Sie sind auf Seite 1von 113

Etude Prospective et Stratgique

Rseau Internet et scurit : Quel


impact du progrs des Technologies de
l'information et de la communication
(TIC) sur la capacit de l'Etat franais,
de matrise du rseau et de sa scurit
dici 15 20 ans ?
Version 1.1
Date : 06/01/2015

Orange Consulting
114 rue Marcadet 75018 Paris
Tl. : (33) 1 56 55 45 00
Fax : (33) 1 56 55 45 01

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030

Description du document
Proprits
Titre document

Etude Prospective et Stratgique - Etude scurit Internet 2030

Version

1.1

Rdacteur

Orange Consulting (Christophe GUILLOU, Alain MARCAY) - Pole cyberdfense et


confiance numrique

Statut

En cours

Date

mardi 6 janvier 2015

Revue

Valid

Approuv

Classification du document
Classification
Confidentialit

Confidentiel Client

Diffusion du document
Socit
Ministre

de la
DGA/DS/SASF/SDCP

Dfense

Nom

Fonction

Diffusion

Xavier FAVREAU

Rfrent de ltude

Information

Historique des versions


Version

Opration

Nom

Date

0.2

Version intermdiaire

Orange Consulting

05/09/2014

1.0

Version finale provisoire

Orange Consulting

17/12/2014

1.1

Version finale

Orange Consulting

06/01/2015

version 1.1 (06/01/2015)

Page 2/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030

Table des matires


1.

Introduction ..................................................................................................................... 6

2.

Remerciements ............................................................................................................... 7

3.

Rsum .......................................................................................................................... 8

4.

Evolutions du cyberespace .............................................................................................10


4.1.

5.

Vue usager .........................................................................................................11

4.1.1.

Les usages mobiles..........................................................................................11

4.1.2.

Le Cloud ....................................................................................................11

4.1.3.

LInternet des Objets (IoT).................................................................................12

4.2.

Vue oprateur ....................................................................................................13

4.3.

Tendances / Dimensionnement ...............................................................................15

4.3.1.

Evolution du trafic.............................................................................................15

4.3.2.

Evolution des infrastructures .............................................................................20

4.3.3.

Cyberscurit ...................................................................................................22

Evolutions des menaces et nouveaux enjeux de scurit .................................................26


5.1.

Une menace lchelle mondiale .............................................................................26

5.2.

Cyberguerre, cyberterrorisme et cyberdfense .........................................................29

5.3.

Gouvernance du cyberespace .................................................................................31

5.4.

Souverainet et territorialit......................................................................................33

5.5.

Les impacts dInternet sur la dfense nationale ........................................................35

5.6.

Essor de la cybercriminalit .....................................................................................36

5.7.

Atteinte aux personnes ............................................................................................38

5.8.

Les enjeux de scurit pour lInternet des objets ......................................................39

5.9.

La scurit des systmes industriels ........................................................................40

5.10.

Limites des solutions de scurit actuelles............................................................43

5.10.1.

Problmatiques didentification......................................................................43

5.10.2.

Cryptographie...............................................................................................44

5.10.3.

Les autorits de certification (PKIX)................................................................46

5.10.4.

Les antivirus .................................................................................................47

5.10.5.

Des protocoles obsoltes .............................................................................47

5.11.

Essor des attaques cibles ..................................................................................47

5.12.

Enjeux pour les oprateurs ...................................................................................48

5.12.1.

Transition IPv6 ..............................................................................................48

5.12.2.

Virtualisation des rseaux (NFV et SDN) .........................................................50

version 1.1 (06/01/2015)

Page 3/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


5.12.3.

Rseaux mobiles 5G .....................................................................................53

5.12.4.

Faiblesses BGP ............................................................................................55

5.12.5.

Faiblesses DNS ............................................................................................58

5.12.6.

Mutation de la tlphonie conventionnelle......................................................58

5.12.7.

Monte en puissance des OTT et du CDN ....................................................60

5.12.8.

Le nouvel cosystme des oprateurs ..........................................................61

5.12.9.

Les dnis de service (DOS / DDOS) ..............................................................62

5.13.

La rsilience dInternet .........................................................................................63

5.14.

Nouveaux types dinfrastructures rseaux ............................................................65

5.15.

Surveillance du cyberespace ................................................................................66

5.15.1.

Les activits lgales (surveillance tatique) .....................................................66

5.15.2.

Les activits illgales (dtournement dinformation) ........................................67

5.16.

La mutation de certains grands domaines sectoriels .............................................68

5.16.1.

La e-ducation .............................................................................................68

5.16.2.

La e-sant ....................................................................................................68

5.16.3.

Le secteur bancaire ......................................................................................70

5.17.

Enjeux conomiques et sociaux ...........................................................................72

5.17.1.

Cyberdpendance des entreprises ................................................................72

5.17.2.

Cyberdpendance des citoyens ....................................................................73

5.17.3.

Cyberdpendance gouvernementale .............................................................74

5.17.4.

Une rvolution socitale ? .............................................................................75

5.18.

Enjeux rglementaires et juridiques .......................................................................75

5.18.1.

Protection des mineurs .................................................................................75

5.18.2.

Protection de la vie prive .............................................................................76

5.18.3.

Evolution du risque juridique..........................................................................78

5.18.4.

Harmonisation europenne ...........................................................................78

5.19.
6.

Les freins au dveloppement dInternet ................................................................78

Nouvelles mesures et dispositifs de scurit....................................................................81


6.1.

Les contre-mesures techniques ...............................................................................81

6.1.1.

DNSSEC ..........................................................................................................81

6.1.2.

ROA/RPKI et BGPSEC .....................................................................................83

6.1.3.

Identifiant service operateur sur Internet ............................................................84

6.1.4.

Authentification non observable ........................................................................85

6.1.5.

Nouveaux procds de supervision et de dtection par voie rseau ..................85

6.1.6.

Nouveaux modles de protection contre les dnis de service ............................86

6.1.7.

Analyse comportementale des malwares ..........................................................87

version 1.1 (06/01/2015)

Page 4/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


6.1.8.

Traabilit sur lusage des donnes ..................................................................87

6.1.9.

Rseau polymorphe (MTD : Moving Target Defence) .........................................87

6.1.10.

Zero trust network architecture (ZTNA) ..........................................................87

6.1.11.

Les rseaux quantiques ................................................................................88

6.1.12.

Chiffrement homomorphe .............................................................................88

6.1.13.

Cloud et virtualisation ....................................................................................89

6.1.14.

Suret de fonctionnement des infrastructures critiques ..................................90

6.1.15.

Ngociation automatique des politiques de scurit ......................................91

6.1.16.

Scurit des composants logiciels et matriels ..............................................91

6.2.

Formation et sensibilisation ......................................................................................92

6.3.

Normalisation et Conformit de la cyberscurit .......................................................92

6.4.

Stratgique et lgislatif.............................................................................................93

6.4.1.

Cyber-stratgie ................................................................................................93

6.4.2.

Balkanisation....................................................................................................95

6.4.3.

La localisation des services et des donnes ......................................................96

6.4.4.

Evolution de la rglementation et de la fiscalit ..................................................96

6.4.5.

Lutte contre la cybercriminalit .........................................................................97

A.

Annexe - Rfrences ......................................................................................................98

B.

Annexe - Glossaire .......................................................................................................109

C.

Annexe - confidentiel Orange ........................................................................................112

D.

Annexe - Contributeurs de ltude ................................................................................113

version 1.1 (06/01/2015)

Page 5/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030

1. Introduction
Le prsent document constitue le rapport de ltude Rseau Internet et scurit : Quel impact
du progrs des Technologies de l'information et de la communication (TIC) sur la capacit de
l'Etat franais, de matrise du rseau et de sa scurit dici 15 20 ans ?

Lactualit dmontre rgulirement limportance vitale du rseau Internet suite des cyberattaques de grande ampleur avec un impact majeur sur les plans psychologique et conomique
voire potentiellement une atteinte aux intrts de ltat franais. De manire gnrale, les
rseaux privs tant de moins en moins ferms , le niveau dexposition aux cyberattaques va
crotre1 dans les annes venir. Internet est galement de plus en plus prsent au niveau des
systmes industriels (ex : environnements SCADA) ce qui laisse entrevoir des impacts sur la
scurit physique des biens mais aussi des personnes2.

Cette tude a pour objectif de faire une analyse prospective lhorizon 2030 de la cyberscurit
du rseau Internet civil, principalement sur le plan technique, mais galement socital,
rglementaire, juridique ainsi que sur les usages. A noter que certains sujets de ltude
pourraient tre a priori transposables aux rseaux militaires et gouvernementaux franais.
Note : cette tude ne prend pas en compte dventuels bouleversements gopolitiques majeurs
susceptibles de modifier profondment lquilibre mondial actuel.
Ce document est structur en 3 grandes parties :

1
2

La premire partie porte sur lvolution du cyberespace (le rseau Internet, les services
et les usages, les tendances en termes de performances et scurit) [chapitre 4]
La seconde partie est consacre ltude des nouvelles menaces, des nouveaux
scnarios de vulnrabilits et de manire plus gnrale les enjeux de scurit dans ce
futur cyberespace [chapitre 5]
La troisime partie est consacre aux futures mesures de scurit envisageables
(techniques, organisationnelles, rglementaires) [chapitre 6]

(DSI : prparez-vous contre les Cyber-attaques, 2014)


(Digital Life in 2025 - Cyber Attacks likely to Increase, 2014)

version 1.1 (06/01/2015)

Page 6/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030

2. Remerciements
Les auteurs remercient l'ensemble des acteurs qui ont t sollicits pour la ralisation de cette
tude. Beaucoup de contributeurs sont internes au groupe Orange, en particulier les
responsables de domaine de recherche au sein des quipes Recherche & Dveloppement du
groupe Orange ( Orange Labs ). Les contributeurs externes appartiennent diffrents
organismes : CNIL, ANSSI, Gendarmerie Nationale, Universits.

version 1.1 (06/01/2015)

Page 7/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030

3. Rsum
La prochaine rvolution attendue dici 2030 sera lInternet des objets, et plus particulirement
le M2M (Machine to Machine). En effet, le rseau Internet ne sera plus uniquement un vecteur
de communication entre des individus et des machines, mais entre des machines totalement
autonomes et de plus en plus intelligentes. Dans ce nouveau contexte, les usages de services
dports sur Internet (Cloud Computing) devraient exploser et les terminaux mobiles ainsi que
les routeurs daccs abonn (type box oprateur) seront amens jouer un rle primordial sur
le plan de la scurit.
Au niveau des rseaux oprateurs, les changements disruptifs vont concerner la virtualisation
des rseaux (SDN, NFV), les rseaux mobiles de cinquime gnration (5G), la tlphonie sur
internet WebRTC. Les infrastructures supportant Internet seront par consquent de plus en plus
ouvertes et mutualises, ce qui va accroitre certains risques et en crer de nouveaux. De
grands acteurs de lInternet actuel (Google, Apple, Microsoft) devraient galement challenger les
oprateurs historiques via le dploiement de solutions dinfrastructures rseau novatrices et
low-cost , en particulier dans les pays en voie de dveloppement, mais aussi dans les
grandes agglomrations occidentales, leur confrant ainsi une plus grande autonomie pour la
dlivrance de leurs services.
Les enjeux de scurit apprhender dans ce futur cyberespace sont multiples ; certains tant
particulirement importants en raison des profondes mutations quils pourraient engendrer :

La principale rupture anticiper concerne limpact des cyberattaques. Aujourdhui limit


des biens matriels et immatriels (ex : financier), ce sont dsormais des vies
humaines qui pourraient tre impactes en raison de la cyberdpendance croissante de
plusieurs secteurs dactivit vitaux : industrie nergtique, transports (ex : voiture
connecte), la sant ;
Couple des rseaux de plus en plus performants, luniformit croissante des
matriels et surtout des logiciels, aussi bien dans le domaine professionnel que grand
public, va tendre la porte et la gravit des cyberattaques ;
La protection des donnes personnelles, initialement pense avec une proccupation
idologique, va devenir un pilier de la lutte contre la cybercriminalit et la cyberinscurit. Les progrs attendus dans les domaines de la golocalisation et de la
reconnaissance faciale vont aussi amplifier le sentiment de surveillance permanente de
la population et probablement aggraver certains risques psycho-sociaux ;
La modle dauthentification actuel base essentiellement sur le couple login/mot de
passe atteint ses limites et des changements majeurs sont prvoir dici quelques
annes pour amliorer le niveau de scurit global, simplifier la vie des usagers et
sadapter aux spcificits de lInternet des objets (ressources contraintes) ;
Les protocoles SSL/TLS qui scurisent la majorit des changes sur Internet souffrent
dun grave problme de confiance envers les autorits de certification X.509. Cette
problmatique de confiance sera dautant plus critique avec le dploiement envisag de
solutions comme DNSSec ou RPKI/BGPSec pour scuriser le cur de lInternet.

version 1.1 (06/01/2015)

Page 8/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


La souverainet, la scurit nationale et la capacit de dfense de ltat franais sont galement
menaces par cette rvolution technologique et sociale :

La France, et dans une plus large mesure lEurope, est victime dune perte croissante
de souverainet sur le plan industriel car elle devient de plus dpendante de pays
trangers (matriels, logiciels, services, recherche et dveloppement). Cette perte de
souverainet saccentue avec la dlocalisation des services et des donnes engendres
par les usages Cloud ;
Les volutions technologiques venir font craindre une perte de maitrise tatique sur les
moyens de surveillance (capacit raliser des interceptions lgales et des rquisitions
judiciaires). La gnralisation du chiffrement des flux de bout en bout et des terminaux
usager va amplifier cette problmatique ;
Le scnario dune paralysie conomique du pays, voire mme de certaines
infrastructures et services vitaux, devient de plus en plus probable ;
La stabilit de ltat pourrait tre altre par les nouveaux risques qui vont peser sur les
citoyens, notamment ceux pouvant impacter lintgrit physique des personnes, mais
aussi les risques psycho-sociaux ;
Laccessibilit du cyberespace civil dans les zones de conflits arms pourrait engendrer
une relle problmatique de maitrise de linformation sur le plan militaire, notamment
cause des usages personnels : renseignement via la golocalisation de terminaux et
linterception de communications, altration du commandement, manipulation de
linformation.

Le rle protecteur de ltat, notamment le ministre de la Dfense, envers ses citoyens sera
donc un enjeu majeur dans les annes venir. Dans un futur proche, certains sujets devront
faire lobjet de rflexions au niveau tatique :

Faut-il crer un Internet de confiance au niveau national ou europen, avec davantage


de souverainet et de maitrise technologique pour les usages critiques et les missions
de services publics ? Un enjeu important sera de concilier la souverainet numrique
avec les liberts individuelles et la capacit dinnovation ;
Doit-on imposer une normalisation de la scurit plus tendue quactuellement au sein
du cyberespace ? (certification systmatique des produits matriels et logiciels,
garanties entendues sur la maintenance et le support) ;
Faut-il privilgier une action au niveau national ou au niveau Europen, notamment
concernant la gouvernance, la rglementation, la pnalisation ?
Une tude est mener sur lintrt et les dangers des usages personnels, en particulier
les terminaux mobiles, au sein des armes.

En conclusion, Internet ne sera plus seulement un moyen de communication, de


divertissement, et de commerce. Il deviendra un systme critique pour la survie conomique
des entreprises et pour le fonctionnement des infrastructures vitales (nergie, transport, sant,
alimentaire). Il acquiert dsormais autant dimportance que lnergie lectrique la diffrence
prs quInternet est plus vulnrable et plus critique en terme de disponibilit (pas de moyens de
secours). Toutefois, la socit voluant, il faudra probablement apprendre vivre avec de
nouveaux risques numriques/virtuels ayant des impacts trs graves dans le monde
physique/rel . Le risque zro nexiste pas et nexistera pas. Enfin, il faut garder lesprit que
la scurit aura toujours un cot financier, qui devra tre assum par tous les acteurs du futur
cyberespace.

version 1.1 (06/01/2015)

Page 9/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030

4. Evolutions du cyberespace
Tout au long de son histoire, le rseau Internet a volu avec quelques tapes majeures en
termes dusage. LInternet est ainsi demeur pendant longtemps un rseau de
tlcommunication technique avec pour principal objectif la mise en relation de ses
utilisateurs, dabord dans le milieu universitaire et industriel, puis dans le domaine grand public.
Le dbut des annes 2000 a vu lexplosion des usages domestiques et professionnels et
surtout une dmocratisation grande chelle. Des usages innovants tels que les rseaux
sociaux, le e-commerce et de manire gnrale le e-business ont mergs et se dveloppent
encore aujourdhui. La prochaine rvolution qui verra le jour dici 2030 sera lInternet des
objets, et plus particulirement le M2M (Machine to Machine). En effet, le rseau Internet ne
sera plus uniquement un vecteur de communication entre des individus et des machines, mais
entre des machines totalement autonomes et de plus en plus intelligentes.
Les fondements de lInternet actuel, en termes darchitecture et de protocoles, ne devraient pas
tre remis en cause dici 2030. Des volutions techniques et organisationnelles peuvent
apparaitre, pour moderniser et scuriser le rseau notamment, mais lhgmonie dInternet et
son universalit sont telles que lon ne voit pas comment une technologie concurrente pourrait
voir le jour dici 2030. A plus long terme, des technologies orientes sur les contenus comme
ICN3 pourraient merger, mais cela demeure encore extrmement hypothtique.
Pour apprhender les futurs enjeux de scurit, il est ncessaire didentifier (ou dvaluer) les
futures volutions et usages dInternet. Ce chapitre a pour but de prsenter une synthse des
volutions envisager sur le futur cyberespace horizon 2030 et de raliser un premier niveau
danalyse des enjeux de scurit. Il prsente galement les grandes tendances sur lvolution
venir du rseau Internet en termes de performances, dimensionnement et cyberscurit. Tous
ces lments permettent de mieux cibler les futures sources de menaces et dapprhender les
surfaces dattaques.
Cette synthse a t ralise sur la base de plusieurs sources :

le ple Recherche & Dveloppement du groupe Orange et sa veille technologique ;


des travaux de recherche documentaire raliss spcifiquement pour cette tude
(articles/ressources Internet principalement) ;
des tudes prospectives rcentes sur le thme dInternet, en particulier :
- La dynamique dInternet - Prospective 2030 4 ;
- France numrique 2012-2020 / Bilan et Perspectives 5 ;
- LInternet industriel 6.
- Global Trends 2030: Alternative Worlds7

(Information-Centric Networking Research Group, 2013)


(La dynamique dinternet - Prospective 2030, Tlcom ParisTech, 2013)
5
(France numrique 2012-2020 / Bilan et Perspectives, MINEFI, 2011)
6
(L'Internet industriel, Pierre BELLANGER, 2013)
7
(National Intelligence Council : Global Trends 2030: Alternative Worlds - page 86, 2012)
4

version 1.1 (06/01/2015)

Page 10/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030

4.1. Vue usager


4.1.1. Les usages mobiles
Les usages mobiles vont continuer de croitre dici 2030 avec une monte en puissance
remarquable des objets connects. Le grand gap technologique, prvu entre 2020 et 2025,
sera la gnralisation des rseaux mobiles de cinquime gnration (5G) qui dcupleront les
dbits par rapport aux rseaux 4G (LTE) actuels et optimiseront davantage lnergie.
Cette augmentation des performances des rseaux mobiles dmocratisera certaines
applications gourmandes en dbit telles que la visioconfrence, la TV sur mobile, la
vidosurveillance, la ralit augmente. Au niveau rsidentiel, il est galement possible que
certains usagers dlaissent laccs traditionnel en filaire (xDSL, FO) pour ne disposer que dun
accs mobile.
Avec lessor de la golocalisation et la multiplication des objets connects de type camras et
capteurs, il faut surtout sattendre une gnralisation massive des applications de surveillance
et de contrle distance dans le domaine grand public qui, actuellement, sont plutt rserves
au domaine professionnel ou des classes sociales aises. Outre les problmatiques de
protection de la vie prive et de fraudes, les utilisations malveillantes telles que lespionnage
dans un contexte de guerre conomique vont galement samplifier.
Le smartphone va poursuivre son dveloppement pour intgrer encore davantage de
fonctionnalits, en particulier dans le domaine bancaire et mdical. Ainsi, le smartphone pourra
tre utilis aussi bien pour des achats en ligne que pour des transactions locales (technologie
NFC / paiement sans contact). Il pourra galement tre utilis comme relais pour des capteurs
biomtriques surveillant ltat de sant dun individu. Le smartphone sera donc plus que jamais
un concentr de donnes personnelles. De manire plus gnrale, le smartphone est vou
jouer un rle de pivot vis--vis des objets connects rattachs un individu (capteurs, montre,
lunettes), car ces derniers utiliseront des technologies et des protocoles spcifiques non IP
(dvelopps en dehors de toute standardisation linverse du GSM).
Dun point de vue connectivit, laccs Internet mobile devrait stendre dans des lieux mal
desservis actuellement tels que les transports en communs, et plus particulirement les avions
via le dveloppement des offres de raccordement par satellite. Thales prvoit ainsi que 70% de
la flotte arienne mondiale sera connecte en 20258.
La gnralisation de laccs Internet mobile dans les automobiles est une volution majeure qui
va permettre le dveloppement de nombreuses applications telles que le guidage intelligent,
laide la conduite avec la ralit augmente, lassistance mcanique, les services de scurit
(lutte contre le vol, communication de type e-call avec les services durgence) et plus long
terme le pilotage automatique pour lequel les enjeux de scurit sont vidents.

4.1.2. Le Cloud
Les usages cloud, grand public et entreprise, vont se dvelopper et se dmocratiser en raison
des performances croissantes sur les rseaux (gnralisation du raccordement en fibre optique,
rseaux mobiles de cinquime gnration).

