sont pas oubliés : les travaux commencés avec les précédentes versions du système d’exploitation continuent afin d’adapter au mieux le système et l’interface (voir ici et là).
Même chose pour les télévisions : Android 12 pour Android TV est également disponible en preview, dès maintenant pour le kit ADT-3. Pour rappel, cette déclinaison était arrivée avec plusieurs mois de retard pour Android 11.
Des bêtas en mai, les versions stabilisées à partir d’aout
Comme à chaque fois, cette Developper Preview n’est disponible que pour les Pixel 3 à 5 de Google pour le moment. Il est possible de passer par l’émulateur présent dans Android Studio. La procédure est expliquée sur cette page.
Cette première version d’Android 12 est principalement là pour récolter les retours des développeurs et leur permettre de prendre en main les nouvelles fonctionnalités. Le calendrier pour la suite des événements est plus ou moins le même qu’avec Android 11.
Une seconde DP est prévue pour mars, puis une troisième en avril. La première bêta devrait arriver en mai et s’adressera aussi aux utilisateurs. En juin et juillet, deux autres bêtas sont prévues.
Une étape importante est prévue pour aout avec la « Platform Stability ». Elle coïncidera avec la mise en ligne d’une quatrième bêta, si tout se passe comme prévu. À partir de là, les API et autres fonctionnalités seront figées. Ce sera alors la dernière ligne droite.
Plus tard, une Release candidate sera proposée, puis la version finale d’Android, et d’AOSP (Android Open Source Project) dans le même temps. Les partenaires de Google pourront alors commencer le travail d’intégration pour déployer cette mise à jour sur leurs terminaux… du moins pour ceux qui auront la chance d’en profiter.
Selon Bloomberg, l’affaire de la puce-espionne sur les cartes mères Supermicro ne serait qu’une petite partie de l’iceberg. Malgré les nombreuses contestations, nos confrères persistent et signent, en s’appuyant sur de nouvelles déclarations et sources. Pas de quoi convaincre Supermicro, qui dément formellement les nouvelles accusations.
Il y a un peu moins de deux ans et demi, Bloomberg publiait une longue enquête portant sur les services de renseignements chinois qui auraient développé et intégré dans des cartes mères Supermicro – largement utilisées dans le monde des serveurs – des micropuces-espionnes.
Apple, Amazon et Supermicro se sont rapidement inscrits en faux et ont demandé à nos confrères de se rétracter, ce qu’ils n’ont jamais fait. Le fabricant de cartes mères a lancé une enquête indépendante qui n’a relevé « aucun matériel malveillant sur les cartes mères ».
D’autres se sont ajoutés à la liste des sceptiques face à cette révélation. Les services de renseignements anglais et américains ont par exemple affirmé n’avoir « aucune raison de douter des informations détaillées publiées par AWS [Amazon Web Services, ndlr] et Apple ». Même son de cloche à la Sécurité intérieure des États-Unis (DHS).
Quelques jours plus tard, Rob Joyce (conseiller pour la cybersécurité à la NSA) affirmait n’avoir « rien vu » et craignait « que nous poursuivions des fantômes ». De son côté, Octave Klaba nous expliquait avoir « passé beaucoup de temps » sur cette histoire, là encore sans rien trouver, etc. Idem sur le site spécialisé ServeTheHome (STH) pour qui « les détails techniques du prétendu piratage de Bloomberg sont inexacts et/ou invraisemblables ».
Depuis, c’est le calme plat. Chacun campe sur ses positions : aucune société n’a apporté la preuve formelle de la présence d’une puce-espionne sur une carte mère Supermicro, tandis que Bloomberg n’a fait aucune rétractation. Nos confrères au contraire affirmaient avoir une « nouvelle preuve de piratage de matériel Supermicro chez un opérateur américain ».
Une nouvelle saison du feuilleton débute, avec un nouvel article de nos confrères – « The Long Hack : Comment la Chine a exploité un fournisseur de technologie américain » – où ils donnent de nouveaux détails et sources… un article suivi rapidement d’un démenti de Supermicro.
Bloomberg brandit de nouvelles accusations (et sources)…
Dans leur introduction, nos confrères mettent en avant trois éléments pour poser le décor. En 2010 tout d’abord, « le département de la Défense a trouvé que des milliers de ses serveurs envoyaient des données de réseaux militaires vers la Chine ». En cause, un bout de code « caché » dans le BIOS des machines.
Second élément en 2014, lorsqu’Intel a « découvert qu'un groupe de piratage chinois de haut vol avait pénétré dans son réseau ». Enfin en 2015, quand le FBI (Federal Bureau of Investigation) a « averti plusieurs entreprises que des agents chinois avaient caché une puce avec une porte dérobée dans les serveurs d'un fabricant ».
