Une faille dans Starlette, un framework Python que la plupart des développeurs n'ont jamais installé consciemment, a exposé des millions de serveurs d'agents IA à des accès non autorisés. Des boîtes mail, des bases de données médicales et des équipements industriels étaient accessibles sans mot de passe.
Face à des voleurs à la tire toujours mieux organisés, les constructeurs de smartphones multiplient les systèmes de protection. Apple planche ainsi sur une nouvelle fonction antivol qui combine plusieurs signaux de l’iPhone et met à contribution l’Apple Watch.
Selon du code analysé par le site 9to5Mac, une nouvelle fonctionnalité antivol pourrait apparaître sous peu pour les iPhone. Elle se base sur plusieurs signaux, à commencer par l’analyse de l’accéléromètre : un smartphone arraché des mains de son propriétaire provoque des mouvements inattendus du capteur. L’appareil pourrait alors se verrouiller automatiquement.
L’antivol pourra aussi prendre en compte la distance entre l’iPhone et l’Apple Watch associée. La fonction vérifiera également si le smartphone est connecté à un réseau Wi-Fi connu, comme à la maison ou au bureau. Si les informations renvoyés par ces signaux sont suspects, elles pourront provoquer le verrouillage de l’iPhone. On ignore quand la fonctionnalité sera activée, mais elle est en développement.
Tout cela n’est pas inédit. Google propose un système de verrouillage en cas de détection de vol très similaire pour les smartphones Android : « si quelqu’un vous arrache le téléphone des mains et s’en va en courant, à vélo ou en voiture, le verrouillage en cas de détection de vol peut s’activer. » Personne ne s’offusquera que dans le domaine des antivols, Apple et Google s’inspirent l’un l’autre.
Au fil des années, les deux constructeurs ont mis au point de nombreux systèmes de protection des données en cas de vol (ici chez Apple, là chez Google). Tous ces dispositifs rendent très difficile la revente de smartphones verrouillés. Si les margoulins peuvent toujours les démonter pour récupérer des composants, plusieurs d’entre eux sont liés matériellement ou logiciellement à l’appareil, ce qui en réduit fortement la valeur sur le marché parallèle.
C’est pourquoi les smartphones déverrouillés sont devenus une prise de choix pour les voleurs. D’où la nécessité de trouver des mécanismes antivol dans ce cas précis.
Le New York Times rapportait récemment la nouvelle tactique extrêmement agressive des voleurs de smartphones à Londres. Les victimes ou leurs proches reçoivent des messages de plus en plus menaçants pour les pousser à désactiver les iPhone volés de leur compte Apple. Des escrocs envoient même des vidéos d’hommes armés et des menaces de mort (!) pour tenter d’obtenir le déverrouillage complet de l’appareil.
Face à des voleurs à la tire toujours mieux organisés, les constructeurs de smartphones multiplient les systèmes de protection. Apple planche ainsi sur une nouvelle fonction antivol qui combine plusieurs signaux de l’iPhone et met à contribution l’Apple Watch.
Selon du code analysé par le site 9to5Mac, une nouvelle fonctionnalité antivol pourrait apparaître sous peu pour les iPhone. Elle se base sur plusieurs signaux, à commencer par l’analyse de l’accéléromètre : un smartphone arraché des mains de son propriétaire provoque des mouvements inattendus du capteur. L’appareil pourrait alors se verrouiller automatiquement.
L’antivol pourra aussi prendre en compte la distance entre l’iPhone et l’Apple Watch associée. La fonction vérifiera également si le smartphone est connecté à un réseau Wi-Fi connu, comme à la maison ou au bureau. Si les informations renvoyés par ces signaux sont suspects, elles pourront provoquer le verrouillage de l’iPhone. On ignore quand la fonctionnalité sera activée, mais elle est en développement.
Tout cela n’est pas inédit. Google propose un système de verrouillage en cas de détection de vol très similaire pour les smartphones Android : « si quelqu’un vous arrache le téléphone des mains et s’en va en courant, à vélo ou en voiture, le verrouillage en cas de détection de vol peut s’activer. » Personne ne s’offusquera que dans le domaine des antivols, Apple et Google s’inspirent l’un l’autre.