(Thales parie sur l'Internet bord des avions pour faire dcoller son chiffre d'affaires, 2014)

version 1.1 (06/01/2015)

Page 11/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


Les terminaux mobiles et les objets connects seront des gros consommateurs des services de
stockage en ligne. Pour les terminaux fixes, les applications en mode SaaS vont se dvelopper,
rendant la machine locale de moins en moins intelligente et de moins en moins adhrente aux
individus. Dans ce contexte, il probable que lon assiste une convergence des terminaux fixes
et mobiles en termes denvironnement systme et dapplications.
Certains services de scurit, comme lantivirus ou le pare-feu, sont susceptibles dtre
dlocaliss dans le Cloud. Cest un usage minoritaire aujourdhui, mais qui va probablement se
dvelopper dans les annes venir avec toute la problmatique de maitrise que cela engendre.
Ce dport de fonction de scurit dans le Cloud, qui peut tre restreint au rseau local,
constitue aujourdhui un axe de recherche important pour scuriser les objets connects de
faible capacit.

4.1.3. LInternet des Objets (IoT)


Incontestablement, le dveloppement de lInternet des objets et du M2M, qui caractrise le
web3.0, sera lvolution majeure du cyberespace dans la prochaine dcennie. Ces objets
seront prsents dans tous les domaines de la vie quotidienne ainsi que dans lindustrie, la
grande distribution, lassurance, la sant, les systmes industriels ainsi que dans les transports
mais aussi dans le domaine de la dfense et du renseignement. Les applications sont vastes :
mdical (capteurs biomtriques, pilulier, injecteurs), transport (voiture connecte, sondes de
trafic, lments de signalisation, antivol), eau et nergie (sondes, compteurs, actionneurs),
agroalimentaire (outils connects, collier animaux, capteurs), domotique (serrures connectes,
multimdia, lectromnager, alarmes intrusion), armement (smartgun9).
Ces objets pourront tre trs adhrents aux individus via le dveloppement des interfaces biointeractives : capteurs biomtriques, appareils mdicaux (exemple : pompe insuline,
pacemaker), interfaces bioniques. LInternet des objets sera galement le fondement de la
maison intelligente (domotique 2.0) et de la ville intelligente (smart-city) qui immergera en
permanence les individus et leur environnement dans le cyberespace.
Bien que les chiffres exacts divergent entre cabinets spcialiss comme IDC, Gartner ou encore
IDate, ils convergent tous sur un point : horizon 2020 il y aura des dizaines de milliards
dobjets connects au rseau Internet. Les prvisions les plus optimistes prvoient 80 milliards
dobjets connects dici 202010 (contre 15 milliards actuellement) ; ce chiffre est probablement
trs sous-estim si lon considre les objets indirectement connects, notamment par
lintermdiaire des smartphones et des box.
Lexplosion du nombre dobjets connects devrait sacclrer dans les annes venir avec la
miniaturisation croissante des composants lectroniques associe une baisse de leurs cots.
Les jeunes socits innovantes sont au cur de cette rvolution annonce quest lInternet des
objets : les grands groupes industriels historiques, challengs par ce nouveau domaine quils ne
maitrisent pas et dont leurs clients sont friands, sappuient sur ces jeunes socits innovantes
pour acclrer la transformation de leurs produits et services. Avec des prvisions de chiffre
daffaire de lordre de 300 Milliards $, le march des objets connects est vu comme un nouvel
eldorado par les acteurs du domaine numrique.

(Des armes feu compatibles avec les Google Glass, 2014)


(80 milliards d'objets connects en 2020, 2013)

10

version 1.1 (06/01/2015)

Page 12/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


Les dcennies venir verront le dveloppement dune catgorie particulire dobjets connects
que sont les robots. Ils seront de plus en plus intelligents et autonomes et utiliseront le rseau
Internet pour communiquer, avec des machines ou des individus. Les applications robotiques
se situent dans le domaine du transport (avion, bus, train, voiture autoguids), dans le domaine
agricole (robot-tracteur), mais aussi au niveau domestique (robots mnagers, robots de
surveillance, robots daide aux personnes ges ou handicapes). Dun point de vue scurit,
une caractristique commune de ces robots connects sera le risque datteinte lintgrit
physique des personnes.
Des progrs majeurs sont galement prvoir dans le domaine des interfaces biointeractives , support de nombreux objets connects. Les domaines dapplications sont
varis : identification/authentification biomtrique, interfaces bioniques et neuronales, interaction
holographique, interfaces sensorielles pour les jeux vido et les rseaux sociaux, applications
mdicales.
Il faut aussi sattendre une explosion des performances et des utilisations de la
reconnaissance faciale. Dabord utilise des fins dauthentification, elle se gnralisera
probablement dautres usages tels que la publicit, la surveillance, voire des applications plus
sujettes polmique comme la dtection des motions. La problmatique de protection de la
vie prive sera videmment un enjeu de scurit majeur.

4.2. Vue oprateur


Ct oprateur, il faut sattendre plusieurs volutions majeures horizon 2030 : la
gnralisation du protocole IPv6 ; la virtualisation des applications rseaux (NFV et SDN) ; les
rseaux mobiles de cinquime gnration (5G) ; la monte en puissance des rseaux de
contenus (CDN) ; louverture de la tlphonie (WebRTC); lmergence de nouveaux types
dinfrastructures rseau. Ces volutions auront des consquences importantes en termes de
scurit.
Le protocole IPv6 qui peine simposer aujourdhui devrait probablement se gnraliser dici
2030, notamment en raison de la pnurie des adresses IPv4 et la multiplication des terminaux
et objets connects. Le trafic IPv6, actuellement de 3%, est en croissance constante ; il devrait
atteindre 10% en 2015 [source : mesures internes Orange]. La priode de cohabitation
IPv4/IPv6 va perdurer pendant encore au moins 20 ans, amplifiant ainsi les sources de
menaces et la surface dattaque (doubles piles protocolaires, protocoles de translation,
complexit de gestion). A noter que ladministration franaise a pour ambition de gnraliser
IPv6 pour lensemble de ses services Internet lhorizon 2015 ; la mme cible est souhaite
pour les entreprises dici 202011.
La virtualisation des rseaux, qui repose sur les modles NFV et SDN, a pour finalit
lautomatisation et la fourniture dinterfaces externes pour la programmation des rseaux. Les
bnfices escompts sont notamment la rduction du temps de dploiement de nouveaux
services rseau, une plus grande flexibilit en terme dutilisation des ressources rseau et des
gains en matire de cots oprationnels et dinvestissement sur le matriel rseau. NFV et SDN
ne sont pas aujourdhui standardiss et font lobjet de travaux de recherche. Au niveau franais,
11

(France numrique 2012-2020 / Bilan et Perspectives, MINEFI, 2011)

version 1.1 (06/01/2015)

Page 13/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


un projet de recherche ANR traitant NFV et SDN associe Orange, Thales, 6Wind, lUniversit
Pierre et Marie Curie, lInstitut Telecom-ParisTech Normale Sup Lyon et LINRIA. A noter
quOrange prvoit les premires implmentations oprationnelles de SDN sur ses rseaux WAN
courant 2017/2018.
NFV12 (Network Functions Virtualization) est un ISG de lETSI qui pour principal objectif la mise
en uvre de fonctions logicielles rseau sur des serveurs banaliss dans une architecture
cloud. Cela permet aussi de programmer le chanage de fonction rseaux pour personnaliser
des services finaux pour des clients. NFV peut prendre appui sur SDN pour assurer la
connectivit entre machines virtuelles localises dans des POP (ou data centers) diffrents.
SDN13 (Software Defined Networking), projet initialis par lONF (Open Networking Foundation)
et considr par lIETF et lITU-T, dfinit une architecture de gestion et de commande des
ressources rseaux en fonction dobjectifs de services. Larchitecture pour le SDN est
structure en trois couches :

les ressources rseau constitues par lensemble des lments de rseaux physiques
ou virtuels (routeurs et commutateurs)
une couche de contrle contenant des fonctions dabstraction et de programmation des
ressources rseau sous-jacentes et offrant un ensemble de gestionnaires de service de
base comme la gestion des nuds et des liens associs
une couche de services applicatifs rseau, tels que des applicatifs de gestion de VPN
la demande, des services de connectivit cloud Network as a Service (NaaS). Les trois
couches de larchitecture SDN sont spares au moyen de deux types dinterfaces
dites Application-control et Resource-control .

La virtualisation va bien videment faire apparaitre de nouvelles problmatiques de scurit du


fait notamment de la mutualisation des ressources et louverture dinterfaces de gestion des
tiers.
Les rseaux mobiles de cinquime gnration seront normaliss partir de 2020 et gnraliss
en termes de dploiement horizon 2030 ; ils sont en cours de dfinition et de normalisation au
niveau europen dans le cadre du PPP-5G 14 . La 5G (LTE-B) constituera une transition
technologique majeure et globale par rapport aux rseaux mobiles actuels, notamment 4G/LTE.
La refonte concernera non seulement la gestion du spectre et les protocoles radios, mais
galement le cur de rseau (IMS) et surtout la scurit. Il fait aussi sattendre une
gnralisation de la voix sur LTE (VoLTE15). A plus longue chance, les rseaux 6G sont dj
voqus, mais cela demeure encore trop abstrait.
A horizon 2030, Internet devrait voluer depuis un modle fournissant de la connectivit rseau
vers un modle fournissant des services, des donnes et des contenus. Cette tendance est
actuellement observe avec la monte en puissance des CDN, gnrant ainsi des tensions
conomiques entre les fournisseurs de contenus de type OTT et les oprateurs, voire avec les
tats (fiscalit, financement culturel, mise en valeur des contenus nationaux). En terme
darchitecture, lIETF envisage mme que les terminaisons abonns puissent voluer vers des
interfaces Full CDN , avec un adressage bas sur DNS et faisant abstraction des couches IP
12

(Premiers livrables ETSI concernant la virtualisation de fonctions rseau, 2014)


(Premire norme sur la softwarization du rseau SDN et la connectivit la demande, 2014)
14
(5G PPP, 2014)
15
(VoLTE : des appels via 4G amliors, le point chez les 4 oprateurs, 2014)
13

version 1.1 (06/01/2015)

Page 14/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


et donc sans communication IP de bout en bout (les couches IP seraient rserves au cur de
rseau).
De manire plus globale, les oprateurs risquent de perdre la maitrise de certains services
historiques comme la tlphonie (cf. WebRTC) ou la vido (ex : OTT Netflix), notamment au
niveau des rseaux mobiles. Le WebRTC, qui est une forme de Skype normalis fonctionnant
dans un navigateur web, pourrait ainsi chapper totalement aux oprateurs et potentiellement
remettre en cause certains principes de surveillance et de rquisition judiciaire par les tats,
notamment en raison du chiffrement quasi-systmatique des flux. A noter que la technologie
WebRTC pourrait galement ouvrir la porte la convergence fixe/mobile qui fait parfois dfaut
aujourdhui.
En termes dinfrastructure, de nouveaux types de rseaux devraient voir le jour ou prendre de
lampleur, court-circuitant ainsi les oprateurs historiques. Il faut notamment sattendre une
monte en puissance des rseaux communautaires de type had-doc qui sont, pour le moment,
plutt rservs aux pays en voie de dveloppement pauvres en infrastructures. Ces rseaux
had-hoc peuvent sappuyer sur le wifi, voire le LTE sur des bandes de frquences non-officielles
mais sous-utilises (White-Spaces 16 ). Des modles dinfrastructures rseaux low-cost sont
dores et dj tests en Afrique par Google17 et pourraient trs bien sexporter dans des pays
comme la France moyen terme. Les grands acteurs du net comme Google ou Facebook ne
cachent pas leurs ambitions de fournir des solutions daccs Internet grande chelle (rseau
de satellites ou de drones), leur procurant ainsi une totale maitrise de bout en bout. Une
ventuelle perte de maitrise des oprateurs historiques aurait des rpercussions majeures sur
lconomie nationale et la souverainet de ltat Franais.

4.3. Tendances / Dimensionnement


Mme sil est difficile de raliser de faon globale et avec prcision une projection de ce que
sera le dimensionnement dInternet en 2030 dun point de vue quantitatif, en particulier partir
des donnes en notre possession actuellement, nous pouvons apprhender plus facilement
lvolution qualitative de celles-ci et tenter de corrler le tout avec les volutions technologiques
probables.

4.3.1. Evolution du trafic


Ce sous-chapitre dcrit lvolution du trafic Internet rsidentiel fixe et mobile depuis une dizaine
dannes et propose quelques tendances pour les annes venir. Elle se base principalement
sur des mesures ralises sur les rseaux dOrange en France et diverses autres tudes.

Trafic rsidentiel fixe

En France comme dans la majorit des pays, le trafic Internet rsidentiel fixe croit fortement
depuis lintroduction des technologies daccs haut dbit, ADSL ( partir de fin 1999) puis
FTTH (introduction progressive partir de 2008).

16
17

(4G white-spaces, 2014)


(Google veut amener le wifi en Afrique subsaharienne avec des ballons dirigeables, 2014)

version 1.1 (06/01/2015)

Page 15/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


La premire composante de cette croissance est celle du nombre de clients. Celle-ci a t
forte jusque vers 2010, elle est maintenant trs mesure le march tant maintenant
mature.
La seconde composante de cette croissance est une augmentation toujours soutenue du
trafic par client aussi bien en volume (octets changs par les clients) quen dbit (qui sert
dimensionner les rseaux), les deux variables tant videmment corrles.

Figure 1 volution du dbit moyen par client (rseau rsidentiel fixe Orange France)

Cette croissance soutenue du trafic est lie en premier lieu aux usages dInternet,
usages qui ont beaucoup volu depuis 10 ans. La premire priode (2002-2005) est
caractrise par un usage relativement faible des clients, une connexion au rseau la
demande (en opposition avec la connexion toujours active qui est devenue la norme) et
bien sr un catalogue dapplications rduit. En 2004 les usages sont tirs par lchange
de fichiers en P2P. Dbut avec Napster, cet usage va se dvelopper avec des
applications phares comme eMule, BitTorrent. Puis aprs 2007, le streaming et le
tlchargement vont progressivement prendre de limportance pour supplanter le P2P
aprs 2010. Aujourdhui le streaming est largement dominant avec des services comme
YouTube qui concentre une part trs importante du trafic (environ 15% lui seul).

Figure 2 volution de la rpartition du trafic (rseau rsidentiel fixe Orange France)

version 1.1 (06/01/2015)

Page 16/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


Les usages se sont galement modifis avec la multiplication des terminaux connects.
Il est aujourdhui courant davoir plusieurs ordinateurs ainsi que des smart phones,
tablettes, consoles de jeux et tlvisions connects. Lusage des tlvisions connectes
reste marginal aujourdhui (au moins sur Internet, les oprateurs ayant mis en place des
services de VoD spcifiques spars de lInternet gnral). Par contre les smart phones
et autres tablettes ont tir les usages depuis ces dernires annes pour reprsenter plus
de 25% du trafic global aujourdhui sur rseau fixe.
Les usages varient galement en fonction du type daccs (ADSL ou FTTH). Sans
surprise, les clients FTTH ont des usages plus importants avec environ 50% de volume
en plus dans le sens rseau vers client et plus 4 fois plus dans le sens client vers rseau.
Les clients tirent manifestement parti du dbit remontant beaucoup plus important des
accs fibre. Cet usage remontant est majoritairement de lchange de fichiers en P2P
(environ 75%) et concentr sur un petit nombre de trs gros utilisateurs.
Au cours des dernires annes et en lien avec les usages, il y a eu galement une
volution importante de la provenance du trafic. Dans les annes 2004/2005, avec une
trs forte proportion de P2P, le trafic tait majoritairement national, la plupart des
contenus tant changs entre internautes franais (au moins pour les films et sries qui
reprsentent le gros du trafic). Avec larrive des services de streaming ou de
tlchargement, gnralement localiss hors de France, le trafic a progressivement
bascul vers ltranger. Puis rcemment, avec la multiplication des CDN les sources de
trafic sont assez majoritairement revenues sur le territoire franais, mme si ce nest
que via des copies locales de contenus dposes dans des caches.

Trafic rsidentiel mobile


Le trafic Internet mobile a clairement dcoll partir de 2008 et larrive des
smartphones, iPhone en tte. La disponibilit de terminaux lergonomie bien tudie et
la disponibilit de nombreux services trs pratiques ont fait exploser les usages. La
croissance est lie laugmentation des smart phones, et laugmentation des usages
de chaque terminal en lien avec la richesse toujours plus grande des services
disponibles et laugmentation de capacit des terminaux. Le lancement de la 4G en
2013 a fait repartir la hausse le taux de croissance du trafic. La croissance est
suprieure 80% par an.

Figure 3 volution du trafic mobile (rseau mobile Orange France)

version 1.1 (06/01/2015)

Page 17/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030

Comme indiqu dans le paragraphe sur le trafic fixe, une partie seulement du trafic des
smartphones seffectue sur le rseau mobile, la partie en fait la plus importante passe
par le rseau fixe via la connexion en WiFi sur les passerelles domestiques (Box
oprateur) quand les utilisateurs sont leur domicile. Il est dailleurs intressant de noter
que les pics de trafic du rseau mobile ont souvent lieu pendant la pause-djeuner, en
semaine alors que ceux du rseau fixe ont plutt lieu les dimanches en soire.

Figure 4 - mesures de trafic en Gb/sur une journe (rseau mobile Orange France)

Le trafic du rseau mobile est relativement faible par rapport celui du rseau fixe
(moins de 10%), il est galement plus sensible aux vnements exceptionnels. Par
exemple, lors du la coupe du monde de football 2014, les matches de lquipe de
France ont provoqu des pics de trafic trs importants. Le nouveau record tabli en Juin
2014 est de 85 Gb/s, et cest plus du double du prcdent record qui datait de Mai
2014. Ceci na t possible que grce la capacit importante dploye via les cellules
4G.
Les usages sur rseau mobile sont lgrement diffrents de ceux sur rseau fixe. Ceci
est li dune part la capacit gnralement plus faible des accs mobile (sauf en 4G)
mais surtout aux types de terminaux. En effet, en France au moins le trafic vient trs
majoritairement des smartphones (plus de 90%). De plus certains usages comme le
P2P sont interdits sur les rseaux mobiles.
Le streaming reste majoritaire, mais on constate des usages Web plus importants, lis
au fait que la plus grande partie des applications mobiles (consultations mto,
informations) utilisent des services Web.

version 1.1 (06/01/2015)

Page 18/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030

Figure 5 rpartition du trafic mobile en 2014 (rseau mobile Orange France)

Et dans le futur ?

La prvision de trafic est un exercice difficile, surtout dans un environnement trs volatile
comme les usages Internet. La plupart des services les plus populaires nont que quelques
annes dexistence, et il est trs probable que de nouveaux services forte audience
naissent dans un futur proche.
A lchelle internationale, suivant que lon considre une volution prudente ou optimiste
des usages et donnes vhicules sur Internet, en extrapolant partir dtudes disponibles
actuellement 18 , on peut anticiper un volume de donnes produit compris entre 22
zettaoctets 19 (projection pessimiste) et plus de 80 zettaoctets (projection plus raliste).
Linflexion vers lune ou lautre des tendances va en partie dpendre de la possibilit des
gouvernements et des entreprises relier les populations non encore raccordes
Internet : une tude20 de lunion internationale des tlcommunications (UIT) prvoit de
passer la barre des 3 milliards dinternautes la fin de lanne 2014. Il reste donc un
potentiel de 4,3 milliards dhabitants non encore connects, principalement en Afrique
(81%), en Asie/Pacifique (68%) et au Moyen-Orient (59%).
Compte-tenu des spcificits gographiques, des difficults propres ces rgions et des
investissements ncessaires, il est probable que laccs Internet dans le futur,
notamment pour les populations cites prcdemment, sera fera principalement travers
lInternet Mobile, cest--dire laide dinfrastructures sans fil, depuis un
ordiphone/smartphone.
Les volumes de donnes en jeu, et leur traitement, relve de technologies et de
comptences qui relve des mgadonnes ( Big Data ), voire ce que lon anticipe dj
sous le nom de Massive Data ou Mega Data .
Dans le futur, comme aujourdhui, seule une partie infime des donnes produites seront
analyses. Avec la monte en volume globale des donnes produites, et plus
particulirement avec laugmentation des donnes dites non structures , comme les

18

(The Digital Universe in 2020 : BigData, Bigger Digital Shadows and Biggest Growth in the Far East United States, 2012)
19
1 zettaoctet = 1000 exaoctets = 1 milliard de teraoctets
20
(The World in 2014 : ICT Facts and Figures 2014, 2014)
version 1.1 (06/01/2015)

Page 19/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


vidos ou le trafic M2M, la tche danalyse de ce type de donnes, notamment dun point
de vue scurit, se heurtera des plafonds de complexit technique et surtout de rentabilit
financire.
Dans le futur, et encore bien davantage quaujourdhui, il sera impossible une entit
quelconque, au niveau global mais aussi au niveau rgional voire national, dindexer, de
contrler, de filtrer et surtout de stocker lintgralit des donnes produites sur Internet.
Le trafic M2M va continuer se dvelopper avec la monte en puissance des applications de
lInternet des objets. Mme si ce trafic restera limit par rapport au trafic global dans un
futur proche, sa croissance pourrait tre significative au regard des contraintes imposes
par des applications faisant de plus en plus appel lusage de vido (par exemple,
tlsurveillance, tlmdecine, voire navigation).
Dans les mois et les annes venir, larrive de services de vido de type Netflix pourrait
changer assez fortement les usages par rapport aujourdhui. Si loffre a du succs elle
pourrait assez rapidement faire croitre le trafic 10 15% (c'est--dire la moiti de la
croissance annuelle sur les rseaux fixes). Toujours sur les rseaux fixes, larrive de
services faciles demploi sur tlvision connecte pourrait galement provoquer une forte
augmentation de trafic, les dbits de codage ncessaires pour obtenir une bonne qualit
dimage sur un cran de tlvision tant beaucoup plus levs que sur une tablette. Cette
tendance sera sans doute facilite par la puissance informatique disponible dans le cloud
toujours plus importante. En effet des serveurs haut dbit rclament une capacit de
calcul trs importante ainsi quune trs bonne connectivit rseau, ce qui est le cas dans les
gros data centres.
Les tudes prospectives affichent une croissance soutenue du trafic au moins jusquen
2020, en particulier pour le trafic mobile dont la croissance annuelle serait suprieure
60%. De mme, le trafic de contenu resterait prdominant. Au final, lEurope verrait
galement une croissance du trafic relativement modeste par rapport aux autres rgions du
globe telles que lAsie ou lAmrique du Nord.

