Marcus J Ranum: « I’m not a big fan of humans »

“Il n’y a pas de software pour régler les problèmes sociaux”. Marcus J. Ranum porte un regard critique sur notre manière d’aborder la cybersécurité. Nous l’avons rencontré lors du GovSatCom 2019 à Luxembourg.

Marcus J. Ranum est une star mondiale la cybersécurité, un acteur incontournable du secteur depuis deux décennies. Nous n’avons pas suffisamment d’espace pour dérouler l’intégralité de son CV… mais il a notamment joué un rôle majeur dans l’invention du Firewall et du VPN. Il a également travaillé pour la Maison Blanche où il a construit le 1er serveur mail, pour le domaine whitehouse.gov. Il a ensuite mis au point des systèmes de détection d’intrusion. Marcus J Ranum est également connu pour ses positions tranchées et son franc-parler. Il était à Luxembourg pour la conférence GovSatCom 2019, le 14 février 2019. En ce jour de Saint-Valentin, il a brisé le cœur de beaucoup d’amoureux de la cybersécurité. Mais parfois, une rupture vous rend plus fort. Entretien avec un esprit disruptif et captivant.

Monsieur J Ranum, vous ne semblez pas avoir confiance en l’être humain pour assurer la cybersécurité, est-ce bien le cas ?

En effet, je ne suis pas un grand fan des humains. C’est pour cela que j’espère qu’une société technologique verra bientôt le jour.

Vous avez aussi déclaré que les « softwares ne peuvent pas régler les problèmes sociaux ». Mais le contraire est peut-être possible ?

Le problème c’est que les gens essayent de mettre en œuvre des choses qui correspondent à des préoccupations humaines : plus d’argent, plus de pouvoir plus de sexe… ou quoi que ce soit. On peut toujours essayer de développer un software qui empêche les gens d’être avides. Mais ça ne marchera pas si on ne prend pas le problème à la racine, c’est-à-dire les facteurs économiques et politiques qui font que les gens se comportent de telle ou telle manière. Regardez un phénomène comme le cyber-harcèlement. C’est très intéressant de se demander pourquoi ça arrive, pourquoi des gens se mettent à faire n’importent quoi parce qu’ils ont mis un masque et qu’ils croient en leur impunité.

Au C3, nous organisons de nombreuses formations pour transmettre les bons réflexes aux utilisateurs. Vous semblez dire que les formations ne servent à rien.

Oui, en fait, j’en ai fait aussi, j’ai organisé des tests anti-phishing, j’ai expliqué aux gens qu’ils ne devaient pas ouvrir un mail venant d’une banque où ils n’ont jamais eu de compte. Mais les gens continuent à le faire. En fait, je pense que les gens ne devraient pas se soucier de ce genre de chose. Le problème vient surtout d’un certain nombre de fonctionnalités qui ont été ajoutées à nos clients mail. Par exemple, lorsqu’on a un preview d’une page web qui s’affiche dans le mail : c’est une fonctionnalité qui n’est absolument pas indispensable tout en constituant la porte d’entrée de nombreuses attaques.

Dual use

C’est également un problème « social » que les ordinateurs ne peuvent pas résoudre ?

Oui. Quand j’étais enfant, j’étais fan des croisades et des châteaux forts, et c’est à cette époque que j’ai découvert qu’un château fort n’est pas seulement un instrument de défense, mais peut également servir pour attaquer. C’est la même chose pour un Firewall qui est à la base une technologie de défense, mais qui peut être utilisé pour mener des attaques, car il permet de rendre votre attaque indétectable jusqu’au moment où vous la lancez réellement.

C’est le problème, car le fait de croire que certaines technologies ne fonctionnent que dans un sens nous pousse à prendre de mauvaises décisions. C’est le cas par exemple lorsque des gouvernements mettent en place des portes dérobées.

Le malware WannaCry qui a coûté des dizaines de millions de dollars à l’économie mondiale a été développé sur base d’un code de la CIA qui a fuité. Cela montre à quel point nos armes peuvent se retourner contre nous. On pourrait encore parler de Shamoon, Stuxnet ou d’autres célèbres virus qui ont des histoires similaires.

Hacking Back

Pensez-vous qu’on peut se défendre en menant des contre-attaques ?

Ça ne marche pas ! Tout du moins, ce n’est pas la bonne approche. À l’inverse, ce qui peut être utile ce sont le contre-espionnage et le renseignement. Tout en gardant en tête que les contre-attaques peuvent être dangereuses car en cas d’erreur sur l’origine ou sur la cible les choses peuvent dégénérer, comme au cinéma.

Sécurité nationale et cybersécurité : ami ou ennemis ?

Il faut prendre un peu de recul par rapport au concept de Sécurité nationale. Je pense que les défis de l’Humanité sont trop importants pour pouvoir être réglés à l’échelle nationale. Le nationalisme exacerbe le problème du changement climatique. L’humanité doit réagir à certains défis en adoptant une perspective globale.

Le cyber crime est la plupart du temps transnational. Les cercles criminels se moquent des frontières. Nous devons avoir une réponse globale sur la cybersécurité. Arrêter d’engloutir des sommes incroyables dans une compétition sans issue avec les autres nations. Je suis très inquiet de voir le nationalisme progresser aux quatre coins du globe, au profit de stupides dictateurs.

A propos, vous avez travaillé pour la Maison-Blanche il y a 20 ans… Si c’était à refaire avec le président actuel ?
Je le referais, sans hésiter… Et j’y installerais le plus de backdoors possible !