Au fil des années, les deux constructeurs ont mis au point de nombreux systèmes de protection des données en cas de vol (ici chez Apple, là chez Google). Tous ces dispositifs rendent très difficile la revente de smartphones verrouillés. Si les margoulins peuvent toujours les démonter pour récupérer des composants, plusieurs d’entre eux sont liés matériellement ou logiciellement à l’appareil, ce qui en réduit fortement la valeur sur le marché parallèle.
C’est pourquoi les smartphones déverrouillés sont devenus une prise de choix pour les voleurs. D’où la nécessité de trouver des mécanismes antivol dans ce cas précis.
Le New York Times rapportait récemment la nouvelle tactique extrêmement agressive des voleurs de smartphones à Londres. Les victimes ou leurs proches reçoivent des messages de plus en plus menaçants pour les pousser à désactiver les iPhone volés de leur compte Apple. Des escrocs envoient même des vidéos d’hommes armés et des menaces de mort (!) pour tenter d’obtenir le déverrouillage complet de l’appareil.
Nouvelle bataille en vue pour la domination des cieux européens. La Commission a officiellement confirmé sa volonté de prendre la main sur une partie importante des fréquences satellites, avec un objectif politique assumé : celui de la souveraineté technologique face à la Chine et surtout aux États-Unis.
Bruxelles entend gérer les attributions de la bande 2 GHz MSS, qui correspond aux fréquences utilisées par les services de satellites mobiles. Comme le rappelle Euronews, ces fréquences ont été attribuées en 2009 à deux opérateurs européens, Viasat et EchoStar. Leur usage est limité (notamment aux appels d’urgence dans une zone blanche), mais la Commission veut les exploiter pour autoriser la connexion directe entre un satellite et un smartphone (« Direct to Device », D2D). Cette bande a aussi des utilisations militaires et gouvernementales.
La Commission a adopté une proposition qui lui permettra, au renouvellement des fréquences de cette bande (à partir de mai 2027), d’attribuer au niveau européen des autorisations de licence jusque-là largement gérées par les États membres. Ce qui pouvait poser un problème d’harmonisation entre pays. Les opérateurs pourront ainsi lancer leurs services à l’échelle de l’Union européenne, sans devoir négocier avec chaque capitale… même si les États conservent une certaine marge de manœuvre en imposant leurs obligations techniques et des règles de sécurité.
La législation sur les réseaux numériques (ADN), qui repose sur le Code des communications électroniques de l’UE de 2018, a été adoptée le 21 janvier dernier. Elle contient, entre autres, un volet sur « l’harmonisation juridique maximale » visant à faciliter les opérations et la fourniture de services paneuropéens. Parmi les mesures : une autorisation de spectre satellitaire au niveau de l’UE.
Dans le détail, la Commission a décidé de couper en trois la poire de la bande. Le premier tiers est réservé aux usages gouvernementaux et militaires européens, pour les communications critiques et pour s’assurer de la sécurité de ces communications. Ce morceau de fréquences devra être exploité par un opérateur européen et intégré au programme IRIS², la constellation de satellites de l’UE.
À l’origine, le « Starlink » européen devait être opérationnel d’ici 2027. Même si le programme recycle des infrastructures existantes, IRIS² sera plus long à s’élever dans les airs : aux dernières nouvelles (qui remontent au mois de février), ce projet en est toujours dans sa phase de conception et de développement, et cela jusqu’en 2028. Le déploiement est programmé de 2029 à 2030, et l’exploitation entre 2030 et 2037. La pleine capacité opérationnelle est désormais prévue d’ici 2030.
Voilà pour le premier tiers. Les deux autres tiers seront dévolus aux usages commerciaux : connectivité satellite pour smartphones, objets connectés et services d’urgence. Mais Bruxelles a une idée assez claire des opérateurs qui pourront candidater : la moitié des fréquences est ainsi réservée aux acteurs européens, l’autre moitié est ouverte aux entreprises européennes et non européennes.
On l’aura compris, il s’agit de favoriser l’émergence de fournisseurs européens, tandis que les champions américains (SpaceX, Amazon Leo) auront la portion congrue au nom de la souveraineté. « Plus que jamais, une connectivité satellitaire à haute capacité et largement disponible est essentielle pour renforcer la résilience des réseaux de communication de l’Union européenne », explique Henna Virkkunen, vice-présidente de la Commission chargée de la souveraineté technologique.