Pour aller plus loin

Le travail prsent par M. Feknous lors du congrs IEEE ISCC 2014 Internet Traffic
Analysis : A Case Study From Two Major European Operators 21 analyse et compare les
usages dans deux pays europens (France et Espagne).
Quelques quipementiers prsents dans le domaine de lanalyse du trafic (Cisco 22 ,
Sandvine23) publient rgulirement des rapports donnant des projections sur le trafic internet
au niveau mondial.

4.3.2. Evolution des infrastructures


Laugmentation continue des volumes de donnes transports, traits et stocks nira pas sans
poser de problmes, technologiques dans un premier temps, et financiers dans un second.

21

(IEEE ISCC 2014 Internet Traffic Analysis : A Case Study From Two Major European Operators, 2014)
(Cisco Visual Networking Index: Global Mobile Data Traffic Forecast Update, 20132018, 2014)
23
(Global Internet Phenomena Report, 2014)
22

version 1.1 (06/01/2015)

Page 20/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


Dun point de vue technologique, les challenges relever seront lis :

Lvolution des performances

Que ce soit pour le transport de donnes (avec principalement les fibres optiques et les
liaisons sans fil), que ce soit pour le stockage de celles-ci (avec les disques durs et la
mmoire vive des quipements), ou que ce soit pour la puissance de traitement ncessaire,
aucune des technologies utilises actuellement noffre suffisamment de possibilits de
scalabilit pour accompagner de faon continue les anticipations de volume et de dbit
annonces. Une ou plusieurs ruptures technologiques seront sans doute ncessaires, et
des investissements importants en Recherche & Dveloppement indispensables : la 5G et la
gnralisation de la fibre optique en sont deux exemples daxes prioritaires.
Dun point de vue plus technique, le protocole IP, lment fondateur dInternet sera accul
dans ses derniers retranchements. Le besoin didentifier de faon unique chaque
quipement sur Internet et le besoin dacheminer les donnes entre chaque entit sur
Internet va enterrer progressivement la version actuelle du protocole (IPv4) au profit de la
nouvelle version (IPv6). De par sa conception, IPv6 est capable de grer de faon
satisfaisante laugmentation exponentielle du nombre dquipements, y compris lhorizon
2030.
Par contre, les protocoles de routage associs (notamment BGP) devront tre en mesure
daccompagner la multiplication du nombre de terminaux, la multiplication du nombre
dacteurs et de leurs rseaux, et au final la multiplication du nombre de routes sur Internet.
Ce qui ne se fait pas sans mal aujourdhui. Pour rappel, malgr toutes les prcautions prises
par les oprateurs de tlcommunications, le 12 aout 2014, la limite thorique de 512000
routes publiques sur Internet (appels prefix ) a t dpasse, rendant certaines portions
dInternet injoignables24. Des quipements de routage un peu anciens nont plus t en
mesure de traiter lintgralit des routes publiques dInternet. Des investissements seront
ncessaires pour mettre jour ces nuds cls du rseau des rseaux.
Pour soutenir la croissance de linternet fixe vers le haut, voire le trs haut dbit, la solution
la plus raliste et la plus souvent envisage est la gnralisation de la fibre optique : dun
dbit descendant partag 2,5Gb/s (technologie GPON), il est envisager dvoluer vers un
dbit descendant partag de 10Gb/s (horizon 2018-2019), puis vers le standard NGPON2
(dbit descendant partag sera 40Gb/s) lhorizon 2025.

Lvolution des types de flux

Lors du symposium NOMS 201425, les tendances en matire dusages ont t dresses.
Conjointement lvolution des volumtries de donnes, des changements dans la
typologie de flux changs est galement prvisible.
La monte en puissance des changes de flux vidos en haute (HD), et terme en ultra
haute (UHD) dfinition va augmenter de faon sensible la sollicitation des infrastructures de
transports et de stockage des acteurs de lInternet (notamment chez les oprateurs
globaux, rgionaux, transnationaux, nationaux et locaux).
A terme, et condition de rgler dici l les problmes de confiance des utilisateurs,
laugmentation prvisible de la dmatrialisation et du stockage des donnes en ligne
24
25

(Devenu trop grand, Internet a subi des perturbations, 2014)


(NOMS 2014 - IEEE Network Operations and Management Symposium Cracovie /Pologne, 2014)

version 1.1 (06/01/2015)

Page 21/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


(Cloud Computing) va apporter aux utilisateurs dindniables bienfaits (notamment en
termes de simplification des usages et de facilit daccs). A contrario, cela va encore plus
solliciter les infrastructures de stockage et de transport des acteurs de lInternet.
Que ce soit pour une utilisation grand public ou pour un usage professionnel, les
changes M2M, notamment li lInternet des objets (IoT), vont croire de faon importante
dans les prochaines annes, et pour terme probablement dpasser les autres formes
dutilisations (C2C, B2C, B2B). Il est notable que les donnes de lInternet des Objets
auront probablement moins dimpacts sur les volumes transports que sur les volumes
stocks (sur la dure).

Lvolution des terminaux

Compte-tenu de la miniaturisation, de laugmentation de la puissance et de laugmentation


des fonctionnalits, dans le futur, laccs Internet se fera trs probablement partir des
terminaux mobiles, travers des liaisons sans-fil haut (4G) et trs haut (5G) dbit.
Si lon considre le taux de pntration trs important du tlphone mobile dans les pays
dvelopps (121% en moyenne, 117,1% en France en dcembre 2013), les deux
principales marges de progression sont lies laugmentation (continue) des dbits, et
llargissement des usages (notamment les objets connects).
A linverse, il reste des axes importants de progression dans les pays en voie de
dveloppement. Dans la mme tude et la mme poque, il a t constat que le taux de
pntration du portable ntait que de 69% en Afrique et 89% en rgion Asie Pacifique. De
plus, dans ces mmes rgions le haut dbit mobile reprsente moins de 25% de
lensemble.
Dun point de vue financier, pour pouvoir accompagner les volutions identifies
prcdemment, et pour pouvoir financer les infrastructures susceptibles de supporter les
besoins associs (volumtrie, dbit, latence) ces acteurs vont devoir investir massivement et sur
la dure, avec un modle conomique et un retour sur investissement non encore identifi.

4.3.3. Cyberscurit
Paralllement lvolution des technologies et des usages, les menaces informatiques ont
galement volues depuis le dbut de lInternet.
Une volution des motivations
Au commencement de lInternet civil (nous ne traitons pas de son anctre militaire - Arpanet),
linterconnexion au rseau des rseaux tait principalement rserv aux universitaires, aux
chercheurs et aux grandes entreprises. Lobjectif premier (quasiment utopique aujourdhui) tait
lamlioration de la recherche scientifique par la collaboration entre diffrentes quipes distantes
et in fine la propagation du savoir.
Les premiers actes dincivilit sur le rseau avaient uniquement pour but lamusement et la
dmonstration des capacits techniques. On peut ce propos citer la cration du ver Morris en
1988, ou les premiers livres sur la virologie informatique26.

26

(The Little Black Book of Computer Viruses - Mark A. Ludwig, 1991)

version 1.1 (06/01/2015)

Page 22/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


Avec la cration du World Wide Web (et les technologies sous-jacentes que sont le langage
HTML et le protocole HTTP), la mise disposition dinformations a t simplifie, le nombre de
sites Web a augment, le prix des services daccs diminu au fil du temps, le nombre
dinternautes a cru, bref laccs Internet sest dmocratis. Selon le site Internet Worls Stats27,
le nombre dinternautes est pass de moins dun million en 1990 plus de 100 millions en
1998 et plus dun milliard aujourdhui.
Les socits commerciales ont voulu profiter du nouveau mdia pour, dans un premier temps
soffrir une visibilit sur ce potentiel de visiteurs, et dans un second temps, profiter de la
rduction des cots dinfrastructure et de tlcommunication pour les changes mondiaux. La
cration du commerce lectronique (et son potentiel fabuleux) viendront plus tard.
Avec laccroissement des enjeux financiers (commerce lectronique, jeux en ligne, etc.) et
laccroissement du nombre dinternautes (donc potentiellement de victimes), les menaces et les
motivations lies la cyberscurit ont radicalement changes : aujourdhui, Internet est devenu
une manne financire pour un ensemble dorganisations et dindividus, certes comptents,
mais surtout peu scrupuleux.
Mme si les tudes disposition sont souvent imprcises et contestables, la tendance du
nombre dincidents de scurit, dattaques, voire dintrusions ne laisse aucun doute. Depuis la
fin des annes 90, le nombre dattaques sur Internet augmente de faon exponentielle28. A
noter que ces dernire annes, les attaques en dni de service sont en forte progression.
De mme, du fait de ses ramifications profondes avec de nombreux pans de lconomie dans
la majorit des pays du globe, le cyberespace est devenu un enjeu de souverainet pour les
pays les plus dvelopps et linverse un moyen de dstabilisation (voire de cyber-conflit) pour
dautres.
Un dernier type de motivation prend galement de plus en plus dampleur sur Internet :
l hacktivisme , cest--dire la perptration dactes plus ou moins illicites pour faire entendre
un message idologique, politique, environnemental, religieux ou sectaire. Devant la faiblesse
des cots dune attaque informatique, et les retombes mdiatiques parfois importantes
quelles peuvent engendrer, de plus en plus dorganisations se tournent vers ce type de
communication .
Une volution des cibles
Si au dbut dInternet les cibles vises ltaient principalement pour des raisons symboliques
(serveurs de la NASA, serveurs de larme amricaine, serveurs du Pentagone), la recherche de
la maximisation du profit (de faon illicite) fait quaujourdhui toute entit connecte Internet
peut tre la victime dactes frauduleux, voire dattaques dlibres.
Les particuliers intressent les cyber-attaquants pour leurs donnes personnelles (donnes
bancaires, informations personnelles, photos, vidos, etc.) qui seront revendues aux plus
offrants, et pour leur connectivit Internet : les ordinateurs infects par des logiciels malveillants
(ds lors appels zombies ou bots ) seront mis en rseau (appel botnet ) pour
coordonner diverses activits illicites (attaques, dnis de service, partage de fichiers sans
licences) ou fortement encadres (mission de message lectroniques commerciaux par
exemple).

27
28

(Internet World Stats, 2014)


(Verizon - 2014 Data breach investigations report, 2014)

version 1.1 (06/01/2015)

Page 23/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


Les entreprises intressent les cyber-attaquants pour leurs donnes professionnelles sensibles
(proprit intellectuelle, donnes financires et bancaires, messages lectroniques, comptes
utilisateurs) quelles hbergent en leur nom propre ou pour des clients. Les socits de
stockage en ligne, dhbergement et les prestataires de service dans le Cloud sont
particulirement vises.
Les organisations ont continu faire face des attaques cibles visant parfois directement
les secteurs de lnergie, de la finance, de la sant, de la grande distribution ou encore des
infrastructures sensibles , explique JD Sherry, Vice-President of Technology and Solutions
chez Trend Micro. Un choix logique pour les cybercriminels : des cibles stratgiques, sources
de gains colossaux, ont t attaques avec succs, malgr tous les efforts des entreprises pour
protger leurs informations critiques.
Que ce soit pour des particuliers ou des entreprises, des campagnes de rackettage sont
galement menes rgulirement travers Internet, notamment laide de ranongiciels
( ransomwares ). A laide de logiciels malveillants, les attaquants chiffrent les donnes
sensibles des particuliers ou des entreprises, et les prennent en otage. Le versement dune
ranon est demand en change de la cl de dchiffrement des donnes, de faon permettre
son propritaire de recouvrer les donnes rendues inaccessibles.
Aujourdhui, dans la mesure o la plupart des attaques sont automatises, aucune personne,
aucune entit ou aucune machine interconnecte Internet nest labri.
Une volution des menaces
En dveloppement croissant ces dernires annes, la cybercriminalit est la nouvelle bte noire
des gouvernements : usurpation didentit, vol de donnes (entreprises et particuliers),
malware, phishing (ou hameonnage), etc. les autorits font face plthore dinventions que les
nouvelles technologies ne cessent de rendre possible.
Depuis le dbut, en 2004, de ltude annuelle sur les intrusions ralise par Verizon29, on
constate des volutions au niveau de la typologie des menaces depuis les dbuts de
linformatique, et de lInternet en particulier.
Si auparavant les attaques taient principalement opportunistes (les cibles faciles taient
principalement cibles et attaques), les attaques actuelles sont de plus en plus
cibles, souvent automatises (notamment par lutilisation de maliciels), dotes de mcanismes
de protection (anti-dtection et anti-analyse30) et elles utilisent de nouveaux vecteurs dattaque,
tel que les quipements mobiles (smartphones) ou les terminaux de paiement.
Lutilisation croissante doutils cryptographiques (actuellement et encore plus dans le futur) par
les logiciels malveillants montre une volont de contourner les mcanismes actuels de
protection (comme les anti-virus et les outils de dtection dintrusion). Ces mcanismes
complexifient galement la tche danalyse post-incident (en particulier la rtro-ingnierie) et
rendent difficiles les investigations pour essayer de remonter aux sources de lattaque.
Des techniciens de haut vol, financs par ceux qui ont les plus gros moyens (majoritairement
des tats, des multinationales et des organisations criminelles), forgent des attaques
informatiques trs complexes, des Blended Threats, appeles APT (Advanced Persistent
Threats), ou encore, par certains, AVT (Advanced Volatile Threats), qui permettent au pirate de

29

(Verizon - 2014 Data breach investigations report, 2014)

30

(F-Secure - Malwares analysis Report - Regin, 2014)

version 1.1 (06/01/2015)

Page 24/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


cibler une organisation, de tromper toutes les dfenses installes (pare-feu, antivirus, IDS/IPS)
et de dissimuler des boites outils compltes dans la machine de lattaqu.
Les cas de piratage de terminaux de paiement rapports aux tats-Unis, notamment dans les
secteurs de la grande distribution et de lhtellerie (Target par exemple), ou encore les attaques
menes de lintrieur ayant touch des socits de cartes de crdit Sud-Corennes,
dmontrent lurgence de dployer des stratgies de dfense sur-mesure.

version 1.1 (06/01/2015)

Page 25/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030

5. Evolutions des menaces et nouveaux enjeux de scurit


Ce chapitre a pour but de prsenter les nouveaux enjeux de scurit dans le futur cyberespace
en focalisant sur lvolution des menaces et les scnarios de vulnrabilits. Le domaine de
couverture est principalement technique, mais galement social et juridique.
Les informations prsentes sont bases sur plusieurs sources :

Le ple Recherche&Dveloppement du groupe Orange et sa veille technologique,


notamment en matire de scurit
La communaut expert scurit du groupe Orange qui associe le ple R&D et les
quipes oprationnelles du groupe
Des travaux de recherche documentaire spcifiques (articles/ressources Internet
principalement)

Cette tude des futurs enjeux de scurit sappuie sur les volutions et tendances prsentes
dans le chapitre 4. Elle est organise selon diffrentes thmatiques majeures qui sont
prsentes dans les sous-chapitres ci-aprs.

5.1. Une menace lchelle mondiale


Le rseau Internet a dj t le support de quelques attaques ou pannes informatiques de
grande ampleur. Les impacts sont, pour le moment, demeurs localiss un domaine dactivit
(ex : DRAGONFLY en 201431), une zone gographique ou un pays (ex : La Georgie en 200832).
A horizon 2030, il faut sattendre une menace beaucoup plus tendue ; certains analystes
allant jusqu voquer la possibilit dun krach mondial ( cybergeddon 33 qui impacterait la
totalit du cyberespace (rseau Internet, serveurs, terminaux, objets). Un tel scnario peut
aboutir des pertes massives de donnes et interrompre des services pendant une trs longue
dure. Les consquences humaines, industrielles, conomiques et sociales pourraient donc
savrer dramatiques comme lors de toute crise majeure.
Une tude mene dbut 2014 par le groupe Zurich, en partenariat avec le cabinet de conseil
Atlantic Council, identifie ainsi sept cyberattaques type, dont le cumul pourrait provoquer un
choc mondial l'image de celui de la crise financire survenue en 200834.
Des secteurs dactivit particuliers, comme le secteur bancaire ou le commerce, sont
particulirement sensibles, avec un impact possible au niveau national, voire au niveau mondial.
Un fait rcent donne une ide de limpact financier qui peut tre atteint (exemple : la perte de 1
milliard de dollar par la socit amricaine de grande distribution TARGET suite une
cyberattaque35.
31

(Dragonfly : aprs Stuxnet, nouvelle attaque russie contre les systmes Scada, 2014)
(Attaques en DDoS : De l'Estonie la Gorgie, 2008)
33
(Les risques pour le monde en 2014 : Le cybergeddon, 2014)
34
(Les risques cyber pourraient provoquer un choc mondial (tude Zurich) , 2014)
35
(Target : un sinistre cyber amricain estim plus de 1Md$, 2014)
32

version 1.1 (06/01/2015)

Page 26/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030

Les facteurs qui accrditent la possibilit dun cybergeddon sont multiples :


1) Luniversalit croissante des technologies et des produits au sein du cyberespace. La
normalisation se retrouve dans les protocoles, mais galement de plus en plus dans les
produits et les services. A titre dexemple, des acteurs comme Google deviennent de
plus en plus incontournables pour le fonctionnement de lInternet, surtout dans le
domaine de lInternet mobile avec son OS Android.

Figure 6 - rpartition des OS mobiles (source : IDC, Strategy analytics)

Ce contexte favorise le ciblage et augmente considrablement la surface dattaque. Le


domaine du logiciel libre est globalement problmatique : certes, il permet une visibilit
sur le code, mais en contrepartie, ce code peut tre tudi par des entits malveillantes.
En outre, du fait de leur gratuit et de leurs performances, ces logiciels ont tendance
se rpandre de manire unique dans le cyberespace et, par consquent, augmenter la
surface dattaque. Deux exemples rcent de failles de scurit en sont les parfaites
illustrations : sur le protocole OpenSSL (Faille Heartbleed36) et sur linterprteur de
commande Bash (Faille Shellshock37). Une problmatique majeure est que le code
open-source est parfois utilis dans des composants de scurit, notamment dans le
domaine militaire. A lavenir, il faut sattendre ce que les produits open-source soient
davantage cibls quactuellement (exemple : introduction de backdoor dans des
patchs correctifs)

36
37

(Une nouvelle faille dcouverte dans OpenSSL, 2014)


(Shellshock, la nouvelle faille qui inquite Internet, 2014)

version 1.1 (06/01/2015)

Page 27/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


2) La dpendance par rapport au cyberespace. Outre lusage du rseau comme vecteur
de communication, les usages Cloud (exemples : Office 365, Salesforce, SAP) vont
continuer de crotre que ce soit au niveau des entreprises, des administrations quau
niveau du grand public.

Figure 7 - Taux de pntration du Cloud en France (source : Markess International)

Une indisponibilit du rseau Internet aboutira logiquement une incapacit accder


aux services et aux donnes. Cette dpendance peut tre tendue au fonctionnement
mme des terminaux dans la mesure la diffusion des logiciels et des mises jour se
ralisent uniquement via le rseau (exemple : Google Play, AppStore, Windows update).
Ce concept de diffusion logicielle via le rseau apporte un pouvoir important aux
acteurs de lInternet qui les fournissent. Il est aujourdhui trs focalis sur les terminaux
mobiles, mais sera de plus en plus prsent au niveau rsidentiel et au sein des
entreprises (activation de licences la demande par exemple). Cette nouvelle manire
de consommer du logiciel progresse en raison de la simplicit dinstallation, de
gestion et dutilisation, mais cela ne doit pas occulter lextrme dpendance par rapport
ces fournisseurs de services.
3) La ractivit de lInternet pour vhiculer linformation. En raison des progrs
technologiques, notamment sur les rseaux mobiles, linformation circule de plus en
plus rapidement. Les systmes et applications tant de plus en plus homognes
(mmes OS, mmes applications, mmes versions), les futures cyberattaques seront
inluctablement plus rapides et plus destructrices en volume.
4) La multiplicit des interconnexions, en nombre et en type de technologie, notamment
avec lessor des objets connects. Cela accroit la surface des attaques, mais aussi la
source des attaques (DDOS par exemple).
5) Lintelligence des machines de plus en plus prpondrante dans le fonctionnement
mme du cyberespace. Lautomatisation grandissante dans la gestion des rseaux et
version 1.1 (06/01/2015)

Page 28/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


des services (exemple : le SDN) peut aboutir des ractions en chaines avec une perte
de contrle par lhumain. Un phnomne comparable sest dj produit dans les
rseaux boursiers, par exemple lors du krach boursier de 198738.
6) Le dveloppement dune cybercriminalit organise et des organisations
gouvernementales. Lactualit le dmontre rgulirement ; la monte en puissance de
ces organisations but offensif va se poursuivre. (cf. 5.2). Ces organisations ont les
moyens de mener des cyberattaques multiples, combines ou paralllises.
Exemple de scnario dexploitation de vulnrabilit : compromission du service GooglePlay
aboutissant la diffusion dune mise jour corrompue (malware) sur les terminaux Android.
Limpact pourraient concerner un parc trs important de terminaux (mobiles et tablettes
notamment) et porter atteinte la confidentialit ou la disponibilit des donnes (exemple :
attaque massive en DDOS vers des tiers). Lexemple rcent de la cyberattaque DRAGONFLY
dans le domaine des systmes industriel illustre ce genre de scnario dans un secteur dactivit
particulier.
La source des menaces peut tre dorigine malveillante (cyber-attaque), mais des scnarios de
panne grande chelle ne sont pas exclure, notamment en raison de luniversalit accrue des
protocoles et des produits (OS, logiciels, services web) et en particulier les produits de scurit.
Un simple bug peut involontairement provoquer une panne grande chelle. Cela sest dj
produit, plus petite chelle, dans le domaine de la tlphonie mobile (cf. bug dans le logiciel
HLR ayant abouti une panne majeure du rseau mobile Orange en 201239. Le scnario dune
tempte solaire impactant les rseaux lectriques et de tlcommunication grande chelle est
galement prendre en compte. Selon le physicien Pete Riley, ce type dvnement aurait une
probabilit doccurrence de 12% dans la prochaine dcennie40.
Enfin, certains tats comme la France, ne sont aujourdhui probablement pas suffisamment
prpars pour faire face une telle menace, notamment par labsence de plans de crise
grande chelle prenant en compte la population. Dans cette optique, il faudrait envisager des
plans de crise lchelle nationale, mais galement internationale. Une dmarche comparable
existe aujourdhui dans le domaine de la sant par exemple, avec diffrents plans de crise
permettant de faire face une pandmie.