Dans les trois cas, ces attaques distinctes auraient en commun d’impliquer la Chine et le fabricant Supermicro. Selon Bloomberg, les experts en cybersécurité américains auraient découvert le pot aux roses il y a des années, mais les autorités auraient décidé de garder leurs conclusions secrètes pour essayer de contrer les attaques et « en apprendre davantage sur les capacités de la Chine ».
En s’appuyant sur des déclarations de quatorze sources proches du dossier (d’anciens responsables du renseignement), Bloomberg ajoute que cette situation aurait ainsi « fait l'objet d'un contrôle fédéral pendant une grande partie de la dernière décennie ». Ce serait notamment le cas du FBI depuis 2012.
Pour appuyer son propos, Bloomberg cite Jay Tabb, un ancien haut responsable du Federal Bureau of Investigation : l’affaire « Supermicro illustre parfaitement à quel point les entreprises américaines sont susceptibles de subir une potentielle altération néfaste des produits qu'elles font fabriquer en Chine […] C’est un exemple du pire scénario si vous n’avez pas une supervision complète de l’endroit où vos appareils sont fabriqués ».
Il ne donne aucun détail sur une éventuelle enquête en cours, et affirme que « le gouvernement chinois fait cela depuis longtemps, et les entreprises doivent en être conscientes […] La Silicon Valley en particulier doit cesser de prétendre que cela ne se produit pas ». Il ne confirme pas directement les allégations concernant la présence de puces-espionnes.
… Supermicro le renvoie dans les cordes
La réponse de Supermicro ne s’est pas fait attendre. Un communiqué a été mis en ligne, sur la même lignée qu’il y a deux ans et demi : « L'histoire de Bloomberg est un mélange d'allégations disparates et inexactes qui remontent à de nombreuses années ».
La société réaffirme n’avoir « jamais été contacté par le gouvernement américain, l'un de [ses] partenaires ou clients au sujet des enquêtes présumées […] Au contraire, plusieurs agences gouvernementales américaines, dont Bloomberg affirme qu'elles ont ouvert des enquêtes, continuent d'utiliser nos produits depuis des années ».
Supermicro se dit d’autant plus surprise que les accusations remonteraient à dix ans. Pour l’entreprise, « Bloomberg essaye de faire revivre son histoire de 2018, fausse et largement discréditée ». Les réponses de la société sont intégrées dans l’enquête de nos confrères.
Bloomberg ne démord pas, ça durerait depuis dix ans
Dans le reste de son article, Bloomberg revient plus en détail sur ses prétendues découvertes. Pour appuyer leurs dires, nos confrères affirment s’être entretenus avec « plus de 50 personnes des forces de l'ordre, de l'armée, du Congrès, des agences de renseignement et du secteur privé »… une grande majorité sous couvert d’anonymat. Elles étaient pour rappel 17 en 2018.
Le site rappelle que plusieurs voix se sont fait entendre pour demander une rétraction (Apple, Amazon, Supermicro, des officiels américains…), mais nos confrères persistent et signent. Ils ajoutent même que leur première analyse ne serait que la partie émergée de l’iceberg :
« À la lecture de nouveaux rapports, il semble évident que la publication [initiale] de Bloomberg Businessweek n'avait mis en lumière qu'une partie des événements, dans lesquels les responsables américains ont d'abord soupçonné, puis enquêté, surveillé et essayé de contrôler des manipulations répétées de la Chine sur les produits Supermicro ».
Déclaration choc : « C'est réel […] et le gouvernement le sait »
Comment nos confrères expliquent-ils le mutisme de Supermicro (et des autres) ? Tout simplement, car le grand public et surtout les parties concernées n’auraient pas été informés de l'enquête de contre-espionnage du FBI. C’est en tout cas la déclaration de « trois anciens responsables américains ». Le sceau du secret serait partiellement levé lors de réunions « secrètes » pour mettre en garde des acteurs tiers triés sur le volet.
Bloomberg publie ensuite des déclarations de Mike Janke (Data Tribe, BlackPhone et ancien Navy SEAL), une de ses sources acceptant d’être citée sur certains points. Il confirmerait sans détour la situation : « C'est réel […] et le gouvernement le sait ».
Mais comment le sait-il ? « [Via] deux sociétés de sécurité que je conseillais et qui ont été informées par la division de contre-espionnage du FBI qui enquêtait sur la découverte de puces malveillantes ajoutées aux cartes mères Supermicro ».
Était-il une des personnes directement « briefées » ou bien s’agit-il de propos rapportés par d’autres ? Ce n’est pas précisé et c’est potentiellement un souci dans le cheminement et la compréhension de l’information (nous y reviendrons).
Une puce « planquée » entre les couches d’une carte mère ?
C’est au tour de Mike Quinn (ex-Cisco pendant 23 ans et de passage deux ans chez Microsoft) d’entrer en piste : il « a déclaré avoir été informé de l'ajout de puces sur les cartes mères Supermicro par des responsables de l'US Air Force », expliquent nos confrères.