Ces infrastructures satellitaires, considérées comme critiques par Bruxelles, sont devenues un enjeu de sécurité pour l’Europe. Le poids lourd américain Starlink, avec sa constellation d’environ 10 000 satellites en basse orbite et ses services d’accès internet et de téléphonie D2D, est devenu essentiel à l’effort de guerre en Ukraine… mais l’entreprise d’Elon Musk reste soumise aux lois américaines sur l’exploitation des données de ses utilisateurs (Cloud Act, FISA).
C’est le cas aussi d’Amazon Leo (anciennement Kuiper), qui s’est d’ailleurs offert récemment Globalstar. Ces deux sociétés doivent aussi composer avec la pression, toujours possible, de la Maison Blanche, dans un contexte de très fortes tensions transatlantiques.
Brendan Carr, le très trumpiste président de la Commission aux communications fédérales (FCC), avait mis en garde l’UE lors de sa visite au salon MWC de Barcelone, au mois de mars. « L’Europe dispose de fournisseurs satellitaires nationaux champions qui réalisent une activité importante aux États-Unis », menaçait-il. « Si l’Europe persiste à suivre une voie de souveraineté satellitaire excluant les fournisseurs qui ne sont pas basés sur le continent, alors les États-Unis devront en tenir compte concernant le traitement réciproque que nous accordons. » Ambiance.
Cette décision de la Commission devrait en tout cas booster les acteurs européens, à l’image d’Eutelsat et de sa constellation OneWeb LEO (600 satellites en basse orbite) combinée à des satellites géostationnaires. Eutelsat fait également partie du consortium SpaceRISE chargé de la mise en œuvre d’IRIS².
Nouvelle bataille en vue pour la domination des cieux européens. La Commission a officiellement confirmé sa volonté de prendre la main sur une partie importante des fréquences satellites, avec un objectif politique assumé : celui de la souveraineté technologique face à la Chine et surtout aux États-Unis.
Bruxelles entend gérer les attributions de la bande 2 GHz MSS, qui correspond aux fréquences utilisées par les services de satellites mobiles. Comme le rappelle Euronews, ces fréquences ont été attribuées en 2009 à deux opérateurs européens, Viasat et EchoStar. Leur usage est limité (notamment aux appels d’urgence dans une zone blanche), mais la Commission veut les exploiter pour autoriser la connexion directe entre un satellite et un smartphone (« Direct to Device », D2D). Cette bande a aussi des utilisations militaires et gouvernementales.
La Commission a adopté une proposition qui lui permettra, au renouvellement des fréquences de cette bande (à partir de mai 2027), d’attribuer au niveau européen des autorisations de licence jusque-là largement gérées par les États membres. Ce qui pouvait poser un problème d’harmonisation entre pays. Les opérateurs pourront ainsi lancer leurs services à l’échelle de l’Union européenne, sans devoir négocier avec chaque capitale… même si les États conservent une certaine marge de manœuvre en imposant leurs obligations techniques et des règles de sécurité.
La législation sur les réseaux numériques (ADN), qui repose sur le Code des communications électroniques de l’UE de 2018, a été adoptée le 21 janvier dernier. Elle contient, entre autres, un volet sur « l’harmonisation juridique maximale » visant à faciliter les opérations et la fourniture de services paneuropéens. Parmi les mesures : une autorisation de spectre satellitaire au niveau de l’UE.
Dans le détail, la Commission a décidé de couper en trois la poire de la bande. Le premier tiers est réservé aux usages gouvernementaux et militaires européens, pour les communications critiques et pour s’assurer de la sécurité de ces communications. Ce morceau de fréquences devra être exploité par un opérateur européen et intégré au programme IRIS², la constellation de satellites de l’UE.
À l’origine, le « Starlink » européen devait être opérationnel d’ici 2027. Même si le programme recycle des infrastructures existantes, IRIS² sera plus long à s’élever dans les airs : aux dernières nouvelles (qui remontent au mois de février), ce projet en est toujours dans sa phase de conception et de développement, et cela jusqu’en 2028. Le déploiement est programmé de 2029 à 2030, et l’exploitation entre 2030 et 2037. La pleine capacité opérationnelle est désormais prévue d’ici 2030.