5.2. Cyberguerre, cyberterrorisme et cyberdfense


Nous sommes passs dun monde constitus de blocs opposs idologiquement forts (lutopie
motrice de la socit, fdratrice), compos de territoires bien reprs dans lespace (les
frontires) qui saffrontaient via des mdias lents et localiss ports par des intellectuels
instruits, une toile reliant des gens diffremment matrialistes (la technologie devenant la
motrice), disperss, isols dans lespace mais ultra-connects, pas forcment instruits mais
surinforms, prolixes et prolifiques, runis en tribus ractives. Conu selon lesprit du Premier
amendement de la Constitution des Etats-Unis, lInternet est un encore un espace de libert o
38

(Krach d'octobre 1987, 2014)


(Panne gante d'Orange : les dessous techniques de l'incident, 2012)
40
(Une tempte solaire a frl la Terre en 2012, 2014)
39

version 1.1 (06/01/2015)

Page 29/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


il est difficile de lgifrer au-del de lespace National. De plus, les drives actuelles observes
sur lInternet, sont autant de preuves quen labsence de lgislation, ce nest pas par son
surmoi que lhomme, cachs derrire proxies et botnets, brille.
Nous pouvons tenter de qualifier le monde grce nos sciences humaines, de quantifier les
comportements de groupes linfluence reste toutefois LE facteur majeur de la structuration de
nos socits, que celle-ci soit le fait de lobbyistes, des gens de la mercatique ou de ceux de la
communication : combien de personnages publiques, de marques, de particuliers en ont t
victimes.

Figure 8 - Le monde de l'Internet

A chaque sphre du monde institutionnel (ici en bleue) soppose une sphre (en orange ou
marron) diamtralement oppose, principale source ces prochaines annes de la
cybercriminalit ; largent (qui donne le pouvoir) reste la motivation premire de ces gourous.
Sous couvert didologies, et grce lInternet, des gens exils, disperss dans lespace,
russissent crer des groupes dintrts communs ; dans un monde confus, au nom de
nouvelles utopies certains tentent de recruter des disciples pour de conqurir les espaces
perdus de nos rpubliques. Dans un contexte dadversit, difficile pour des adolescents
attards de distinguer le vrai du faux, le bien du mal.
Si nous parlons aujourdhui de cyberdfense, cest bien parce quil y a des cyberattaques : la
cyberguerre a commence depuis dj longtemps, cest une guerre conomique entre des
tats concurrents, les pays les plus dvelopps technologiquement. Dans ce contexte troubl,
version 1.1 (06/01/2015)

Page 30/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


la monte de groupuscules agressifs provoquera une recrudescence des conflits asymtriques,
ce qui obligera les Etats des actions dinfiltration, des ripostes nombreuses mais ponctuelles
et cibles : sur lchiquier international, la meilleure dfense reste encore lattaque : avoir
toujours un coup davance (spcialit tats-unienne, vidence depuis dj longtemps pour les
buzz-marketeurs ).
Un autre phnomne prendre en compte est la crativit des internautes : en effet, avec une
imprimante 3D achete doccasion sur un site dobjets doccasion et un logiciel trouv sur
lInternet on peut aujourdhui reproduire des armes feu indtectables aux portiques de
scurit conventionnels ; nous pouvons aussi viser une cible grce nos Google Glass cette
innovation sauvage doit faire lobjet dune veille permanente de la part des diffrents services
qui sont chargs de protger nos citoyens.
Pour une Nation, matriser les technologies que tous utilisent est essentiel, et, parce que nous
sommes tout le temps potentiellement dans une gestion de crise, il est principal davoir le
contrle total de ses communications. La professionnalisation de la menace oblige tous les
corps de ltat procder une veille en temps rel mais surtout possder la plus forte
expertise globale possible de ce monde complexe.
Ces prochaines annes, nous risquons dassister la multiplication des conflits asymtriques,
des actes de cyber-terrorisme ou de cyber-activisme, qui pourront tout aussi bien dissimuler
des actes de cyberguerre de la part dEtats imprialistes, attaques qui viseront dstabiliser les
Etats, voler des donnes industrielles ou clients, ou saboter les moyens de production, les
infrastructures, les OIV. Il sera de plus en plus complexe de distinguer une agression due un
groupe criminel dune attaque due un Etat. Les moyens qui sont disposition de ceux qui
commettent des forfaits sont tous les mmes : proxies (Tor), BotNets (machines zombies),
techniques Une recrudescence de la saturation des bandes passantes est prvoir.
Internet devient un espace pour des guerres qui agissent aujourdhui sur le plan conomique et
social, mais qui terme, pourraient atteindre lintgrit physique des personnes Les cyber
attaques diriges contre un tat peuvent ainsi dsormais tre considres comme des actes de
guerre par LOTAN41 ; elles tombent sous le coup de larticle 5 du trait de lOTAN, article qui
prvoit la solidarit entre les membres en cas dagression de lun deux.
La cyberdfense consistera rpondre en temps rel, et de la manire la plus proportionne
possible, toute cyber-agression, notamment avec une approche plus offensive de la scurit.
Lart de dfendre pourra alors sappuyer sur des renseignements srs qui nous autoriseront
faire feu les premiers. Cette guerre prventive risque dtre au cur des cyber-conflits futurs.

5.3. Gouvernance du cyberespace


LInternet est aujourdhui largement gouvern par les Etats-Unis : innovation technologique et
technique, lectronique, matriels, logiciels, ils sont devenus leaders pour dominer le
cybermonde. Nos allis anglo-saxons utilisent les renseignements ainsi obtenus des fins de
domination conomique ; toutefois, ils sont en train de payer les trs nombreux transferts de
41

(L'OTAN prvoit une raction militaire contre les cyberattaques, 2014)

version 1.1 (06/01/2015)

Page 31/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


technologies effectus dans le cadre de ces annes prospres de sous-traitance chinoise. En
effet, la Chine branle, dans quasiment tous les domaines, la suprmatie amricaine, menaant
du mme pas leur capacit de renseignement lectronique (brillant exemple : Huawei contre
Cisco). La Chine, qui, rappelons-le, possdent des travailleurs mondiaux, fait preuve dune
hostilit systmatique sans commune mesure avec ce que font les autres Etats.
Si la Chine, la Russie ou la Core-du-Nord possdent encore des rseaux cloisonns hrits
des annes du communisme, les pays de lUnion Europenne sont totalement dpendants des
technologies et techniques de leur principal partenaire conomique et alli. Dans ce contexte de
rcession conomique, aucun des pays de lUnion ne pourrait aujourdhui envisager la
construction de matriels, rseaux, OS, logiciels qui seraient vritablement indpendants, donc
matriss42. Nous ne pouvons que tenter de protger nos communications et nos donnes, de
repenser les primtres et de chiffrer fortement (ce qui reste un problme sur le sol amricain),
avec nos propres algorithmes.
Lobligation rcente impose aux OIV, auxquelles lANSSI demande une obligation de rsultat
quant leur rsilience, procde dun profond changement de paradigme : avant ctait la
coutume et lusage qui faisaient Loi. Aujourdhui cest loccurrence du risque qui pousse lEtat
lgifrer. Ce que les Etats-Unis, lAllemagne et maintenant la France simposent, devrait tre
exig des autres pays dEurope, puisquil sagirait dune Union, certes bien disparate en terme
de proccupations et de maturit des SI La qualit des enseignements dispenss dans les
grandes coles et universits franaises nous permet de possder une grande expertise en
termes de recherche (en cryptologie) et dans le domaine du conseil : cest ce titre que nous
devons continuer tre prescripteurs pour lEurope, pour nos partenaires conomiques
trangers, et, qu limage de la dmocratie, nous devons dfendre avec vigueur nos
convictions clairantes.
Lorsque structurer de simples accords bilatraux savre tre dj une preuve, un accord
global sur la gouvernance de lInternet semble relever de lutopie, dautant plus quun
dsaccord profond sur les questions de contenu / contenant subsiste entre Occidentaux et
anciens pays communistes, ces derniers considrant que la machine et les donnes sont une
seule et mme chose. Pour quun accord multipartite puisse engager plusieurs gouvernements
dont certains ne seraient pas dmocratiques autour dun acceptable et dun inacceptable, il
faudrait que tous saccordent sur une approche commune qui se conformerait aux diffrentes
cultures, aux murs, aux croyances, aux sensibilits : cela supposerait que lInternet dt tre
apolitique, areligieux et familial, quil procdt plus dune envie de valoriser lhumanit, de
produire des choses intelligentes ou bienveillantes (scientifiques, culturelles, artistiques ce
pour quoi il fut dailleurs cr), plutt que de tout mystifier, vilipender ou dtruire. A cette
poque de lpuisement des ressources et du dveloppement durable, le retour des
collaborations de proximit pourrait-tre une solution. Une entente avec lAllemagne serait
souhaitable pour la France, condition bien sr, que lUnion Europenne puisse un jour
bnficier, limage de ce qui est fait aux Etats-Unis dAmrique, dun pouvoir supranational
qui consisterait en larbitrage des intrts conomiques particuliers des diffrents Etats
membres.

42

(La cyberscurit est une question de souverainet, selon Guillaume Poupard, 2014)

version 1.1 (06/01/2015)

Page 32/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030

En nous appuyant sur notre French Echelon (possible compte tenu de la dispersion de nos
territoires), et en nous alliant des pays forts et pareillement dvelopps en terme de SI, nous
pourrions esprer conserver notre relativement indpendance, tre toujours comptitifs, dans
un monde que nous avons voulu ouvert. La volont forte et apparente quont les tats de
devenir des acteurs majeurs de la gouvernance de lInternet relve plus dune volont dy
participer, dun besoin de considration, que dune opportunit effective. Sallier certains de
ces grands pays industriels parait terme obligatoire : lanthropologie culturelle, la gopolitique,
la diplomatie devant en devenir les garde-fous.

5.4. Souverainet et territorialit


La problmatique de souverainet nationale est un sujet dactualit majeur. Au quotidien, la
France reste innovante au niveau des services et des usages au sein du cyberespace. En
revanche, elle est aujourdhui entirement dpendante de tiers tranger sur les plans
technologiques et conomiques, notamment dans les domaines suivants :

Les composants matriels utiliss en micro-lectronique [hormis pour quelques besoins


spcifiques militaires ou gouvernementaux ainsi que dans le domaine des cartes
puces]
Les quipements curs de rseau et scurit (en particulier les produits Firewall, les
IDS/IPS), les serveurs, les terminaux A noter que certains quipementiers trangers
disposent galement dune contrle total sur leurs quipements par dlgation des
oprateurs et des fournisseurs de services (infogrance, maintenance)
Les principaux systmes dexploitation, notamment MS Windows, Google Android,
Apple IOS
Une grande partie des middlewares et applications, pour les entreprises et le grand
public
LOpen source (fort soutien des Etats-Unis)
Les services, notamment de type Cloud, fournis par les gros acteurs du net tels que
Google, Amazon, Apple, Microsoft, Facebook, les OTT pour la vido et la musique

Cette dpendance est aujourdhui accepte par la France car elle accorde une certaine
confiance envers les Etats-Unis qui est le principal fournisseur de solutions matrielles et
logicielles lheure actuelle. A noter que les tats ont galement une maitrise trs importante du
rseau Internet global (plages dadresses, BGP, DNS).
A horizon 2030, si aucune mesure nest prise, cette dpendance va perdurer et mme
samplifier. Lhgmonie amricaine pourrait tre remise en cause par de nouveaux acteurs,
comme la Chine43 par exemple, notamment par le dveloppement de technologies innovantes
dans le domaine de la fibre optique. La marque Huawei est aussi en progression constante au
niveau de ses parts de march et se diversifie (quipements rseau et tlcom, terminaux
mobiles) ; elle dispose en outre dune force de R&D de plus en plus importante.
Actuellement, aucune initiative srieuse au niveau national et mme europen nexiste pour
rtablir une forme de souverainet dans le domaine des TIC et assurer une certaine

43

(L'actuelle bataille des cbles prfigure-t-elle le cyberespace de 2030 ? , 2014)

version 1.1 (06/01/2015)

Page 33/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


indpendance dans la maitrise du cyberespace 44 . Cette perte de souverainet pourrait
samplifier avec lavnement du SDN engendrant une perte de maitrise absolue sur les curs
de rseau des oprateurs.
Outre la souverainet, se pose galement un problme majeur de territorialit qui devrait
samplifier dans la prochaine dcennie. En effet, par nature, le rseau Internet est mondial et ne
connait pas de frontires ( lexception de quelques pays qui appliquent un cloisonnement,
comme la Chine ou la Core du nord). Le modle de fonctionnement en Cloud (stockage en
ligne, applications SaaS) et la localisation de nombreux serveurs ltranger engendrent une
forme de dlocalisation numrique qui rend de plus de plus difficile lapplication dune
rglementation nationale, en particulier sur le plan de la fiscalit. Dici 2030, il faut sattendre
une exportation massive des donnes des individus et des entreprises franaises vers
ltranger. Les grands acteurs amricains dploient des efforts considrables pour collecter de
manire confidentielle ces donnes dans une optique Big Data. Certes, une rglementation
peut exister et tre applique en France, mais au niveau international, cette rglementation est
aujourdhui compltement caduque. Dautre part, la tendance croissance gnraliser le
chiffrement des flux va rendre de plus en plus difficile les contrles et les ventuelles
interceptions tatiques, faute dune lgislation spcifique (obligation de fournir les clefs un
organisme tatique par exemple). Le modle rglementaire actuel pourrait rapidement savrer
inefficace sil nexiste pas de frontires numriques, lchelle nationale ou europenne, pour
tre en mesure dimposer et de contrler cette rglementation.
Ce problme de territorialit gnre dj des consquences importantes, par exemple :

incapacit mener des enqutes judiciaires sur des donnes stockes dans des Cloud
trangers (refus de la perquisition possible par le fournisseur, dure de rtention des
donnes et des traces non assure)
incapacit dorganismes tels que le CSA contrler les contenus vido
difficult faire respecter les droits dauteur (la loi Hadopi est facilement contournable)
incapacit de ltat protger efficacement les mineurs vis--vis de la pornographie ou
des jeux en ligne
incapacit de ltat interdire les paris en ligne prohibs
accs des sondages interdits lors des campagnes lectorales

A plus long terme, avec louverture de la tlphonie sur Internet, la convergence fixe-mobile et
la monte en puissance des OTT diffuseurs de contenus vido et audio, il faut sattendre une
perte de contrle encore plus importante de ltat en matire de censure, de respect
rglementaire, et de possibilit dinvestigation et de perquisition.
Ce problme de territorialit peut poser des problmes plus sournois. Par exemple, un individu
peut avoir fait valoir son droit loubli auprs de Google en Europe (notamment en France),
mais une socit dassurance ou un responsable RH qui cherche des informations sur cet
individu peut facilement contacter un homologue tranger pour obtenir les informations censes
avoir t effaces. Le dveloppement du Big Data, notamment ltranger, pourrait aboutir
une explosion de ce type de pratiques et donner lieu une vritable industrie du renseignement
usage commercial. Des applications existent galement pour les particuliers (situation de

44

(L'Internet industriel, Pierre BELLANGER, 2013)

version 1.1 (06/01/2015)

Page 34/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


divorce par exemple ou lex-conjoint chercherait des preuves dinfidlit), mais aussi pour les
entreprises (carnets dadresses client, chiffres commerciaux).

5.5. Les impacts dInternet sur la dfense nationale


Le cyberespace peut avoir des effets directs ou indirects sur la capacit oprationnelle militaire
de la France. Lanalyse ci-aprs ne couvre pas la dpendance technique ; il est fait lhypothse
que les systmes militaires critiques nationaux et multinationaux, notamment OTAN, sont
conus de manire tre dcorrls et indpendants du cyberespace public. Lanalyse ne
traite pas non plus la problmatique dinteroprabilit entre les systmes militaires et les
rseaux publics qui fait lobjet dexpertises spcifiques en fonction des besoins de scurit et
du systme concern.
Les impacts sont actuellement relativement limits ; ils se cantonnent principalement des
problmatiques sociales de par le niveau dinformation que les militaires peuvent obtenir en
dehors des canaux conventionnels de communications militaires. En effet, lessor des rseaux
publiques Internet et mobiles travers le monde, et en particulier sur les champs de bataille,
offre aux militaires la possibilit davoir rapidement accs des informations non vrifies et non
censures via des canaux de communications non surveills et difficilement maitrisables. Les
militaires sur le champ bataille ont galement de plus en plus la possibilit de transmettre des
informations potentiellement interdites vers leurs proches ou les mdias, notamment via les
rseaux sociaux. A horizon 2030, cette problmatique va tre fortement amplifie, notamment
par les performances accrues des rseaux ; avec des consquences classiques : impact sur le
moral des troupes, dsobissance, dsertion, mutinerie, manipulation de lopinion publique. La
maitrise de linformation sur les rseaux publics au niveau des champs de bataille sera un enjeu
majeur, notamment au regard des risques de manipulation de linformation et de linstantanit
du futur cyberespace (exemple : informations personnelles pouvant dmotiver le soldat). Une
communication avec lennemi, court-circuitant la hirarchie est galement envisager (contacts
directs avec les soldats ennemis par exemple).
Sur un plan strictement militaire, toute lattention des armes devra donc se concentrer sur les
risques lis aux usages personnels, tout particulirement quant lutilisation des terminaux
mobiles sur le thtre doprations. A noter que les terminaux mobiles peuvent galement offrir
galement des possibilits de golocalisation et dinterception de trafic lennemi.
La capacit oprationnelle de la France est galement conditionne au bon fonctionnement de
ses infrastructures. Or ces infrastructures sont de plus en dpendantes du cyberespace pour
fonctionner correctement. Des mesures de protection sont actuellement prises pour pallier les
pannes (groupes lectrognes, rserves de nourriture, rserves de carburant, rgiments du
gnie ). Il faut toutefois noter que toutes les mesures de protection sont prvues pour une
dure limite et il nest pas certain que cela puisse permettre de faire face un sinistre pendant
une longue priode dans le cas o la panne est conscutive une cyberattaque.
Il convient galement danticiper des vnements indirects tels que lindisponibilit des
infrastructures de transport, de par leur dpendance croissante au monde numrique et au
cyberespace.

version 1.1 (06/01/2015)

Page 35/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


Concernant le rseau routier, diffrents scnarios peuvent aboutir sa paralysie45, notamment
en raison de lencombrement par des vhicules civils (attaque sur les systmes de signalisation
et de contrle, indisponibilit des systmes de golocalisation et de navigation, scnarios de
vulnrabilits avec les voitures connectes notamment sur les fonctions antivol, gnration de
phnomnes de panique). Limpact principal peut tre de ralentir, voire empcher le transport
de troupes et de matriels, notamment en zone urbaine. Cela peut aussi impacter les
personnels qui oprent les infrastructures critiques du pays.
La problmatique existe galement, mais dans une moindre mesure, pour les transports en
communs (Trains, Bus, Mtro) ainsi que dans les systmes de navigation ou de contrle arien,
pour lequel leffet est principalement de provoquer un ralentissement de la capacit
oprationnelle.
Enfin, un scnario susceptible dimpacter la capacit oprationnelle de la France est le risque
dmeutes et de troubles graves en cas de cyberattaque majeure. En effet, les modes actuels
de distribution et consommation sont de plus en plus dpendant du cyberespace. A horizon
2030, des besoins primaires tels que boire et manger par exemple pourraient poser problme
en cas dindisponibilit du cyberespace. Des besoins secondaires, nanmoins importants tels
que laccs lnergie, aux carburants, leau potable viendront amplifier ce phnomne si
cela se produit. Il sagit l de certains symptmes dun tat de guerre avec un ralentissement
de lactivit globale, notamment au niveau de lindustrie agro-alimentaire.
Plus simplement, les citoyens franais, fortement dpendants du cyberespace, pourraient subir
des actions malveillantes, notamment de la manipulation dinformation et de la propagande,
uniquement dans le but de gnrer une raction sociale contre lEtat.

5.6. Essor de la cybercriminalit


La cybercriminalit tends vers une vritable industrie, de mieux en mieux organise, dont le cout
mondial est actuellement estim plus de 400 milliards de dollars selon une tude mene par
MCAfee et le CSIS (Center for Strategic and International Studies), dpassant ainsi les revenus
estims du trafic de drogue au niveau mondial46. Lorganisation de la cybercriminalit ne suit
pas un modle mafieux (hirarchique), mais plutt un modle communautaire coordonnant des
groupes dindividus relativement autonomes et de taille modeste ; les comptences et les
ressources faisant lobjet dun marchandage lchelle mondiale. Lorganisme europen
EC3 (Europol's European Cybercrime Centre), entretient un rfrentiel des menaces en matire
de cybercriminalit : iOCTA47 (Internet Organised Crime Threat Assessment).
La cybercriminalit inclut la cyber-dlinquance, qui concerne des dlits relativement bnins,
mais dont les acteurs sont potentiellement trs nombreux, notamment en raison du risque
pnal peu lev, mais surtout en raison du fait que ces acteurs ne sont pas forcment
conscients du caractre illgal de leurs activits (exemple : non-respect des droits dauteur).
Dans ce contexte, le risque dune cyber-dlinquance gnralise est plus que jamais
considrer dans les annes venir.