Il travaillait alors pour une entreprise (non citée) répondant à un appel d’offres pour des contrats avec l'armée de l'air « et les responsables voulaient s'assurer qu'aucun projet n'inclurait des équipements de Supermicro », ajoute Bloomberg.
Il explique que « ce n’était pas un simple gars qui volait une carte-mère et soudait une puce dans sa chambre d’hôtel, c’était directement intégré sur le produit final ». La fameuse puce-espionne était, selon Mike Quinn, « mélangée » aux couches du PCB de la carte mère.
Une source – là encore anonyme – de The Register met en avant une autre hypothèse : la puce-espionne pourrait être cachée sous une autre puce, qui a elle toute sa place sur la carte mère. Cette technique rendrait la supercherie bien plus difficilement détectable : « Si vous créez quelque chose qui ne devrait pas être là, un passage aux rayons X peut le révéler […] Mais si cela ne change que légèrement la forme et la taille du silicium existant, c'est plus difficile à détecter ».
« Il n'est pas difficile d'ajouter un petit circuit, et il n'y a pas de différence tangible à l'observation ». Il faudra pour le moment se contenter de sa parole puisqu’aucune preuve n’a été apportée. On peut évidemment se demander comment elle a fait pour passer inaperçue aux différentes vagues de vérifications qui ont eu lieu en 2018. Des sociétés avec de gros moyens et de gros enjeux sur la sécurité de leurs clients se sont lancées dans des analyses très poussées… sans rien trouver jusqu’à présent.
Et si tout cela n’était qu’un « malentendu » technique ?
Toutes ces belles paroles de Bloomberg sont, cette fois encore, fortement remises en doute par certains experts. Pwn All The Things n’y va pas avec le dos de la cuillère contre nos confrères dans un long thread Twitter. Le compte soulève une piste pour expliquer la situation :
« c’est une source qui a mal compris un briefing défensif du FBI sur les activités des chaînes d'approvisionnement de Chine, qui l'a divulgué à la presse, et Bloomberg n'a *encore* pas réussi à faire le travail nécessaire pour vérifier ces affirmations sensationnelles, car ils confondent des références impressionnantes avec une expertise dans le domaine ».
Bref, Bloomberg se serait (trop) laissé impressionner par le CV de certaines sources, alors qu’elles n’auraient pas forcément toute l’expertise technique pour comprendre les tenants et les aboutissants de cette affaire. Certaines sources pourraient par exemple se mélanger les pinceaux entre une modification logicielle (via le fimware) et matérielle (via l’ajout d’une puce), ce qui n’est pas du tout la même chose. Impossible pour autant de dire si c’est le cas.
Pwn All The Things regrette notamment que la traçabilité de l’information ne soit pas plus indiquée, par exemple pour savoir « le nombre de personnes non techniques par lesquelles sont passées ces informations avant d'arriver à la source » finale. Bref, cette histoire semble « trop grosse », d’autant plus avec les démentis massifs et détaillés qui ont rapidement suivi.
Après, certaines fuites d’informations ont permis de se faire une idée – parfois surprenante – des capacités et des moyens mis en œuvre par des agences de renseignements. C’est notamment le cas des agissements de la NSA.
Pwn All The Thing appelle Bloomberg et ses sources à publier des documents permettant de prouver leurs dires et « ridiculiser » au passage Apple, Amazon, le FBI, la NSA, le DHS Department of Homeland Security (Département de la Sécurité intérieure des États-Unis) et l’ODNI (Office of the Director of National Intelligence) qui ont contredit ouvertement la version de Bloomberg. Pour le moment, rien de tel n’a été fait à notre connaissance.
La morale de cette histoire est…
A contrario, The Register va dans le sens de Bloomberg, toujours en se basant sur leur source qui souhaite elle aussi garder l’anonymat : « J'ai physiquement eu des preuves entre mes mains » sur l’existence d’un matériel compromis, affirme-t-elle à nos confrères, mais sans préciser quelle en était la nature. « Je l'ai vu de plusieurs gouvernements », ajoute-t-elle.
En guise de conclusion, cette même personne explique qu’il « est important d'être conscient que ce genre de choses se produit ». Si par « ce genre de chose » on parle d’espionnage à haut niveau par des États, alors on ne peut qu’être sur la même longueur d’onde et c’est certainement le point le plus important à retenir.
Dans tous les cas – que Bloomberg ait raison ou non – l’espionnage numérique ne doit pas être pris à la légère, peu importe le vecteur d’attaque. On se souviendra du débat sur le matériel 5G Huawei interdit dans certains pays, sous la pression des États-Unis qui parlent – sans apporter de preuve – de risques pour la sécurité nationale.
De leur côté, les entreprises l’ont généralement bien compris et appliquent des règles strictes d’hygiène numérique, en surveillant par exemple les flots de données entrants et sortants, réalisant des audits de sécurité par des tiers, etc. Le risque zéro n’existe pas, et personne ne pourrait d’ailleurs l’affirmer ; il faut en permanence surveiller et s’adapter.
Connexion