Voilà pour le premier tiers. Les deux autres tiers seront dévolus aux usages commerciaux : connectivité satellite pour smartphones, objets connectés et services d’urgence. Mais Bruxelles a une idée assez claire des opérateurs qui pourront candidater : la moitié des fréquences est ainsi réservée aux acteurs européens, l’autre moitié est ouverte aux entreprises européennes et non européennes.
On l’aura compris, il s’agit de favoriser l’émergence de fournisseurs européens, tandis que les champions américains (SpaceX, Amazon Leo) auront la portion congrue au nom de la souveraineté. « Plus que jamais, une connectivité satellitaire à haute capacité et largement disponible est essentielle pour renforcer la résilience des réseaux de communication de l’Union européenne », explique Henna Virkkunen, vice-présidente de la Commission chargée de la souveraineté technologique.
Ces infrastructures satellitaires, considérées comme critiques par Bruxelles, sont devenues un enjeu de sécurité pour l’Europe. Le poids lourd américain Starlink, avec sa constellation d’environ 10 000 satellites en basse orbite et ses services d’accès internet et de téléphonie D2D, est devenu essentiel à l’effort de guerre en Ukraine… mais l’entreprise d’Elon Musk reste soumise aux lois américaines sur l’exploitation des données de ses utilisateurs (Cloud Act, FISA).
C’est le cas aussi d’Amazon Leo (anciennement Kuiper), qui s’est d’ailleurs offert récemment Globalstar. Ces deux sociétés doivent aussi composer avec la pression, toujours possible, de la Maison Blanche, dans un contexte de très fortes tensions transatlantiques.
Brendan Carr, le très trumpiste président de la Commission aux communications fédérales (FCC), avait mis en garde l’UE lors de sa visite au salon MWC de Barcelone, au mois de mars. « L’Europe dispose de fournisseurs satellitaires nationaux champions qui réalisent une activité importante aux États-Unis », menaçait-il. « Si l’Europe persiste à suivre une voie de souveraineté satellitaire excluant les fournisseurs qui ne sont pas basés sur le continent, alors les États-Unis devront en tenir compte concernant le traitement réciproque que nous accordons. » Ambiance.
Cette décision de la Commission devrait en tout cas booster les acteurs européens, à l’image d’Eutelsat et de sa constellation OneWeb LEO (600 satellites en basse orbite) combinée à des satellites géostationnaires. Eutelsat fait également partie du consortium SpaceRISE chargé de la mise en œuvre d’IRIS².
La Banque centrale européenne, qui supervise les 111 plus grandes banques de la zone euro, veut discuter cybersécurité. Une réunion est prévue ce mardi 26 mai avec les établissements bancaires pour évoquer les risques liés aux derniers modèles d’IA, dont Mythos qui se fait toujours attendre en Europe.
Les ailes du projet Glasswing n’ont pas encore permis à Mythos d’atteindre les rives européennes. Cet aperçu du modèle le plus ambitieux d’Anthropic est déployé au compte-gouttes auprès d’organisations et d’entreprises triées sur le volet, quasi-exclusivement américaines. Il est utilisé pour détecter les vulnérabilités dans le code et au vu des premiers retours, notamment chez Mozilla, le modèle semble faire preuve d’une certaine efficacité.
Les banques de la zone euro ne sont pas dans les petits papiers d’Anthropic, mais qu’à cela ne tienne : « Le fait que vous n’ayez pas accès à ce modèle n’est pas une excuse pour rester inactif », affirme Frank Elderson, vice-président du conseil de surveillance prudentielle de la Banque centrale européenne (BCE), en parlant des établissements financiers européens. « Des acteurs malveillants pourraient bientôt avoir accès à cette technologie », prévient-il au Financial Times.
C’est pourquoi l’institution organise une réunion au sommet demain, mardi 26 mai, pour discuter des risques pour la sécurité informatique que font peser ces modèles IA. La BCE discute régulièrement avec les banques de la zone euro, mais des réunions dédiées à un thème spécifique sont plus rares.