45

(Le piratage des voitures autonomes pourrait mener... au chaos routier, 2014)
(Net Losses : Estimating the Global Cost of Cybercrime, 2014)
47
(EC3 : the 2014 Internet Organised Crime Threat Assessment (iOCTA), 2014)
46

version 1.1 (06/01/2015)

Page 36/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


La lutte contre la cybercriminalit sera un enjeu majeur de la prochaine dcennie, notamment
par ltablissement dune rglementation internationale, dfaut europenne, plus efficace
quaujourdhui. Les principales problmatiques actuelles pour lesquelles il faudra trouver des
contre-mesures dici 2030 sont notamment :

lessor incontrl des monnaies virtuelles qui sont le support de transactions illgales
(trafic de drogue, trafic darmes, trafic humains). Labsence didentification des
utilisateurs gnre un anonymat prjudiciable la traabilit des transactions ;
lincapacit contrler les rseaux privs dchanges comme le Darknet (rseaux TOR),
support de choix pour de nombreuses activits criminelles (trafic de drogue, trafic
darmes, proxntisme, pdophilie) ;
la prolifration des botnets, support de nombreuses pratiques illgales comme les
escroqueries via phishing par exemple ;
la difficult protger les donnes personnelles lchelle mondiale, notamment par le
fait que ces informations sont exportes ltranger et donc hors de contrle de la
rglementation franaise (les donnes personnelles peuvent tre utilises des fins
criminelles telles que lusurpation didentit ; elles sont aussi utilises pour raliser de
lingnierie sociale) ;
le laxisme de certains pays en matire de cybercriminalit, notamment Africains ou Esteuropens (exemple : la Roumanie), source de nombreux dlits actuellement ;
le dveloppement des techniques anti-forensique permettant deffacer les
traces/preuves des dlits ;
la gnralisation des techniques de chiffrement maitrises par lutilisateur final qui
rendent de plus en plus difficiles les activits forensiques dans le cadre des enqutes
judiciaires ;
limpunit souvent constate pour les auteurs de chantages et demandes de ranons,
envers les entreprises, mais galement de plus en plus les particuliers, principalement
en raison du fait que ces auteurs agissent depuis ltranger. A noter que les
ransomwares , en particulier ceux mettant en uvre du chiffrement, constituent une
problmatique majeure. Les attaques cibles initialement vers les entreprises ont
tendance se gnraliser massivement vers les citoyens via des outils automatiques ;
lutilisation dimprimantes 3D pour fabriquer des objets illgaux comme des armes
partir de fichiers tlchargs via Internet. (une problmatique similaire existe dj avec
les plans et les recettes pour fabriquer des engins explosifs par exemple) ;
le vol des terminaux mobiles (actuellement en pleine expansion), compte-tenu du rle de
plus en plus important et central de ces terminaux (paiement, donnes de sant, source
dauthentification...). La lutte contre le vol et indirectement la protection des informations
contenues dans ces terminaux vont constituer un enjeu majeur.

A horizon 2030, il faut sattendre une cybercriminalit de mieux en mieux structure (crime
organis), rapide, vasive et pouvant provoquer des cyber-attaques massives. Certains dlits
vont particulirement marquer la prochaine dcennie :

lusurpation didentit, dont les consquences seront croissantes en raison de la


numrisation massive des actes administratifs notamment. Le dveloppement
htrogne de la dlgation dauthentification par des grands acteurs du net (ex :
Facebook, Google, Twitter, Microsoft ) va faire voluer le risque actuel ;
la fraude bancaire en raison de lessor des transactions en ligne et des nouveaux
moyens de paiement (paiement avec le terminal mobile, monnaies virtuelles) ;

version 1.1 (06/01/2015)

Page 37/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030

les jeux dargent et les paris en ligne prohibs ;


le rapt de donnes personnelles pouvant faire lobjet dun vritable marchandage
grande chelle ;
chantage et/ou demande de ranon envers des particuliers par rapports leurs
donnes personnelles et de plus en plus leur cosystme numrique. (exemple :
paralysie dune voiture connecte avec demande de ranon pour la dbloquer) ;
chantage et/ou demande de ranon envers les entreprises par rapport leurs donnes
et outils professionnels ;
lespionnage industriel, lusurpation de proprits intellectuelles (brevets).

Enfin, avec le dveloppement de la e-sante, il est galement possible dimaginer des scnarios
beaucoup plus graves comme une prise dotage, cible ou massive, par rapport la prise de
contrle distance dobjets mdicaux connects 48 tels que des pompes insuline, des
pacemakers. Des scnarios similaires aussi graves, car impactant lintgrit des personnes, ne
sont pas non plus exclure dans le domaine des transports (ex : voiture autoguide, avions),
des infrastructures industrielles (barrages, centrales nuclaires, usines chimiques ),
notamment dans un contexte terroriste.

5.7. Atteinte aux personnes


En termes de scurit, la diffrence fondamentale entre le cyberespace actuel et celui horizon
2030 est limpact sur les personnes. En effet, nous allons passer dun monde ou les incidents
de scurit ont des impacts essentiellement conomiques, sociaux, matriels des impacts
pouvant porter atteinte lintgrit physique des personnes49. Cela sera en grande partie d la
progression de lInternet des objets dans des domaines dactivit critiques tels que la sant,
lnergie, les transports, lindustrie. La perte croissante du contrle humain dans la maitrise des
systmes, catalys par les solutions M2M, est galement une nouvelle dimension majeure
prendre en compte.
Certaines applications seront particulirement susceptibles dtre lorigine datteinte grave aux
personnes :

les objets connects actifs dans le domaine mdical


les voitures connects et autoguides (utilisable comme arme par destination)
les moyens et les infrastructures de transport (avion, train)
les industries SEVESO (chimie, nuclaire )
les fournisseurs dnergie (gaz, lectricit), notamment en priode hivernale
Les systmes darmes militaires

Des scnarios de prise dotage et de provocation de panique grande chelle ne sont pas
exclure, par exemple des fausses alertes depuis des objets connects, qui sollicitent les
services de secours ou les forces de lordre (cambriolage, accident, incident mdical). Ce
risque de phnomne de panique grande chelle est rel car les informations sont vhicules

48

(Europol prdit une vague de cybercrimes par objets connects, 2014)


(Les spcialistes sinquitent sur la scurit d'Internet: D'ici 2025, une cyber-attaque pourrait
provoquer des morts, 2014)
49

version 1.1 (06/01/2015)

Page 38/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


de plus en plus rapidement et par forcement par des humains. En effet, les robots via le M2M
prendront des dcisions de plus en plus importantes.

5.8. Les enjeux de scurit pour lInternet des objets


Certains acteurs industriels historiques ressentent larrive des objets connects comme une
source de risques car ils seront confronts une volution rapide et soudaine des
comportements de la part des usagers ainsi qu lapparition de nouveaux comptiteurs
adoptant des stratgies disruptives. Le domaine de la sant, ou plus globalement celui du bientre, pourrait tre cit comme exemple avanc des changements venir. Larrive sur le
march de capteurs de donnes biomtriques (physiologiques, mdicales) des prix
particulirement accessibles provoque des changements dans le comportement des personnes
elles-mmes mais aussi larrive de nouveaux acteurs conomiques jusqualors absents dans le
domaine (exemple : Arrive rcente dApple dans le domaine du mdical avec son application
Health et sa plateforme HealthKit ).
Sur le plan de la scurit, les objets connects ont aujourdhui mauvaise presse50 ; plusieurs
raisons peuvent lexpliquer :
1) leur cycle de vie peut tre trs court et dans une logique conomique ou la primeur est
un enjeu marketing, la scurit est souvent nglige ;
2) Certains objets, notamment grand public, doivent avoir un cout de fabrication
extrmement faible. En outre, ils doivent galement tre optimiss dun point de vue
performances et consommation nergtique. Les fonctions de scurit, notamment
base sur la cryptographie, peuvent constituer un surcout important. Le dveloppement
de solutions de chiffrement optimises pour le domaine de lembarqu va constituer un
enjeu important dans les annes venir51. La cryptographie asymtrique fonde sur les
courbes elliptiques 52 (ECC : Elliptic Curve Cryptography) est particulirement
intressante dans ce contexte au regard des avantages quelle prsente dun point de
vue performances.
A plus long terme, les objets connects vont poser des enjeux de scurit majeurs, qui vont
samplifier avec leur expansion :
1) Cela va accroitre les sources dinformations contenant des donnes personnelles,
comme la golocalisation ou les donnes biomtriques par exemple.
2) Les objets connects seront de plus en plus nombreux et potentiellement mal scuriss,
ce qui en fait une cible idale pour mener des attaques par rebond, notamment de type
DDOS par exemple.
3) La multitude dobjets connects va poser des problmes dchelle :
- il sera difficile pour chaque propritaire de maitriser le parc dobjets sous sa
responsabilit et de contrler lactivit de ces objets. Cette problmatique sera
amplifie par la miniaturisation de ces objets du fait des progrs venir dans les
domaines de lintgration micro-lectronique et de loptimisation des batteries.

50

(Les objets connects, future cible des hackers, 2014)


(Cryptographie et objets connects font ils bon mnage ? , 2014)
52
(Courbes elliptiques : un nouveau virage pour le chiffrement, 2011)
51

version 1.1 (06/01/2015)

Page 39/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


-

lidentification et les solutions dauthentification actuelles seront probablement


inadaptes (gestion des identifiants et des certificats, limitations technologiques,
gestion des pannes, pertes et vols). Est que des dizaines de milliards dobjets
vont devoir/pouvoir sauthentifier horizon 2030 ?
4) Le besoin de partage pour laccs aux objets (gestion des droits). Par exemple, un
extincteur connect doit tre accessible par les quipes de maintenance, mais aussi
potentiellement par tout individu pour son dclenchement.
5) La communication directe entre les machines induite par le M2M va engendrer une
perte du contrle humain.
En ltat actuel de la technologie et de labsence ou de lextrme jeunesse des standards dans
le domaine, la scurit des systmes informatiques chargs de la collecte, du traitement et des
communications au cur des objets connects est un challenge qui reste adresser. En effet,
les composants et systmes mis en uvre dans les objets connects doivent tre la fois trs
peu couteux produire et maintenir tout en tant particulirement conomes en
consommation nergtique. Cet environnement contraint en termes de ressources (puissance
de calcul, mmoire et nergie trs limites) rends inadaptes un large ventail de mesures de
scurit communment utilises par ailleurs dans le domaine des technologies de linformation.
Les objets seront connects directement ou de manire indirecte via le smartphone ou la Box
Internet ( agrgateur dobjet ), ce qui dportera certaines problmatiques de scurit au
niveau de ces quipements. Outre ces challenges lis la nature mme des systmes
informatiques prsents dans les objets connects, leur maintenance et leur supervision sont
aussi des questions pour lesquelles les rponses restent trouver.

5.9. La scurit des systmes industriels


A lhorizon 2030, les systmes industriels de production (ou systmes SCADA ), dj en voie
de sortie de leur isolement, vont poursuivre leur intgration avec les SI dentreprises, et devenir
des cibles privilgies des pirates : dni de service (arrt ou dysfonctionnement de la
production), extorsion, mais aussi subversion (par exemple : infection par un virus de produits
lectroniques grand public avant mme leur commercialisation) deviendront des incidents
courants.
Les milieux industriels ont intgr linformatique moderne tardivement: ce nest quen 1980 que
les quipementiers industriels, accompagns de la society of Manufacturing Engineers ont
conu le modle CIM. Ce modle en 5 couches dcrit les fonctionnalits apportes par
linformatique depuis les capteurs/actionneurs, jusqu la planification globale de la production
en passant par la supervision des chaines et ateliers de production.
Des initiatives plus rcentes dmontrent lintrt grandissant de linformatique dans les
environnements industriels. AT&T, Cisco, GE, IBM et Intel se sont associs pour crer un
consortium ddi ce que lon appelle dsormais lInternet industriel53 et qui vise renforcer
lintgration entre les mondes physiques et virtuels. Aucun industriel europen nest reprsent
dans ce nouveau consortium baptis Industrial Internet Consortium (IIC). Certes, il sagit l
dun consortium de plus dont on ne sait pas trop quel sera limportance, mais cest nanmoins
le signe dune volution majeure. Fin 2013, GE avait lanc une premire salve en annonant 14
53

(General Electric : INDUSTRIAL INTERNET - A European Perspective - Pushing the Boundaries of


Minds and Machines, 2013)
version 1.1 (06/01/2015)

Page 40/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


nouvelles technologies Predictivity bases sur lanalytique et applicables aux secteurs de
laronautique, de lindustrie du ptrole et du gaz, des transports, de la sant et de lnergie
(GE lance une grande offensive dans le Big Data industriel). Lide est simple : tous les
quipements existants ou venir dots de capteurs pourront produire des donnes et seront
source damliorations considrables dans de nombreux domaines.
De faon connexe, la scurit informatique de ces systmes a t tardivement prise en compte
et les systmes industriels prsentent actuellement un trs haut niveau de risque. Trois facteurs
expliquent cette situation :

la probabilit de ralisation dune attaque est forte tant donn la faible culture scurit
et le fort degr de vulnrabilit de ces systmes. Les industriels prouvent actuellement
de nombreuses difficults pour mettre en uvre des mesures efficaces et prennes. Sur
les annes venir, cest tout le schma de conception et dexploitation des SI
industriels quil faudra repenser pour aboutir sur des SI industriels scuriss de manire
efficace. En opposition aux SI de linformatique de gestion, les SI industriels sont trs
fortement dpendants des matriels quils pilotent et sont conus pour des cycles de
vie de longue dure (10 ans, 15 ans voir 25 ans et plus pour une centrale nuclaire par
exemple). Cette approche implique des difficults de maintenance car il est difficile
dassurer la prennit des dveloppements et des diteurs de logiciel sur cette dure.
De plus, la ncessaire conduite du changement permettant de faire voluer les SI pour
prendre en compte les mises jour de scurit est galement complexe mettre en
uvre car il sagit bien souvent de systmes de production continue avec des fentres
de maintenance troites et difficiles planifier ;
en face de ces systmes vulnrables, les attaques deviennent de plus en plus
sophistiques. Elles ne sont plus le fait damateurs la recherche de gloire, mais sont le
fait de professionnels, qui agissent dans le but de slever contre des cibles politiques
ou commerciales, sous la forme dactivisme, despionnage ou dattaque
gouvernementale. Les menaces persistantes avances sont passes un nouveau
niveau dattaques furtives et complexes, difficiles dtecter et encore moins faciles
bloquer. La pression conomique actuelle et la forte concurrence mene entre
industriels ne fera quaccroitre cette tendance dans les annes venir.
limpact en cas dattaque peut savrer dvastateur. Il sagit en effet de systmes en
charge dapprovisionner les villes en nergie ou encore de grer le transport routier,
ferroviaire et naval. Latteinte de ces systmes est susceptible de causer des
dommages environnementaux irrversibles, de paralyser compltement un pays et de
porter directement atteinte lintgrit physique des personnes.

Deux exemples rvlateurs permettent dillustrer ces enjeux de scurit :

Sur le segment spcifique de lautomobile, le dveloppement de la voiture connecte


doit notamment permettre de rduire les couts de maintenance, de mieux grer les
parcs de vhicules des entreprises et damliorer la scurit des biens et des
personnes. Cest galement un formidable espoir pour amliorer le trafic urbain avec
lavnement du V2I (Vhicule To Infrastructure). Un des buts de cette technologie vise
rduire les embouteillages des villes dont le cout actuel est estim plusieurs milliards
deuros de perte par an en France. Le V2V (Vhicule To Vhicule) est une autre
technologie permettant la communication entre vhicules afin de signaler et danticiper,
par exemple, un freinage durgence. On le voit ces technologies sont la recherche de
dispositifs amliorant la scurit des personnes. Il serait dommage quun dfaut de

version 1.1 (06/01/2015)

Page 41/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030

scurit informatique remette en cause les vritables progrs dans ce secteur. Pour ce
faire, il faudra trouver des solutions de scurit car les vnements de scurit redouts
sont nombreux. Les plus basiques touchent limage de marque des industriels en cas
de dysfonctionnement dun dispositif de scurit local au vhicule (exemple : un virus se
propage sur le systme de divertissement embarqu). A une autre chelle ; les
industriels redoutent galement des attaques de cybercriminalit de grandes ampleurs
qui pourraient par exemple immobiliser une srie entire de vhicule. En face de ces
enjeux, les investissements des constructeurs sur la scurit informatique ne semblent
actuellement pas la hauteur. Dans un domaine hyperconcurrentiel, ils ne reprsentent
aujourdhui quun trs faible pourcentage du cout de production dun vhicule car ce
type de proccupation est pour le moment assez loign des clients finaux. Ceux-ci
sont peu sensibiliss et seule une prise de conscience collective permettra damliorer
durablement les choses.
le secteur de lnergie est galement en pleine mutation. La transition nergtique
actuelle sappuie notamment sur la gestion des nergies renouvelables, la maitrise des
consommations, la construction de btiments nergie positive et sur bien dautres
sous-systmes rputs comme tant intelligents. Le passage dun systme hyper
centralis un systme compltement distribu sur le territoire sappuiera avant tout sur
lintelligence des nuds du rseau. En outre, cette rvolution implique une explosion
des changes de donnes afin de coordonner et dautorguler la production et la
consommation. Les problmatiques sous-jacentes sont multiples: comment garantir la
confidentialit des donnes personnelles induites (ex : relev de comptage) ? comment
assurer lintgrit, la robustesse et la rsilience des compteurs, capteurs et nuds de
communication ? comment se prmunir dune attaque sur un nud de communication
desservant tout un quartier ou rgion ?

En raction aux difficults rencontres par les SI industriels, une premire prise de conscience a
dabord t observe aux USA avec le NIST et la DHS par la mise en place dinitiatives pour
lutter contre le risque systmique suite aux vnements du 11 septembre 2001. Des initiatives
ont galement t lances en Europe par lANSSI en France, le BSI en Allemagne ou le CNPI au
Royaume-Uni. Les initiatives europennes et outre-Atlantique sont une premire rponse mais
ces approches se focalisent avant tout sur les services essentiels de ltat en impliquant
notamment les Oprateurs dInfrastructure Vitale afin de prvenir les attaques de grande
ampleur au niveau national. Au-del de ces approches tatiques, les industriels commencent
galement sorganiser dans une approche sectorielle avec la publication de rfrentiels de
scurit adapts des contextes prcis. Dans le domaine des SmartGrid, on observe une
approche verticale par domaine dactivit au niveau europen. Les lectriciens sont les plus
avancs, notamment sur les initiatives de compteurs lectriques communicants, devant le
secteur du gaz et eau plus en retard. Bien que la majeure partie des problmatiques soit
quivalente, les groupes de travail sont indpendants. Cette segmentation est dplorable, car
une approche plus concerte permettrait de mieux optimiser les budgets allous ce domaine.

version 1.1 (06/01/2015)

Page 42/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030

5.10.

Limites des solutions de scurit actuelles

5.10.1.

Problmatiques didentification

Si les fournisseurs de services en ligne sont aujourdhui confronts un problme de garantie


de lidentit de leurs utilisateurs, leur crainte est que celui-ci se globalise en mme temps que
les objets connects et les services en ligne, privs ou administratifs, se multiplient. Cette
crainte se retrouve galement du ct des utilisateurs : selon une tude du CSA54, prs des
deux tiers (63%) des franais pensent que le risque de criminalit identitaire est lev. De la
prise en compte de cette problmatique au plus tt dpend donc la confiance numrique
accorde aux technologies de linformation venir, et par consquent leur essor.
Lobtention dune confiance numrique suffisante pour permettre le maintien de la croissance
de ce secteur ncessite la mise en uvre et lacceptation dune autorit de confiance de
lidentit, en charge dappliquer les fonctions de scurit fondamentales lensemble des
changes lectroniques : authentification, chiffrement, horodatage et signature. De plus, la
multiplication des donnes didentification, actuellement majoritairement un couple identifiant /
mot de passe par service est de moins en moins grable pour les utilisateurs, qui doivent de
surcrot sauthentifier sur les objets connects (domotique, wearable-tech ) de plus en plus
prsents, renforant le besoin de centralisation de la gestion de lidentit auprs dune autorit.
La nature que doit avoir cette autorit demeure cependant difficile discerner aujourdhui. Elle
peut tre tatique : des certificats personnels sont grs et distribus aux citoyens, par exemple
travers la Carte Nationale dIdentit Electronique (CNIE). Utiliss pour scuriser les accs aux
services publics dmatrialiss et, potentiellement, le vote lectronique, ces certificats peuvent
galement tre exploits pas des services privs, ltat se portant alors garant de lidentit
numrique des franais. Cette vision tatique ne permet cependant pas de rpondre de
manire satisfaisante lensemble des risques de fraude : le vol de certificat et la contrainte ne
sont notamment pas adresss. Dans un tel scnario, les fournisseurs de service privs devront
complter lauthentification par des mcanismes de r-identification : dployer des dispositifs
danalyse comportementale de leurs utilisateurs en exploitant les donnes dont ils disposent,
sur le principe des faisceaux dindices. Un comportement dviant des habitudes de lutilisateur
ncessitera une confirmation de lidentit, et pourra gnrer une alerte de risque de fraude ; une
personne avec le terminal mobile dun autre sera immdiatement dtecte, tant seront
nombreuses les anomalies avec son historique de donnes.
Le dveloppement de mthodes danalyse comportementale pousses permet dimaginer un
autre type dautorit : lautorit prive didentit. En effet, la qualit du faisceau dindices
dpend essentiellement du type de donnes dont dispose le fournisseur, et en quelle quantit.
Une exploitation pertinente de ces donnes par un acteur qui, par ses activits, en dispose en
grand nombre et de toutes sortes, pourrait permettre de dtecter de nombreux cas de fraude,
dont lusurpation didentit, jusqu offrir un niveau de dtection ingalable pour toute autre
entit ne disposant pas de ces donnes. Les rsogiciels 55, futures entreprises dominantes
de notre systme conomique contrlant en un systme unifi les services, les rseaux et les
terminaux, sont bien sr les candidats privilgis au statut dautorit prive didentit. Tout autre
acteur pourra alors implmenter des mcanismes de r-identification en exploitant les API
publies par lautorit prive.
54
55

(CSA - Les Franais et la criminalit identitaire, 2012)


(L'Internet industriel, Pierre BELLANGER, 2013)

version 1.1 (06/01/2015)

Page 43/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


Enfin, face la possibilit dune autorit tatique, qui ne peut pas garantir un niveau de scurit
optimal par manque de donnes et dont la porte est uniquement nationale (voire europenne),
ou la possibilit dune autorit prive, trs probablement de nationalit trangre, une autorit
souveraine peut trouver sa place. Lautorit souveraine, entreprise prive, nationale et
partenaire de ltat, peut exploiter les donnes dont elle dispose travers la commercialisation
de ses services pour des mcanismes de r-identification, qui pourront tre proposs aux
autres entits, ltat en particulier, travers la publication dAPI. Lautorit tant souveraine,
nationale et agissant en partenariat avec ltat, le niveau de confiance numrique peut alors
atteindre les exigences des utilisateurs comme des fournisseurs de services.

5.10.2.

Cryptographie

Les progrs constants en matire de puissance de calcul (processeurs, calcul distribu) et


lefficacit des techniques de cryptanalyse ne sont pour lheure pas de nature remettre en
cause les principes cryptographiques actuels. Les algorithmes utiliss sont en effet jugs
comme trs robustes vis--vis des attaques, quelles soient en cryptanalyse ou dites de force
brute , et ces algorithmes seront raisonnablement toujours fiables dici 2030. Les faiblesses
lies lutilisation des moyens de chiffrement cryptographique rsident davantage dans les
implmentations de ces algorithmes ainsi que leur cadre dutilisation. Ainsi, les exploits qui
auraient pu tre raliss par des organisations telles que la NSA amricaine sont souvent issus
de pigeage au niveau de limplmentation logicielle des algorithmes cryptographiques56, voir
du contrle dorganismes de certification X.509.
Pour garantir lefficacit de la cryptographie, il est primordial de veiller utiliser des clefs de taille
suffisantes : post-2020, lANSSI recommande dans le cadre du RGS 201457, des tailles de clefs
minimales : 128bits pour les algorithmes de chiffrement symtriques tels que AES, 2048bits
pour les algorithmes de chiffrement asymtriques tels que RSA.
Le RGS 2014 de lANSSI prsente galement quelques projections temporelles qui valuent les
performances des mthodes de chiffrement symtriques et asymtriques horizon 2050, en
fonction des prvisions de croissance sur la puissance de calcul des machines (Loi de Moore)
[La courbe rouge doit tre prise en considration]:

56

(Espionnage : pour casser les clefs de chiffrement, la NSA a d tricher, 2013)


(ANSSI - Rfrentiel Gnral de Scurit v2.0 - Annexe B1 - Rgles et recommandations concernant le
choix et le dimensionnement des mcanismes cryptographiques, 2014)
57

version 1.1 (06/01/2015)

Page 44/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030

Figure 9 : volution des tailles de cls symtriques (source : RGS ANSSI 2014)

Figure 10 - volution des tailles de cls asymtriques (source : RGS ANSSI 2014)

version 1.1 (06/01/2015)

Page 45/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


Malgr quelques annonces mdiatiques, notamment sur les capacits de la NSA58, le calcul
quantique59 nest aujourdhui pas suffisamment mature ni performant pour remettre en cause
lefficacit de la cryptographie asymtrique actuelle. Toutefois, la recherche acadmique
envisage dj cette possibilit et travaille sur les algorithmes de chiffrement du futur sous le
terme Post-quantum cryptography 60.
En matire de cryptographie, la qualit des gnrateurs dalas est galement primordiale. Or,
aujourdhui, les gnrateurs utiliss pour les applications grand public noffrent peut tre pas
toutes les garanties suffisantes. En effet, les industriels ne donnent pas beaucoup de dtails sur
les implmentations et les performances des gnrateurs quils utilisent ou commercialisent.

5.10.3.

Les autorits de certification (PKIX)

La scurit des changes sur Internet repose en grande partie sur la confiance accorde envers
les autorits de certification X.509 (modle PKIX). Ce modle prsente un gros dfaut : le niveau
de scurit dpend de la capacit des utilisateurs interprter correctement les erreurs de
certificats. Or une grande partie des utilisateurs dInternet ne comprend pas le principe de
certification et nest pas conscient des risques que cela peut engendrer dun point de vue
scurit.
Dautre part, ces dernires annes, une crise de confiance est apparue envers les autorits de
certification. En effet, la dynamique low-cost engage pour fournir des certificats X.509 a
abouti une multiplication anarchique des AC rendant difficile, pour ne pas dire impossible, leur
maitrise. Les navigateurs web actuels intgrent par dfaut plusieurs centaines de certificats
dAC racine61 (exemple : prs de 1500 AC pour Firefox). Le principal risque est quune AC soit
compromise62 et de faire croire tort aux utilisateurs que leur connexion est scurise. Plusieurs
faits rcents, avec des attaques de type MITM ont mis en vidence cette faiblesse du modle
PKIX :

Attaques sur Windows Update, Yahoo, Skype, Facebook, Twitter en 2011 suite la
compromission de lAC DigiNotar63 ;
Attaques sur Yahoo Mail, Hotmail, Gmail, Skype en 2011 suite la compromission de
lAC Comodo64.

Plusieurs amliorations ont t proposes pour rduire le risque de compromission de


certificats : certificats Validation Etendue ( EV certificate ), Public Key Pinning Extension for
HTTP (draft IETF)65, Trust on First Use (ToFU), Certificate Transparency (RFC6962), Certificate
Authentication and Authorization (RFC5755). Toutefois le modle demeure fragile car, outre
lhtrognit des solutions et le fait que leur efficacit technique reste dmontrer, la scurit
dpend de la vigilance des utilisateurs. La solution la plus efficace sera probablement la
gnralisation du mcanisme DANE (cf. 6.1.1).

58

(La NSA veut crer un ordinateur quantique pour pouvoir tout dcrypter, 2014)
(Wikipedia - Calculateur quantique, 2014)
60
(Wikipedia - Post-quantum cryptography, 2014)
61
(AFNIC - Scuriser les communications sur Internet de bout-en-bout avec le protocole DANE, 2013)
62
(Certificats SSL frauduleux et piratage dautorits de certification : dcryptage, 2011)
63
(Plus de 500 certificats SSL drobs une autorit de certification, 2011)
64
(Des certificats SSL frauduleux de Comodo autorisent des attaques contre les Webmails, 2011)
65
(Universit Amsterdam - Public Key Pinning for TLS Using a Trust on First Use Model, 2013)
59

version 1.1 (06/01/2015)

Page 46/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030

5.10.4.

Les antivirus

Les antivirus sont de moins en moins performants pour dtecter les menaces. En effet,
plusieurs tudes rcentes66 montrent que lefficacit des antivirus est en baisse constante,
notamment face des attaques de type APT ou AVT. Un dirigeant de Symantec pense mme
que les antivirus ne sont plus efficaces que contre 45% des menaces67.
De manire plus gnrale, bien que son utilit ne soit totalement pas remettre en cause dici
2030, le principe de lantivirus se heurte certaines contraintes :

cela ncessite une surveillance et une maintenance constante (moteur danalyse, bases
virales, traitement des alertes)
un antivirus consomme des ressources, notamment dans les phases de mise jour, ce
qui le rend difficilement compatible avec certains objets connects
ils sont inefficaces sur des donnes chiffres

Enfin, en raison des privilges systme dont ils disposent, les antivirus sont galement cibls
par les malwares68 afin doutrepasser les droits daccs au systme cens tre protg.

5.10.5.

Des protocoles obsoltes

Internet sappuie aujourdhui sur certains protocoles plutt anciens (plus de 20 ans) et qui nont
pas t conus lorigine pour assurer un niveau de scurit en phase avec les enjeux actuels
et futurs. Mme si quelques volutions ont t apportes pour amliorer la fiabilit et la scurit
de ces protocoles, ils seront probablement obsoltes horizon 2030. Les principaux protocoles
concerns sont :

5.11.

BGP4 (routage entre ISP) : dtaill au 5.12.4 ;


DNS (rsolution de noms de domaine) : dtaill au 5.12.5 ;
NTP (synchronisation horaire) : notamment utilis pour raliser des attaques DDOS par
amplification69 ;
SMTP (relais de mail) : encore utilis grande chelle, ce protocole vhicule les
messages en clair. Lusage de lextension STARTTLS70 devrait tre gnralis pour
scuriser les changes de mails.

Essor des attaques cibles

Le terme attaque cible , aussi dnomm APT (Advanced Persistent Threat), dsigne une
forme particulire de menace informatique, dans laquelle lattaquant cherche pntrer une
cible en particulier (par opposition aux attaques massives et opportunistes), suivant des
motivations spcifiques sa cible souvent, il sagit despionnage et disposant de moyens et
de temps en consquence.
En 2030, plusieurs tendances de linformatique vont fortement influencer les attaques cibles,
en particulier :

66

(L'antivirus, technologie bout de souffle ?, 2012)


(Lantivirus est mort, dit Symantec, 2014)
68
(Des trous de scurit trouvs dans 14 antivirus, 2014)
69
(Attaque DDoS de 400 Gbits/s avec amplification NTP : terrifiante de simplicit, 2014)
70
(IETF - SMTP Service Extension for Secure SMTP over Transport Layer Security , 2002)
67

version 1.1 (06/01/2015)

Page 47/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030

la gnralisation des systmes de fdration didentit, un tiers de confiance devenant


garant de lidentit de ses clients auprs de services tiers (sites web, e-marchands,
voire entreprises), ces derniers renonant capter par leurs propres moyens lidentit
de leurs utilisateurs ;
linformatisation quasi-totale des services (administrations, transports, sant) et outils
quotidiens (voitures, dispositifs mdicaux personnels, lunettes, lentilles de contact,
domotique, ) ;

Ces deux tendances combines vont dplacer les attaques cibles vers le vol didentit cibl :
dune part les tiers de confiance vont recevoir quantit de nouvelles attaques du fait de leur
nouveau poids dans lconomie numrique ; et dautre part, par rebond, les attaquants vont
ainsi profiter des ressources affectes aux individus dont lidentit a t usurpe, y compris
chez leur employeur.
Avec la rvolution venir de linformatique quantique, porte notamment par les procds de
tlportation de linformation laide de photons intriqus (procd expriment par de
nombreux tablissements de recherche lheure actuelle, et en passe de devenir
industrialisable), de nouvelles formes de portes drobes verront le jour. A lheure actuelle, les
portes drobes matrielles, permettant despionner distance un quipement ou un
ordinateur, requirent toutes une connexion sortante afin de permettre une communication
avec le malfaiteur : cette connexion est typiquement ralise par voie rseau classique, sur le
rseau de lorganisation affecte ; ou bien par voie radio, de sorte de pouvoir espionner un
quipement ne disposant daucune connexion rseau. La dtection et le blocage de ces
backdoors sont certes difficiles, mais possibles (par examen du trafic rseau, par installation
dune cage de Faraday, ) ; mais linformatique quantique va rendre quasi-impossible cette
dtection : en effet, aucun transfert de matire ntant dsormais ncessaire pour transmettre
une information sur une longue distance, il ne sera plus pertinent dobserver les entres-sorties
lectromagntiques dun systme, et il va devenir impossible de garantir que ce systme est
rellement isol et nest pas en communication avec un autre systme lautre bout du monde.
Les portes drobes quantiques ne pourront tre dceles que grce un examen physique
minutieux des composants lectroniques de lquipement avant son installation, capacit trs
coteuse dont trop peu dacteurs disposent.

5.12.

Enjeux pour les oprateurs

Les oprateurs vont tre confronts des enjeux de scurit importants, notamment sur les
thmatiques suivantes :

la transition IPv6
les nouvelles menaces engendres par la virtualisation des rseaux (NFV) et
lautomatisation associe (SDN)
le nouveau paysage de la tlphonie (fixe et mobile)
les relations entre oprateurs et acteurs du net

5.12.1.

Transition IPv6

La pnurie dadresses globales IPv4 est devenue une ralit. La plupart des oprateurs ont
dvoil leur stratgie de migration vers IPv6, qui constitue la seule rponse durable la pnurie
dadresses IPv4. Mais la migration vers IPv6 ne se fera pas en un jour, et la priode de

version 1.1 (06/01/2015)

Page 48/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


transition caractristique de la cohabitation
vraisemblablement sur plusieurs dcennies.

des

mondes

IPv4

et

IPv6

stalera

Du point de vue de la scurit des infrastructures de communication, lintroduction progressive


dIPv6 dans les rseaux et services exploits et fournis par les oprateurs est de nature
amplifier les risques de failles scuritaires ([RFC-4942], [RFC-6980]). En particulier :

La capacit des composantes lmentaires dune chane de service de communication (du


terminal au serveur Web, en passant par les routeurs du rseau, le systme dinformation,
les plates-formes de service, etc.) de traiter indiffremment le trafic IPv4 et le trafic IPv6
selon la nature du contenu auquel lutilisateur souhaite accder (architecture double pile ),
est de nature accrotre la surface dattaque et augmenter le nombre de failles de
scurit potentielles. De plus, comme le nombre dadresses IPv6 pour un seul lien rseau
est potentiellement plus important que pour IPv4, les sources de stockage ncessaires au
bon fonctionnement dIPv6 (e.g., caches) doivent imprativement avoir une taille adapte et
potentiellement des mcanismes de protection contre les attaques de type cache flooding
[RFC6583]
La gnralisation dingnieries spcifiques destines garantir la continuit de services
IPv4, cest--dire la capacit accder un contenu uniquement accessible en IPv4 depuis
un terminal qui ne dispose que dun prfixe IPv6), qui constituent autant de cibles
supplmentaires.

Toutefois, la mise en place dune politique de scurit IPv6 nest pas fonctionnellement
diffrente de la mise en place dune politique de scurit IPv4. Il sagit en substance :

De protger les ressources rseaux (routeurs) impliques dans lacheminement de trafic


IPv6. Cela repose sur la mise en place de filtres adapts ce type de trafic, mais qui restent
comparables aux filtres mis en place par des routeurs IPv4.
De protger les sites des utilisateurs finaux et les terminaux quils utilisent pour accder
Internet. Cela repose sur la mise en place de pare-feux IPv6 fonctionnellement comparables
aux pare-feux IPv4. De mme, la protection de sites hbergeant des Data Centers IPv6
repose notamment sur la mise en place de pare-feux et de zones dmilitarises (DMZ)
adapts aux caractristiques du protocole IPv6.
De prserver tout ou partie de la confidentialit du trafic IPv6 susceptible dtre achemin
sur Internet. Cela repose notamment sur lutilisation de techniques de chiffrement telles que
celles mises en uvre par la suite de protocoles IPSec (IP Secure) qui, en IPv6, fait lobjet
dun en-tte dextension particulier et optionnel.
Didentifier, voire dauthentifier de manire fiable les interlocuteurs IPv6, que ce soient les
routeurs dun rseau tiers avec lesquels des routes IPv6 sont changes ou les utilisateurs
dun service fourni par loprateur (par exemple un service daccs Internet ou un service
de rseau priv virtuel). L encore, des techniques telles que la signature numrique de
connexions TCP ou lutilisation dune mcanique AAA classique capable dintgrer des
informations didentification caractristiques du protocole IPv6 (par exemple, les attributs
IPv6 utiliss par le protocole RADIUS, (RFC-6911) peuvent tre mises en uvre pour
rpondre ce genre de besoin.

Le protocole IPv6 comporte nanmoins certaines fonctions spcifiques (auto-configuration,


notamment) susceptibles dtre utilises comme vecteurs dattaque. Le protocole ICMPv6
([RFC-4443]) dfinit une bibliothque de messages particuliers qui impose des rgles de filtrage
adaptes : blocage des messages ICMPv6 identifis par des Types non allous ou

version 1.1 (06/01/2015)

Page 49/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


exprimentaux, restriction de la diffusion de certains messages ICMPv6 lenvironnement LAN
du client (changes des messages Neighbor Solmicitation et Neighbor Advertisement, etc.).
Le protocole IPv6 dispose galement doutils capables de fournir des garanties strictes quant
lidentifiant (e.g., adresse IPv6) dun interlocuteur avec lequel un terminal est susceptible de
dialoguer. Cest lobjet du protocole SeND (Secure Neighbor Discovery protocol, [RFC-3971]),
qui repose sur lutilisation dadresses IPv6 gnres crytographiquement [RFC-3972] et de
certificats X.509 [RFC-6494], ces derniers tant compatibles et potentiellement lis avec une
RPKI (cf. 6.1.2).
Dune faon gnrale, le protocole IPv6 dispose dores et dj des outils adquats pour mettre
en place des politiques de scurit adapts aux besoins et aux environnements doprateurs.
La priode de transition introduit en effet des risques supplmentaires et notamment lis la
capacit dutiliser le trafic IPv6 comme un vecteur dattaque de terminaux IPv4, mais des
solutions existent pour minimiser ces risques.
Lexprience oprationnelle acquise aprs les premires annes dexploitation de rseaux et
services IPv6 par de nombreux oprateurs constitue en outre un atout majeur pour optimiser la
gestion des failles scuritaires caractristiques de la priode de transition.
A noter quIPv6 devrait simplifier la traabilit des connexions par rapport IPv4, en raison de la
disparition de la translation dadresse (NAT).

5.12.2.

Virtualisation des rseaux (NFV et SDN)

La virtualisation et lautomatisation vont constituer une volution majeure des rseaux


oprateurs dans les annes venir, notamment en raison du niveau douverture des fonctions
de signalisation et de contrle. Les deux grandes thmatiques qui vont engendrer des enjeux
de scurit majeurs sont NFV et SDN.
Le NFV (Network Functions Virtualization) consiste virtualiser les fonctions rseaux (et scurit)
sur des bases matrielles gnriques. Des problmes similaires ceux existants dans le
domaine de la virtualisation des serveurs sont apprhender, en particulier :

garantir le cloisonnement entre les diffrentes instances virtuelles de fonctions


implantes sur une mme base matrielle, en termes de confidentialit et dintgrit.
Une scurisation de la couche de virtualisation prservant les performances, constituera
un dfi majeur dans les annes venir.
garantir les performances de chaque instance et plus globalement la disponibilit dans
un contexte de traitement en temps rel. Cette problmatique de disponibilit est
aujourdhui un sujet de recherche important notamment pour les fonctions cur de
rseau (la virtualisation natteint pas les performances dun matriel ddi bas sur des
ASIC matriels).

Le SDN (Software-Defined Networking) a pour objectif de simplifier et dautomatiser la mise en


uvre et la gestion oprationnelle des rseaux pour les rendre plus dynamiques et volutifs,
notamment dans la gestion de la qualit de service. SDN sera notamment une pierre angulaire
des futurs rseaux 5G.

version 1.1 (06/01/2015)

Page 50/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030

Figure 11 - modle d'architecture SDN (approche initiale)

Dans le modle SDN, les couches de contrle et de gestion sont bien distinctes de la couche
de transfert de donnes, ce qui est plutt une bonne chose dun point de vue scurit.
Toutefois, le protocole de communication entre ces deux couches (exemple : OpenFlow,
NETCONF, I2RS) devient critique en termes de scurit dans la mesure o il vhicule toute la
configuration et toute lintelligence du rseau. A lheure actuelle, il est prvu de scuriser ces
changes avec SSL/TLS. La disponibilit est aussi une problmatique importante dans la
mesure o ces changes peuvent transiter avec les flux de trafic (in-band).
Un des objectifs du SDN est galement louverture dinterfaces (type API) vers des tiers
externes pour la programmation dynamique du rseau, ce qui constitue un enjeu important en
termes de scurit ; surtout qu plus long terme, la finalit est dobtenir une automatisation
complte de bout-en-bout avec un concept de SDDC Software Defined Data Center
mutualisant lautomatisation des fonctions rseaux et serveurs. La dlivrance de la chaine de
service va donc dsormais reposer sur de multiples acteurs, crant des problmatiques de
dfinition des primtres de responsabilit, de gestion des droits et dtablissement de
processus. De manire gnrale, louverture de la programmation/contrle du rseau vers des
partenaires (exemple : les oprateurs virtuels) va invitablement engendrer des risques
nouveaux.
Enfin, un des plus gros enjeux de scurit de SDN sera probablement les garde-fous quil
faudra mettre en place pour restreindre toute possibilit dattaque massive sur les rseaux. En
effet, lautomatisation et la centralisation simplifient et acclrent la gestion au quotidien, mais
en cas de compromission, cela dcuple la puissance dune cyberattaque avec une surface
dattaque qui naura dgale que sa rapidit. Dautre part, il ne faut pas occulter le risque
derreur humaine ou de panne, qui comme pour tout systme virtualis et automatis, peut tre
lorigine de disfonctionnements de grande ampleur. Dans ce contexte darchitecture
centralise et trs logicielle , les processus de mises jour devront faire lobjet dune
attention toute particulire en raison des impacts potentiellement trs graves.
version 1.1 (06/01/2015)

Page 51/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030

A plus long terme, notamment horizon 2030, le SDN va devenir de plus en plus intelligent et
autonome ; cela va notamment ouvrir la porte de nouvelles rponses en matire de scurit
en agissant directement au niveau des ressources rseaux. Le revers de la mdaille cette
intelligence accrue, notamment en raison des volutions venir dans le domaine de
lintelligence artificielle, est le risque de perte de contrle humain sur le rseau.
En termes de standardisation, il faut souligner linitiative open source opendaylight 71 qui est
soutenue par de nombreux quipementiers, malgr la rticence de certains leaders comme
Cisco ou Huawei qui souhaitent conserver une maitrise du plan de contrle dans leurs
quipements. Toutefois, pour des raisons historiques et stratgiques, les standards de
lcosystme SDN/NFV demeurent trs diversifis. Les multiples implmentations des
quipementiers sont pas consquent plus difficile maitriser sur le plan de la scurit. Enfin,
force est de constater que la scurit nest aujourdhui pas une proccupation majeure ;
comme bien souvent, la priorit est davantage porte sur le fonctionnel et le positionnement
stratgique sur le march. Pour rsumer, la virtualisation des rseaux est actuellement juge
immature sur le plan de la scurit72.
Dun point de vue global, la virtualisation des rseaux va poser des questions de fond qui ne
sont pas que techniques:

Quel sera le niveau de confiance accord dans les quipements qui ralisent le
traitement dans le plan de transfert/transport ? En effet, il y a des chances pour que les
quipementiers historiques se concentrent sur les fonctions de contrle (logiciel) et que
les fonctions de traitement (cf. matriel) soient ralises sur la base de composants
gnriques peu maitriss sur le plan de la scurit (matriels ODM en marque blanche) ;
Quel sera le degr dadhrence avec les quipementiers et fournisseurs ? Afin de
pouvoir assurer une qualit de service et un contrle des licences, il est fort probable
que les modules logiciels et matriels en fonctionnement oprationnel soient de plus en
plus interconnects avec les plateformes des quipementiers ;
Quel sera le rle des tats et des autorits gouvernementales sur le plan de la
rglementation ? Aujourdhui, les oprateurs de communications lectroniques sont
soumis une rglementation spcifique73, notamment concernant la confidentialit des
communications. Une obligation de certification de certains composants employs dans
une solution SDN/NFV (hyperviseurs, orchestrateurs) doit tre envisage.