La Banque centrale entend souligner la gravité des menaces représentées par Mythos et des autres modèles IA pour le système financier européen. Et elle voudrait bien aussi que les banques américaines opérant sur le vieux continent et qui utilisent ces technologies partagent des retours d’expérience avec leurs homologues européennes. « Nous voulons écouter les évaluations des banques, créer les conditions pour qu’elles puissent partager leurs expériences, et souligner l’importance du sujet », souligne Frank Elderson.
Le vice-président de la BCE estime que les banques doivent appliquer les correctifs logiciels bien plus rapidement qu’aujourd’hui. Le fait est que les pirates peuvent analyser une mise à jour de sécurité pour comprendre précisément quelle faille elle corrige. Ce travail de rétro-ingénierie pouvait prendre plusieurs jours ou plusieurs semaines, mais désormais avec des outils IA, l’opération peut être réalisée « en peut-être 30 minutes », s’alarme-t-il.
La Commission européenne travaille Anthropic au corps pour obtenir l’aperçu de Mythos, mais les choses prennent beaucoup de temps.
Anthropic a par ailleurs publié un premier bilan de Mythos, en annonçant que les 50 partenaires du projet Glasswing avaient trouvé « plus de 10 000 vulnérabilités » de gravité élevée ou critique dans leurs logiciels. Dans le secteur bancaire, Mythos a détecté et empêché un virement frauduleux d’1,5 million de dollars après qu’un acteur malveillant a compromis une adresse e-mail d’un client. Nul doute que les banques européennes aimeraient disposer d’un tel outil dans leur arsenal.
Comme pour donner raison à la BCE, la startup précise que « le principal frein réside dans la vitesse à laquelle nous pouvons vérifier, divulguer et corriger les très nombreuses vulnérabilités détectées par l’IA ». Si trouver des failles devient relativement facile, les opérations de triage, les rapports, le développement et le déploiement des correctifs représentent un « enjeu majeur pour la cybersécurité ».
L’entreprise prévoit l’expansion du projet Glasswing à « des partenaires supplémentaires », sans plus de précision. Et à l’avenir, Anthropic veut proposer des modèles grand public basés sur Mythos, mais en les encadrant de garde-fous suffisamment forts pour empêcher des dérives.
Longtemps pointé du doigt pour ses lacunes en matière de confidentialité, Discord opère un virage historique. L’application déploie le chiffrement de bout en bout par défaut pour sécuriser l’ensemble de ses flux audio et vidéo. Une mise à niveau technique majeure, qui cache toutefois une déception de taille : vos messages textuels, eux, restent exclus de cette protection.
Une alliance internationale de 18 pays, menée par la France et les Pays-Bas, a démantelé First VPN, le réseau d’anonymisation fétiche des cybercriminels. En saisissant l'intégralité de sa base de données, la police a d'ores et déjà identifié des milliers de pirates à travers le monde, mettant fin à des années d'impunité.
Longtemps pointé du doigt pour ses lacunes en matière de confidentialité, Discord opère un virage historique. L’application déploie le chiffrement de bout en bout par défaut pour sécuriser l’ensemble de ses flux audio et vidéo. Une mise à niveau technique majeure, qui cache toutefois une déception de taille : vos messages textuels, eux, restent exclus de cette protection.
Ce 19 mai est sorti la soixantième version d’OpenBSD qui a maintenant plus de trente ans. OpenBSD est un système d’exploitation libre de type Unix, multi-plateformes basé sur 4.4BSD avec une attention particulière sur la portabilité, la standardisation, l’exactitude, la sécurité proactive et la cryptographie intégrée. Il est généralement reconnu pour la qualité de sa documentation et ses innovations en matière de sécurité qui sont régulièrement adoptées par d’autres systèmes.
La version 7.9 est accompagnée d’un morceau instrumental et de moult changements dont on pourra citer l’ajout de l’hibernation à retardement, le support des VLAN dans les ponts Ethernet virtuels, le limiteur de créations d’états par source pour packet filter, le support des certificats par IP dans acme-client, plusieurs améliorations de pledge permettant une meilleure mitigation des failles de sécurité et le support de jusqu’à 255 processeurs amd64 (contre 64 précédemment).
Le projet OpenBSD étant le berceau de tmux, LibreSSL et OpenSSH, cette nouvelle version est aussi l’occasion de publier nombre d’améliorations pour ces projets largement utilisés par ailleurs. Pour OpenSSH on pourra mentionner la nouvelle commande ~I ainsi que l’ajout d’une pénalité configurable pour les tentatives de connexions avec un utilisateur invalide.