Sur le plan de la recherche, il est intressant de citer lexistence du projet REFLEXION (REsilient
and FLEXible Infrastructure for Open Networking) men par lANR. Il sagit dun projet industriel
qui vise tudier dune part la robustesse et la flexibilit des architectures SDN et NFV, en
particulier pour assurer les services critiques, et dautre part la dynamique et lefficacit des
solutions dexcution des fonctions rseaux virtualises. Ce projet implique des acteurs
majeurs du secteur des tlcoms : Orange, Thales, 6Wind, LUniversit Pierre et Marie Curie,
lInstitut Telecom-ParisTech Normale Sup Lyon et INRIA. Il a t labellis dbut juillet 2014 pour
une dure de 2 ans.
71

(Opendaylight project, 2014)


(Gartner - pour le SDN, la scurit nest pas prte, 2014)
73
(Legifrance - Obligations des oprateurs, 2014)
72

version 1.1 (06/01/2015)

Page 52/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


Sur le premier axe, le projet REFLEXION considre les questions de diagnostic et de gestion de
fautes pour NFV de manire ce que les services restent assures de manire sans couture et
envisage des techniques de rpartition afin daccroitre la robustesse des plans de commande
et de transport dans NFV. Le projet fournira galement des mthodes de conception de
services virtuels robustes prenant en compte des menaces dans larchitecture mise en place.
REFLEXION proposera des mthodes de mtrologie nouvelles pour contrler les fonctions
rseaux virtualises. Des techniques doptimisation seront mises en uvre pour rallouer des
fonctions rseaux virtuelles de manire satisfaire les contraintes de performance et de qualit
dexprience.
REFLEXION est un projet orient NFV qui pourrait avoir un impact sur les normes en vigueur
(ETSI NFV, ONF et IETF) ainsi que sur lcosystme scientifique dans le domaine des rseaux
du futur.

5.12.3.

Rseaux mobiles 5G

Les rseaux mobiles actuels sont trs htrognes tant au niveau des infrastructures que des
terminaux. La tendance, amorce avec les rseaux 4G, est de migrer vers des architectures
full-IP , notamment au niveau du cur de rseau (architecture IMS74). Par nature, ce type
darchitecture faisant appel des protocoles ouverts (ex : SIP) est plus vulnrable en
comparaison avec les architectures prcdentes plus spcifiques et propritaires (quipements,
protocoles/infrastructures de transport type TDM ou ATM, comptences mtiers). La connexion
des contrleurs radios LTE au cur de rseaux est particulirement critique et il faudra mettre
en uvre des solutions de scurisation performantes avec le recours de lauthentification forte
par certificat (de tels standards existent dj mais ne sont pas implments par les
quipementiers). Il faudra galement apprhender la phase de cohabitation et de transition
entre les rseaux tlphoniques ddis (cest encore le cas avec la 4G qui se replie sur la 3G
pour le service de tlphonie via le mcanisme CS Fall Back ) et les futures architectures
full-IP base notamment sur la tlphonie VoLTE.
Sur le plan de la scurit, laccs au rseau mobile peut tre considr comme correctement
scuris depuis le dploiement de la 3G (authentification mutuelle entre le terminal mobile et le
rseau oprateur, chiffrement des flux de signalisation). La protection des flux de trafic
(communications) est en revanche plus problmatique sur le segment radio en raison de la
disparit des normes et des produits. Le constat est quil existe de multiples algorithmes de
chiffrement lis lvolution des technologies radio (A5/x, GEAx, UEAx, EEAx75) et quils ne
sont pas imposs par les normes. Les rseaux oprateurs proposent globalement des
possibilits de chiffrement ltat de lart ; une ngociation avec le terminal mobile permet de
slectionner un algorithme. Le problme est que le parc de terminaux mobiles est htrogne
pour des raisons historiques et conomiques (effet achat SIM only avec terminal non fourni
par loprateur) ; certains terminaux proposent des algorithmes connus comme tant
vulnrables (ex : A5/1), voire parfois aucun algorithme de chiffrement, mme en 4G ! (cf. note de
lANSSI C&ESAR 2014)76. Il est important de noter quaujourdhui, les capacits de chiffrement
des communications ne constituent pas un critre de choix pour un terminal mobile et quen
74

(Wikipedia - IP Multimedia Subsystem, 2013)


(ETSI - Cellular encryption algorithms, 2014)
76
(ANSSI - Analyse de la scurit des modems des terminaux mobiles, 2014)
75

version 1.1 (06/01/2015)

Page 53/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


termes dIHM, le niveau de scurit des communications nest pas affich lutilisateur (bien
que son affichage soit standardis voir 3GPP TS 22.101).
Un enjeu majeur de la 5G va donc tre de normaliser au niveau international, en particulier dans
le domaine de la scurit sur les fonctions dauthentification et de chiffrement sur le canal radio.
Dans ce contexte, le chiffrement des communications VoLTE de bout en bout, est un axe
dtude important. Une des difficults de la 5G sera dassurer une rtrocompatibilit avec le
parc de terminaux existants. Les enjeux de sant publique seront galement prendre en
compte ; des pistes techniques sont ainsi actuellement tudies pour limiter lexposition et la
consommation nergtique (principe de faisceau directif bas sur le retournement temporel par
exemple). Loptimisation de lnergie est un enjeu important de la 5G, notamment au regard de
lapplication aux objets connects. A noter que cette technologie prsenterait un intrt dans le
domaine militaire (augmentation de lautonomie, discrtion radio).
Les objets connects, notamment de type M2M, sont galement lorigine dune volution
majeure qui pourrait avoir des rpercussions importantes en matire de scurit : le principe de
SIM gnrique intgre ( Embedded-SIM 77 ) configurable via le rseau radio par les
oprateurs. La carte SIM pourra ainsi tre active distance en OTA ( Over The Air ) 78 avec le
profil d'abonnement de l'oprateur. Bien videmment, cela pose la question de la scurisation
de cette activation distance. A plus long terme, le concept de carte SIM virtuelle Soft
SIM 79 est galement envisag. Une soft SIM est purement logicielle et ne repose sur aucun
matriel ddi, ce qui laisse envisager des problmatiques majeures notamment concernant
lintgrit des fonctions de scurit. Ces volutions venir dans la gestion des abonnements
mobiles font craindre une perte de contrle partielle des oprateurs historiques via lapparition
doprateurs virtuels, notamment des nouveaux acteurs comme Apple ou Samsung. Ces
oprateurs virtuels, potentiellement localiss ltranger, pourraient poser des soucis en termes
de souverainet, en particulier concernant les possibilits dinterception lgale. Dans ce
nouveau contexte, il faudra aussi veiller ce que la fourniture dun abonnement mobile respecte
un processus qui garantit et rpertorie lidentit des dtenteurs, comme cest dj le cas avec
les cartes SIM/USIM actuelles.
Plus globalement, lcosystme relativement clos des rseaux mobiles va voluer vers un
cosystme ouvert avec deux tendances majeures (du fait de la guerre des prix) qui seront
impactantes sur le plan de la scurit :

La mutualisation des ressources en cur de rseau : les rseaux ne seront plus sous la
gouvernance exclusive dun oprateur. Le dveloppement des oprateurs virtuels va
engendrer de nouveaux processus et des problmatiques de responsabilit.
Lexternalisation voir la dlocalisation de certaines activits : cette tendance est dj
amorce et elle va se renforcer, notamment pour des raisons conomiques. Cela
engendre une perte de maitrise des oprateurs historiques et donc des risques
supplmentaires (gestion des partenaires et des sous-traitants)

77

(GSMA - Remote SIM Provisioning for Machine to Machine, 2014)


(Les oprateurs mobiles avalisent la spcification Embedded SIM ddie au march M2M, 2013)
79
(Apple prt collaborer avec les oprateurs sur une mini carte SIM, 2012)
78

version 1.1 (06/01/2015)

Page 54/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


Enfin, il existe aujourdhui un paradoxe entre le business model qui vise offrir des prix
toujours plus bas au consommateurs et des exigences de scurit de plus en plus leves,
notamment de la part des organismes gouvernementaux. Un des enjeux dans les annes
venir sera surement de concilier ces deux aspects, si possible dans un contexte europen.
Note : lassociation GSMA regroupe une majorit dacteurs industriels et oprateurs du secteur
des tlcoms. Elle dispose dun groupe de travail Fraud and Security 80 ddi scurit dans
les rseaux mobiles.

5.12.4.

Faiblesses BGP

BGP481 est le protocole de routage mis en uvre au sein dInternet depuis 1995. Il a t bti
sur un principe de confiance rciproque de proche en proche entre lensemble des oprateurs
constituant lInternet ; cela explique en grande partie labsence de scurit dans
limplmentation initiale du protocole. Ce principe de confiance est aujourdhui remis en cause,
notamment en raison de la multiplicit des acteurs/oprateurs.
BGP a subi plusieurs volutions depuis 1995 pour amliorer sa scurit (mesures de protection,
rsilience) et ses performances (rapidit de convergence). Les mesures de scurit
actuellement implmentes sont toutefois insuffisantes dans le contexte actuel et venir. BGP
supporte IPv6 et il va encore perdurer pendant de nombreuses annes pour assurer le routage
au sein dInternet. Compte-tenu de sa criticit vis--vis du fonctionnement global dInternet, ce
protocole doit faire lobjet dune attention particulire sur le plan de la scurit.
Les incidents de scurit actuellement observs sur BGP sont de deux natures :

Les incidents conscutifs une attaque volontaire. Les attaques recenses impliquant
BGP sont aujourdhui peu nombreuses, mais elles sont probablement voues se
dvelopper dans les annes venir. Lattaque la plus importante en terme dimpact est
de type MITM82 ; elle consiste drouter discrtement le trafic Internet des fins
despionnage (exemple83 : droutage de trafic vers lIslande et la Bilorussie en 2013). Il
est aujourdhui trs difficile de se protger face ce type dattaque. Les attaques en
dni de service ne sont pas non plus exclure dans les annes venir.
Les incidents involontaires dorigine accidentelle conscutifs une erreur de
configuration ou un Bug logiciel. Il sagit pour le moment des cas les plus
frquemment observs, avec des impacts dimportance variable sur la disponibilit. On
recense aujourdhui prs dune dizaine dincidents majeurs84 ayant conduit une prise
de conscience et des amliorations du protocole sur le plan de la scurit, notamment
en termes de rsilience. Pour illustration, loprateur Orange enregistre chaque mois 2
erreurs de configuration BGP relatives son prfixe 2.0.0.0 (les mesures implmentes
permettent de dtecter et dviter lincident).

80

(GSMA - Fraud & Security, 2014)


(A Border Gateway Protocol 4 (BGP-4) - RFC4271, 2006)
82
(Une norme faille de lInternet permet de dtourner du trafic volont, 2013)
83
(The New Threat: Targeted Internet Traffic Misdirection, 2013)
84
(ANSSI - Influence des bonnes pratiques sur les incidents (4), 2013)
81

version 1.1 (06/01/2015)

Page 55/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


Plusieurs amliorations ont permis damliorer la scurit, mais le protocole BGP souffre dune
absence de fdration au niveau international qui pourrait permettre dimposer certaines
mesures de scurit lmentaires, en particulier lapplication des bonnes pratiques 85 pour
limplmentation et la configuration du protocole. La consquence est que les volutions
scurit ne sont pas appliques de manire globale, ce qui nuit lensemble de la scurit du
rseau.
Dans les annes venir, les dfis relever sur BGP seront les suivants :

Il faut dfinir une autorit qualifie capable dimposer des mesures de scurit
lensemble des acteurs/oprateurs du rseau Internet. Actuellement, un certain nombre
doprateurs se cantonne une implmentation minimaliste du protocole BGP en
ngligeant les aspects scurit (pour des raisons financires ou historiques) ; les autres
oprateurs sont contraints dimplmenter la scurit sous un angle dfensif.
Il faut apporter des volutions permettant de scuriser davantage le protocole (gestion
des paquets malformes, authentification et chiffrement dans les changes). Des
solutions sont voques au 6.1.2, mais il sagit dun exercice difficile car :
- il faut apprhender lhistorique et retenir des solutions qui permettent une
migration progressive. En effet, il est impossible de raliser une migration
massive et rapide de lensemble des routeurs BGP dInternet. Il sagit l dune
des raisons majeures qui ont conduit lchec de certaines solutions bases sur
la cryptographie notamment.
- les solutions bases sur une infrastructure clef publiques posent la question de
lautorit de certification et indirectement des problmatiques de gouvernance et
de souverainet vis--vis dInternet.
- la mise en uvre de solutions cryptographiques ncessite des ressources de
calcul consquentes que les routeurs actuels sont probablement incapables de
fournir grande chelle. Cela induit galement des dlais de traitement
susceptibles daltrer le niveau de rsilience actuel.

En termes de dimensionnement, les donnes BGP sont en expansion permanente86 (taille des
tables de routage, nombre dAS, nombres de prfixes changs ). Mais les quipements
actuels disposent de performances adaptes pour faire fonctionner le protocole lchelle
dInternet ; cela devrait toujours tre le cas horizon 2030.

85
86

(BGP Best Practices, 2006)


(BGP in 2013 - The Churn Report , 2014)

version 1.1 (06/01/2015)

Page 56/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030

Figure 12 - nombre dAS vus dans la table de routage BGP par les peers (source:
http://www.potaroo.net)

Figure 13 mises jour quotidiennes de prfixes vues par AS131072 (source:


http://www.potaroo.net)

version 1.1 (06/01/2015)

Page 57/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030

5.12.5.

Faiblesses DNS

DNS est un service historique et incontournable de lInternet. Malgr ses 30 annes


danciennet, sa prennit nest pas remettre en cause dans la prochaine dcennie. Son rle
va devenir encore plus important avec la progression dIPv6 ainsi que la multiplication des
terminaux et des objets connects. Concernant le modle de dploiement, quelques
alternatives ont t tudies pour proposer un modle peer-to-peer offrant une meilleure
rsilience et une certaine indpendance par rapport la gouvernance opre par les Etats-Unis;
toutefois le modle hirarchique initial perdure et ce encore pour de nombreuses annes.
Malgr les volutions quil a subit depuis son lancement, le service DNS demeure complexe et
souffre de plusieurs lacunes importantes sur le plan de la scurit. Plusieurs travaux de
synthse existent sur les problmatiques de scurit du DNS et les contre-mesures possibles,
en particulier sur le site de lANSSI87 ainsi que celui de lAFNIC88 sous une forme plus vulgarise.
Un des problmes majeurs actuels est notamment la prolifration des botnets qui exploitent les
failles du service DNS pour btir des attaques de type DDoS (dni de service distribu)89.
Le principal enjeu de la prochaine dcennie sera probablement la gnralisation du DNSSEC
(cf. 6.1.1), mais ce nouveau protocole engendrera aussi de nouveaux problmes. A linstar de
RPKI/BGPSEC, des problmatiques de performances (ressources) et de gouvernance (autorit
de certification) sont apprhender.
Un autre enjeu important du DNS est la gouvernance du service qui aujourdhui est
essentiellement sous le contrle des Etats-Unis. En effet, les TLD sont actuellement situs dans
la zone root (13 serveurs racine) qui est sous gouvernance de lICANN, organisme
dpendant du dpartement du commerce des Etats-Unis. A noter toutefois que les Etats-Unis
se sont rcemment engags dans une dmarche douverture afin que lICANN devienne un
organisme international dici 201590; les autres tats pourraient ainsi disposer dun pouvoir de
contrle plus important quaujourdhui.

5.12.6.

Mutation de la tlphonie conventionnelle

Dans le domaine de la tlphonie, outre la gnralisation des rseaux 5G, la principale volution
va probablement concerner lmergence et la gnralisation de la technologie WebRTC91 qui
fait actuellement lobjet dun draft au niveau de lIETF.
Le principe de WebRTC consiste tablir les communications tlphoniques ou
visioconfrences via des navigateurs web. De grands acteurs dInternet (Google, Facebook,
Skype) soutiennent ce standard, dont la principale consquence risque dtre une perte de
contrle de la part des oprateurs historiques et de maitrise des acteurs de la part des
gouvernements. Pour rsumer, WebRTC peut tre assimil une solution Skype normalise,
fonctionnant sur les terminaux fixes et mobiles ; WebRTC devrait ainsi favoriser la convergence
fixe/mobile.

87

(ANSSI CERT-FR - Du bon usage du DNS, 2008)


(DNS : types dattaques et techniques de scurisation, 2009)
89
(Attaques DNS : Connatre son ennemi, 2014)
90
(ICANN : les USA renoncent au contrle du DNS racine, 2014)
91
(WebRTC : introduction et modle de scurit, 2014)
88

version 1.1 (06/01/2015)

Page 58/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


Les oprateurs historiques auront toujours un rle jouer pour assurer linterface avec les
rseaux tlphoniques conventionnels via des passerelles, mais plus le WebRTC va se
gnraliser et moins les oprateurs auront le contrle de la tlphonie.
WebRTC pose plusieurs problmes de scurit dordre technique, mais galement des
problmes de gouvernance, voire de souverainet.
Dun point de vue technique, mme si le standard nest pas encore fig, les principales
problmatiques de scurit apprhender sont :

la scurisation des changes entre le serveur et les clients, notamment en termes


dauthentification ct client (En comparaison avec lauthentification forte mise en place
dans les rseaux mobiles, un simple login/mot de passe est-il suffisant au regard des
responsabilits juridiques en jeu ?)
le niveau de scurit du programme chang entre le serveur et les clients (API
JavaScript), notamment en termes dintgrit.
la protection des donnes caractre priv (carnet dadresse, listing des
communications, golocalisation)
le partage des ressources locales (micro, camera) avec dautres applications (cela
risque de faciliter lespionnage). La scurit du logiciel de navigation utilisant lAPI
WebRTC est videment un maillon essentiel.

La problmatique de gouvernance est probablement la plus importante. En effet, les oprateurs


historiques vont perdre la maitrise du service de tlphonie, et le chiffrement systmatique des
flux WebRTC en bout en bout par les utilisateurs ne va pas faciliter les ventuels contrles que
pourraient raliser les oprateurs fournissant les accs rseau.
Cette problmatique de gouvernance se pose galement vis--vis de la capacit de ltat
franais raliser des interceptions de communication et tracer les utilisateurs (relevs de
communications), lors de rquisitions judiciaires notamment. En effet, il y a aujourdhui une
collaboration encadre entre les oprateurs et ltat dans ce domaine et louverture dun
abonnement (ligne tlphonique) fait lobjet dun processus scuris pour garantir lidentit des
utilisateurs/clients. Le WebRTC risque de favoriser lanonymat et limpossibilit de pouvoir
couter et tracer les communications. Cette problmatique de gouvernance et de maitrise
tatique est dj dactualit avec la socit Skype, ce qui ne manque pas crer certaines
tensions avec lARCEP (Autorit de Rgulation des Communications Electroniques et des
Postes) 92 . Cette problmatique impactant la souverainet peut tre considre comme
relativement mineure pour le moment, mais plus long terme, cela risque dtre un enjeu
majeur vis--vis de la capacit de ltat Franais imposer son autorit, dans un contexte o
les gants du web sont surpuissants. La question de fond qui va se poser est : comment
caractrise-t-on un oprateur et quelles sont ses prrogatives vis--vis des autorits ?
Plus largement, les possibilits de rquisitions judiciaires sur le contenu des appareils de
tlphonie mobile vont devenir problmatiques. Par exemple, Apple a rcemment annonc que
mme avec une commission rogatoire, la socit na plus la capacit technique de fournir aux
autorits les donnes stockes sur ses appareils partir de lIOS8 si lutilisateur a utilis un
code de chiffrement93 ; ce positionnement faisant suite aux affaires Snowden ayant montr une
facilit de certains tats accder des donnes personnelles via les infrastructures de
tlcommunications des oprateurs en dehors dactions cadres par la loi du pays.