Commentaires : voir le flux Atom ouvrir dans le navigateur
Face aux quasi-incessantes fuites de données en France, notamment sur des institutions, l’ANSSI serait sur la sellette ? Son directeur général Vincent Strubel réfute et revient sur les travaux de pilotage du numérique, avec une future autorité « Ariane ». Il en profite pour mettre en face des milliers de systèmes d’information de l’État la capacité de l’Agence à mener… 50 contrôles par an.
La semaine dernière, le Canard enchainé a publié un article intitulé « Lecornu débranche l’Anssi, accusée de ne pas avoir sécurisé des sites sensibles de l’État ». Le Palmipède y explique que le premier ministre Sébastien Lecornu chercherait un fusible. En cause, les fuites de données à répétition. « Cela pourrait déboucher sur le limogeage de Vincent Strubel, le directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi) », indiquent nos confrères.
Hasard ou pas du calendrier, ce même Vincent Strubel était auditionné par la Commission de la défense de l’Assemblée nationale le lendemain dans le cadre du cycle Guerre hybride et continuum de conflictualités. Le rendez-vous était déjà fixé avant la publication de l’article de nos confrères. Après un discours introductif sur l’état de la cybermenace en France, des questions sont rapidement arrivées sur l’article du Canard et le piratage de l’ANTS. C’est la dernière institution en date à avoir subi une fuite massive de données : au moins 11,7 millions de comptes ont été compromis. Dans cette affaire, un ado de 15 ans a été placé en garde à vue fin avril.
« Non, il n’y a pas de tension entre le Premier ministre et l’ANSSI. Je réfute ce qui est dit dans l’article », affirme sans détour Vincent Strubel. Il en veut pour « preuve » sa présence encore au poste de directeur général de l’ANSSI.
Il en profite pour rappeler que ses équipes ne ménagent pas leurs efforts en matière de cybersécurité et joue lui aussi de l’analogie des cyberpompiers : « Je trouve que là on est dans le même registre que jeter des cailloux sur les camions de pompiers qui viennent éteindre des incendies et je le trouve parfaitement abject. »
« Je pense qu’il y a une mécompréhension fondamentale de la réforme annoncée, non pas de l’ANSSI mais du pilotage numérique. Il n’y a pas de remise en cause des missions de l’ANSSI, il n’y a pas de remise en cause de l’efficacité de son travail », ajoute-t-il.
Vincent Strubel rappelle que la France dispose d’une chaîne de fonctionnement cyber et que l’ANSSI « est le chef d’orchestre de la cybersécurité ». Il ajoute que « ce rôle n’est pas remis en cause par la réforme annoncée […]Ce qui est réformé, c’est le pilotage du numérique, pas la cybersécurité ».
Pour rappel, fin avril, lors de son déplacement à l’ANTS, Sébastien Lecornu expliquait vouloir accélérer la fusion de la Direction interministérielle du numérique (DINUM) et de la DITP (direction interministérielle de la transformation publique), pour former une nouvelle Autorité du numérique et de l’IA, alias Ariane.
Le patron de l’ANSSI est catégorique : « l’ANSSI restera dans son rôle de fixer les exigences de cybersécurité, de décliner des priorités […] de contrôler la bonne application de ces priorités à plus forte raison dans le cadre de NIS2 ».
Lors de son audition, il en profite pour rappeler aux députés présents le travail nécessaire de transposition de la directive NIS2… toujours en attente depuis des mois. Pour le directeur général, cela donnera enfin à son agence « un vrai bâton » à utiliser, « en plus de la carotte ». Le projet a été adopté en première lecture au Sénat le 15 octobre 2024, mais il est bloqué à l’Assemblée depuis septembre 2025.
Pour le patron des cyberpompiers français, le projet est de créer « une structure qui soit un interlocuteur naturel de l’ANSSI, comme l’est déjà aujourd’hui la DINUM. Nous travaillons main dans la main, mais avec les limites du champ d’action de la DINUM. Demain, l’ANSSI et l’Ariane (si c’est le nom qui demeure) travailleront main dans la main pour édicter la feuille de route numérique et cybersécurité de l’État ».
Lors de son audition, Vincent Strubel a rappelé la complexité du système d’information de l’État qui représente « des milliers et des milliers d’applications dont le pilotage n’est pas uniformisé, dont les choix technologiques sont d’une très grande hétérogénéité ».
Pour lui, cela ne fait aucun doute : « c’est là-dessus qu’il faut agir en priorité pour mieux sécuriser l’État » ; il en profite pour glisser un mot sur les enjeux des dépendances à des solutions étrangères. Quitte à mener un chantier d’envergure, autant faire le ménage de fond en comble. Pour Vincent Strubel, la réforme annoncée par le Premier ministre porte justement sur ce sujet. Il réaffirme qu’elle a été « mal comprise par certains qui y voient une réforme ou une remise en cause de l’ANSSI : il n’y a aucune remise en cause du rôle de l’ANSSI, ni une critique du rôle de la DINUM ».
Vincent Strubel répond aussi à des questions sur les moyens et les actions de l’ANSSI : « nous sommes capables de mener à peu près 50 audits par an, à mettre en regard de milliers de systèmes d’information au sein de l’État, de milliers de systèmes d’information d’importance vitale déclarés par les OIV (opérateurs d’importance vitale), et qui sont à peu près 300 (la liste est classifiée) ».
Pour le dire autrement : « non, nous ne pouvons pas tout contrôler systématiquement et nous avons une logique de priorisation sur les systèmes les plus critiques, sensibles, complexes… ». C’est le cas du nucléaire, par exemple, mais aussi des réseaux diplomatiques et régaliens. France Identité numérique a aussi été scrutée de près pendant des mois et « certifiée par l’ANSSI au niveau élevé, c’est-à-dire le niveau le plus élevé de la réglementation européenne ».
Le patron de l’ANSSI cite aussi le « fichier TES qui stocke des données biométriques », géré par l’ANTS. Ce dernier a été audité par l’ANSSI, qui s’est aussi assurée « que ses conclusions soient prises en compte ». TES pour Titres Électroniques Sécurisés, aussi connu sous le nom de « fichier des gens honnêtes » centralisant les données personnelles, photos de visages et empreintes digitales des demandeurs de passeport et de carte nationale d’identité.
Vincent Strubel ajoute que l’ANTS réunit une multitude de systèmes d’information « qui n’ont pas tous la même criticité. Ils sont tous importants car ils traitent de données personnelles, mais nous avons aussi une forme de gradation ». Si TES a été contrôlé, ce n’était visiblement pas le cas du portail attaqué : « Il ne s’agit pas de minimiser la compromission des données personnelles de millions de nos concitoyens, mais ce n’est pas le système le plus critique de l’ANTS donc dans une logique de priorisation ce n’est pas celui-là que nous avons regardé ».
Lors de son audition, Vincent Strubel est aussi revenu sur le signalement des incidents et des vulnérabilités. Il rappelle que l’ANSSI dispose d’une doctrine de protection des signalements anonymes et des lanceurs d’alertes (235 signalements via ce dispositif en 2025). « Après, effectivement, la vraie difficulté est la capacité de correction et la maitrise du numérique derrière, sans remise en cause du rôle ni du dévouement – je le signale – des équipes informatiques des ministères ».
Il rappelle le rôle de l’ANSSI : « porter des cadres de gestion des risques et donc identifier des risques liés à nos dépendances, les objectiver, les mettre en face des mesures et assurer une garantie. C’est ce que nous faisons à travers SecNumCloud qui garantit contre les risques techniques mais aussi des risques d’ingérence de captation des données à travers les lois à portée extraterritoriale ».
Il ajoute qu’il faut évidemment des mesures de gestion des risques – « avec un caractère coercitif au passage parce que la loi SREN le permet –, mais aussi un travail de politique industrielle qui n’est pas le rôle de l’ANSSI ». Pour Vincent Strubel, pas de doute : « Il faut faire les deux à la fois ».
En marge de la publication de Linux 7.1-rc4, Linus Torvalds, créateur du noyau Linux, s'est penché sur un sujet qui cristallise les craintes de la communauté open source face à l'essor de l'IA : l'inondation de signalements de bugs.
Connexion