92
93

(SKYPE refuse de se dclarer en tant qu'oprateur, 2013)


(Apple Can't And Won't Provide Access To iPhone Data To Authorities, Even With A Warrant, 2014)

version 1.1 (06/01/2015)

Page 59/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030

5.12.7.

Monte en puissance des OTT et du CDN

La monte en puissance des fournisseurs de contenus (OTT) et des rseaux CDN est dj
dactualit. Cette tendance va se poursuivre dans la prochaine dcennie avec le risque de voir
les oprateurs historiques cantonns de simples fournisseurs de ressources rseau.
Comme pour la tlphonie, la principale volution sera de voir les acteurs conventionnels dans
les domaines de la tlvision et de la diffusion vido remplacs par de nouveaux acteurs du
web (les OTT).
Sur le plan technique, la principale problmatique de scurit est que les CDN sincrustent de
plus en plus dans les infrastructures des oprateurs, ce qui pose un problme de confiance,
notamment en raison de la mutualisation croissante des ressources (cf. la virtualisation des
rseaux). En outre, ces services de CDN, deviennent des maillons importants entre les
fournisseurs de services et les utilisateurs finaux ; ainsi, des acteurs comme Akamai vont
continuer de croitre pour devenir incontournables. Se pose alors la question de la confiance que
lon peut avoir dans ces oprateurs CDN, notamment en raison du fait quils voient passer une
trs grande partie du trafic Internet.
La diffusion tlvisuelle pourrait ainsi tre beaucoup expose quactuellement des risques de
piraterie, notamment envers les chaines dtat.
Mais le principal enjeu de scurit va surtout tre concentr sur la maitrise de la diffusion des
contenus, par les oprateurs, mais aussi par les tats. En France, la diffusion audiovisuelle est
actuellement rglemente et rgule par des organismes tels que le CSA. Cette rglementation,
qui est applique par les oprateurs conventionnels, permet de censurer, de protger les
mineurs, de financer la culture franaise, dimposer un minimum de programmes audiovisuels
Franais, de contrler les droits dauteur La prise de contrle de la diffusion de contenus par
les OTT du net pourrait remettre en cause ce modle et rduire limpuissance les organismes
de rgulation et contrle actuels comme CSA, notamment pour les raisons suivantes :
1) Le fait que les fournisseurs de contenus sont et seront localiss ltranger, dans des
pays o la rglementation leur est favorable, fiscalement, juridiquement et
culturellement . Par exemple, le fournisseur Netflix, qui a des ambitions sur le march
Franais, sest implant au Luxembourg puis au Pays Bas pour chapper la fiscalit
Franaise94.
2) Les flux sont de plus en plus chiffrs (SSL/TLS), ce qui rend impuissant les oprateurs
ou les tats en matire de contrle, notamment sur les contenus. Cette problmatique
est amplifie par le fait que la lgislation Franaise interdit aux oprateurs de raliser des
analyses en profondeur (DPI) sur les flux rseau.
Dans le nouveau paysage audiovisuel qui se dessine, la protection des mineurs, des droits
dauteur, de lexception culturelle franaise, seront des enjeux majeurs. La problmatique
fiscale, engendrant une concurrence dloyale envers les acteurs historiques, doit galement
tre apprhende.

94

(Netflix quitte le Luxembourg et s'installera aux Pays-Bas en 2015, 2014)

version 1.1 (06/01/2015)

Page 60/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030

5.12.8.

Le nouvel cosystme des oprateurs

Incontestablement, les oprateurs et leur cosystme subissent actuellement une


transformation majeure qui devrait se poursuivre dans les annes venir. Les principaux
changements concernent :

Lvolution de leur mtier historique doprateur de tlcommunications ; les services et


les contenus prennent dsormais une place de plus en plus importante
Les rapports de force avec les fournisseurs de services et de contenus (notamment les
OTT via les CDN)
Louverture la concurrence sur le plan national et international qui, outre les enjeux
conomiques, a engendr une crise de confiance entre les oprateurs en raison de leurs
diffrences de maturit, notamment sur le plan de la scurit
La mutualisation de certaines ressources entre diffrents oprateurs (voire certains
partenaires). Cela va se renforcer avec la virtualisation des rseaux.
La logique conomique low-cost primant sur la logique de service public

Ce nouveau contexte actuel et venir a plusieurs consquences majeures sur le plan de la


scurit:
1) La logique conomique du moins-disant est prjudiciable la scurit, surtout
lorsque les rglementations diffrent selon les pays. Par exemple, lIETF prconise
aujourdhui une liste de bonnes pratiques scurit applicables aux oprateurs dans
le cadre du groupe de travail OPSEC95 (contrle des adresses IP, scurisation BGP
et DNS). Or ce ne sont que des prconisations qui nont pas un caractre
obligatoire ; la consquence est que certains oprateurs ne les appliquent pas pour
des raisons de cot (matriels, personnels). Or Internet est une communaut ou
tous les acteurs devraient appliquer les mmes rgles pour bnficier dun certain
niveau de confiance sur le plan de la scurit. Il faut garder lesprit que la scurit
aura toujours un cot et que cela est incompatible avec la logique conomique
actuelle.
2) Le nombre croissant doprateurs, notamment les oprateurs virtuels, engendrent
une complexit qui ne favorise pas la maitrise scurit du rseau Internet. Cela est
particulirement vrai pour le continent Africain o il existe de nombreux petits
oprateurs locaux.
3) Laccs physique et logique aux ressources des oprateurs, notamment au niveau
des Datacenters devient de plus en plus difficile maitriser. En effet, nous passons
dune situation avec un oprateur unique et une gouvernance maitrise une
situation o doivent cohabiter diffrents oprateurs, des partenaires (ex : CDN
Akamai), des info-grants/quipementiers en outsourcing, des sous-traitants. Toute
cette complexit est prjudiciable la scurit, notamment vis--vis de la rsilience
globale du rseau. Cette problmatique est aujourdhui dactualit sur le continent
africain par exemple, mais elle va se gnraliser, notamment en Europe.

95

(IETF Opsec Working Group, 2004)

version 1.1 (06/01/2015)

Page 61/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


4) Le partage des ressources physiques et radio et les relations entre oprateurs
seront un enjeu important dans les annes venir. Or aujourdhui, les protocoles de
signalisation, de routage et de contrle (ex : protocole BGP, tlphonie IP) noffrent
pas tous une garantie suffisante en termes de scurit dans ce nouveau contexte.
Enfin, laugmentation constante des terminaux et du trafic, notamment avec le dveloppement
des objets connects, engendre une massivit de lInternet qui pourrait remettre en cause la
capacit des oprateurs maitriser le rseau, en particulier en termes de scurit. La
surveillance et linvestigation devront probablement faire appel de nouvelles techniques base
sur le concept de Big Data par exemple.

5.12.9.

Les dnis de service (DOS / DDOS)

Les dnis de services peuvent avoir diffrentes origines : disfonctionnement logiciel, erreur de
configuration, attaque volontaire. Les attaques en dni de service, notamment de type
distribues, risquent de se dvelopper dans les annes venir, notamment en raison de la
multiplication des terminaux mobiles et des objets connects96, susceptibles dtre utiliss en
rebond par des botnets. Laugmentation de dbit sur les futurs rseaux mobiles (cf. la 5G) va
galement amplifier la puissance des DOS. A noter que de nouveaux impacts, tels que latteinte
aux batteries des terminaux mobiles et objets connects sont envisags.
La fourniture de services DOS/DDOS constitue aujourdhui un vritable business de dimension
internationale97 pour lequel il faudra apporter une rponse technique et juridique efficace dans
annes venir. Les oprateurs auront un rle important jouer dans la prvention et la raction
face ce type dattaque. Or aujourdhui, il existe des freins qui empchent les oprateurs de
mettre en uvre des mesures permettant de lutter contre les dnis de service :

Le premier concerne la rglementation franaise qui interdit certaines actions/ractions


comme lanalyse en profondeur des paquets (DPI) ainsi que les rponses offensives. Il
est toutefois important de noter que les analyses DPI sont de plus en plus difficile
raliser en raison de la tendance croissante du chiffrement des flux utilisateur ;
Le second est que des contrles lmentaires de scurit ne sont pas raliss de
manire systmatique par tous les oprateurs. En effet, il existe une forme
dindividualisme de la part de certains oprateurs, lesquels nappliquent pas les bonnes
pratiques recommandes par lIETF comme la BCP3898 par exemple. Cette mesure qui
consiste contrler les adresses IP sources des abonns permettrait de lutter
efficacement contre le DOS et le DDOS, moyennant le fait que tous les oprateurs
jouent le jeu. La problmatique est telle que le CERT a mis un rappel en 201399. Sans
obligation, les oprateurs ont une logique conomique et ne travaillent pas pour la
gloire. Cette situation perdurera probablement en 2030 ce qui fragilise la scurit de
lInternet.

96

(DDoS et smartphones : rien ne sera plus jamais comme avant, 2014)


(Scurit informatique : ces nouveaux dangers qui guettent nos entreprises, 2013)
98
(BCP 38 - Network Ingress Filtering : Defeating Denial of Service Attacks which employ IP Source
Address Spoofing, 2000)
99
(Alert (TA13-088A) - DNS Amplification Attacks, 2013)
97

version 1.1 (06/01/2015)

Page 62/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030

5.13.

La rsilience dInternet

Le rseau mondial est constitu dun ensemble de nuds (routeurs) interconnects par des
liaisons nationales, continentales et transcontinentales, en particulier des cbles sous-marins.

Figure 14 - Cbles sous-marins transcontinentaux (source www.cablemap.info

100

Le rseau Internet et les protocoles sous-jacents ont t labors pour offrir un niveau de
rsilience lev (routage dynamique, protocoles adaptatifs). Toutefois, laugmentation des flux
internationaux, notamment entre lEurope et les Etats-Unis vont ncessiter dtre plus vigilant
face aux vulnrabilits des interconnexions nvralgiques de lInternet, en particulier face des
attaques physiques cibles sur des liens ou des nuds critiques du rseau (exemple : les liens
transatlantiques, les IXP101 interconnectant les POP Internet des oprateurs).

100
101

(Submarine Cable Map, 2014)


(Wikipedia - Internet Exchange Point, 2014)

version 1.1 (06/01/2015)

Page 63/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030

Figure 15 Orange : Rseau Express Europen (REE)

Figure 16 - Orange : rseau Open Transit Internet (OTI)

Louverture du march des tlcoms et le recours croissant la sous-traitance constituent


aussi des lments importants prendre en compte. En effet, cela va complexifier la
problmatique de scurit daccs aux ressources mutualiss (accs physique aux locaux
techniques, aux Datacenter) avec des risques datteinte involontaires ou malveillantes aux
infrastructures.

version 1.1 (06/01/2015)

Page 64/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


Remarque : aux tats-Unis, il existe un groupe de travail Communications Security, Reliability
and Interoperability Council's 102 (CSRIC) ddi la scurit et la rsilience des systmes de
tlcommunications, notamment face des grandes catastrophes.

5.14.

Nouveaux types dinfrastructures rseaux

Le continent Africain est actuellement un laboratoire pour la mise au point de rseaux


communautaires bas sur le Wifi, le LTE et des suites de protocoles permettant de constituer
des rseaux Ad-hoc efficaces, avec le soutien de grandes socits comme Google par
exemple. Des rseaux communautaires, bass sur le partage de ressources wifi, existent dj
en France, mais la composante Ad-hoc permettant une couverture beaucoup plus tendue
demeure encore trs marginale. Fort du retour dexprience dans les pays mergents, il est
possible dans les annes venir de voir se dvelopper de manire significative des rseaux
communautaires Ad-hoc en France, engendrant des difficults de rgulation et une perte de
contrle tatique. En effet, par nature, les rseaux communautaires ne sont la proprit de
personne et il est donc impossible didentifier formellement des responsabilits, notamment sur
le plan juridique. Ce type de rseaux pourrait facilement devenir le support dactivits illgales
sur le territoire national.
En termes dinfrastructure, il faut aussi considrer les grands acteurs du net qui ambitionnent de
dvelopper leurs propres infrastructure rseau (exemple : le projet dInternet par satellite de
Google 103). Lobjectif affich est doffrir un accs Internet aux populations non desservies
actuellement, notamment dans les pays mergents. Il sagit dun march de masse avec des
tarifs dabonnement pouvant tre diviss par 10 voire 100 par rapport aux tarifs constats
actuellement dans les pays dvelopps. Ce type de rseau, bas sur un modle conomique
low cost , pourrait aussi trouver un large cho dans les pays dvelopps, ce qui pose
quelques problmatiques importantes :

102
103

Quel va tre le niveau de maitrise et de contrle dun pays comme la France, face une
infrastructure rseau localise dans lespace extra-atmosphrique, donc dans une zone
internationale ou la France ne peut faire valoir sa souverainet ? En effet, sachant quil
sera extrmement difficile de contrler les terminaux utilisateurs, seules les stations sol
daccueil dtermineront, priori, la rglementation applicable en fonction de leur
localisation
Comment appliquer le principe de neutralit du net un acteur qui est la fois
oprateur et fournisseur de services ? La maitrise totale du bout-en-bout par un acteur
unique est-elle une bonne chose sur le plan concurrentiel notamment ?
Quel sera le niveau de scurit de ces rseaux ? Sachant que ce type dinfrastructure
favorise les risques dinterception de communications.

(The Communications Security, Reliability and Interoperability Council, 2014)


(Google veut tisser un rseau de satellites pour lInternet pour tous, 2014)

version 1.1 (06/01/2015)

Page 65/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030

5.15.
5.15.1.

Surveillance du cyberespace
Les activits lgales (surveillance tatique)

Les activits lgales de surveillance menes par ltat franais ont pour objectif :

dassurer la scurit des citoyens en faisant respecter le droit franais dans le cadre de
rquisitions judiciaires
dassurer la scurit et la souverainet de ltat (protection contre le terrorisme,
protection du patrimoine industriel, prvention de la criminalit organise, lutte contre la
fraude fiscale ) dans le cadre de procdures administratives

Ces activits sont des activits dinterception et dcoute ralises au sein du cyberespace
(communications, changes de donnes, transactions, donnes stockes). Elles sont
aujourdhui ralises via des organismes spcialiss avec la collaboration des oprateurs et des
acteurs du cyberespace oprant sur le territoire national.
A horizon 2030, certaines problmatiques majeures vont apparaitre ou tre samplifies :
1) La gnralisation du chiffrement des flux transitant dans le cyberespace et des donnes
stockes va rendre de plus en plus difficile les interceptions et les rquisitions sur le plan
technique. En effet, les services fournis depuis des serveurs situs ltranger,
notamment les services de Cloud, nont pas dobligation lgale de fournir les donnes
confidentielles de leurs utilisateurs. Ces lments peuvent tre exigs directement
auprs de lutilisateur (cl de chiffrement, identifiant/mot de passe), mais il peut trs bien
refuser et cela empche en outre les surveillances discrtes .
2) La mutation venir dans le domaine de la tlphonie (nouveaux protocoles,
dlocalisation des serveurs de contrle ltranger, chiffrement de bout en bout des
communications, perte de maitrise des oprateurs historiques) avec des technologies
telles que WebRTC risque de rendre inoprants les processus et les systmes
dinterceptions lgales actuellement mis en place.
3) Les rseaux privs dchanges comme TOR, base de lInternet clandestin ( Darknet )
et largement utilis des fins criminelles, sont impossibles surveiller. Officiellement,
mme la NSA amricaine ny parviendrait pas avec les moyens techniques et juridiques
actuellement disponibles104. La seule parade actuelle consiste infiltrer ces rseaux en
se faisant passer pour un utilisateur lambda.
4) Pour assurer la scurit des citoyens et de la nation, ltat Franais pourrait tre amen
imposer de nouveaux dispositifs et une nouvelle rglementation (exemple : installation
dun mouchard dans les terminaux, obligations de dposer de manire pralable les
cls de chiffrement ou les identifiants auprs dun organisme tatique,...). Cela pourrait
tre mal peru par une partie de la population avec le sentiment dun tat Big
Brother pouvant gnrer des risques de rvoltes sociales. La libert du rseau

104

(Darknet, un internet clandestin porte de clics, 2013)

version 1.1 (06/01/2015)

Page 66/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


Internet, la protection de la vie prive, le droit lanonymat, demeurent un enjeu socital
majeur qui peut aller lencontre de la scurit.
De manire gnrale, les partenaires historiques que sont les oprateurs auront un rle jouer
de moins en moins important dans les activits de surveillance tatique du fait des volutions
technologiques venir dans le cyberespace.

5.15.2.

Les activits illgales (dtournement dinformation)

Les dtournements dinformations et la surveillance du cyberespace grande chelle de la part


de certains tats, en particulier les Etats-Unis, dfraient rgulirement la chronique105. Des
programmes dinterceptions massives ont ainsi t mis uvre et ils perdureront probablement
encore pendant de nombreuses annes, mais avec des moyens et des mthodes diffrentes.
La premire mthode dinterception consiste capturer les flux rseau. Cette mthode est
particulirement adapte lorsque les flux rseau sont en clair. Si lon considre que certains
tats sont aptes craquer facilement les algorithmes cryptographiques utiliss sur Internet,
cette mthode reste pleinement valable. Les sources dinterception sont multiples :

La capture de flux sur les rseaux sans-fils est historiquement la plus utilise. Cela
concerne les accs Wifi public, les accs par satellite, mais aussi les rseaux de
tlphonie mobile (exemple : le projet AURORAGOLD 106 de la NSA) sur lesquels les
fonctionnalits dauthentification et de chiffrement sont peu performantes. A lavenir, il
faut esprer que les volutions apportes par la 5G permettront de combler ces lacunes
de scurit.
La capture de flux sur les fibres-optiques : des techniques dcoute sur le mdia
physique existent107 ; toutefois les conditions de ralisation sous-entendent laccs aux
infrastructures. Il est beaucoup plus ais doprer en ralisant des drivations ( port
mirroring ) directement au niveau des quipements de commutation, surtout lorsque le
trafic transite par un pays lorigine ou complice de la cyber-surveillance108. Ce risque
va augmenter et voluer dans les annes venir en raison de la multiplication des
acteurs (quipementiers, sous-traitants, partenaires) qui accdent de manire plus ou
moins contrle aux datacenters des oprateurs, notamment dans les pays mergents.
Le protocole BGP peut tre victime dune attaque MITM ayant pour but de rediriger de
manire transparente le trafic vers un AS au sein duquel les flux seront intercepts. Ce
scnario, mme sil sest dj produit, demeure le moins probable. (cf. 5.12.4)

La seconde mthode dinterception, consiste compromettre les serveurs et les terminaux


utilisateurs afin de collecter, de manire active ou passive, des donnes, avec le gros avantage
qu ce niveau, les donnes sont gnralement peu ou pas chiffres. Les techniques
dinterception et de collecte de donnes sappuient sur plusieurs vecteurs :

105

(List of government mass surveillance projects, 2014)


(Operation Auroragold - How the NSA Hacks Cellphone Networks Worldwide, 2014)
107
(Un appareil qui intercepte les informations transitant via la fibre optique, 2012)
108
(Les cbles sous-marins, cl de vote de la cybersurveillance, 2013)
106

version 1.1 (06/01/2015)

Page 67/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030

Infection des serveurs et des terminaux avec des malwares (vol de donnes, atteinte
la confidentialit). Les objets connects seront un vecteur important dans les annes
venir, car mal scuriss par conception.
Pigeage la source de logiciels voire de matriels (puces silicium) pour capturer des
donnes et rediriger du trafic. Certains quipements cur de rseaux dorigine
amricaine ou chinoise peuvent aussi tre concerns.

Enfin, une troisime mthode peut dsormais tre identifie, cest la collecte passive des
donnes via les services en mode Cloud mis disposition des utilisateurs (documents
bureautiques, photos/vidos, donnes de golocalisation, donnes personnels, activit sur
Internet). La tendance croissante lutilisation des solutions oriente Cloud (applications
SaaS, stockage en ligne, solutions IaaS) concernent beaucoup les particuliers, notamment vis-vis de leurs donnes personnelles, mais de plus en plus les entreprises avec parfois un risque
de fuite de leur patrimoine industriel. Cette exportation massive dinformations vers les
Datacenter des grands acteurs dInternet situs ltranger (GAFA 109 : Google, Apple,
Facebook, Amazon) va samplifier dans la prochaine dcennie. Outre le fait que ces socits
imposent une centralisation des services et des donnes, elles gnralisent le chiffrement des
flux, mme pour des usages qui ne le requiert pas priori (exemple : moteur de recherche
Google, visionnage de vido Youtube). La finalit recherche est bien de collecter massivement
des informations hors des territoires nationaux, tout en sassurant que des tiers (oprateurs,
tats) ne puissent effectuer aucun contrle quant leur contenu.

5.16.

La mutation de certains grands domaines sectoriels

5.16.1.

La e-ducation

Dici 2030, il faut sattendre une volution, voire rvolution, dans le domaine de lduction.
Les initiatives actuelles comme le MOOC (Massive Open Online Course) sont un avant-gout de
ce qui se prpare. Cela va permettre un accs beaucoup plus tendu lenseignement,
notamment dans des domaines spcialiss, pour toute une partie de la population, pourvu
quelle soit connecte Internet. Lenseignement distance pourrait prendre une place
prpondrante avec des examens raliss en ligne. Les principaux risques que cela pourrait
engendrer sont bien videmment les risques de fraude aux examens, mais galement une
forme disolement social ou encore une unicit de pense et une baisse de la diversit
intellectuelle.

5.16.2.

La e-sant

Le domaine de le-sant va probablement connaitre une expansion trs importante dici 2030,
gnrant des problmatiques scurit relatives au secret mdical et la protection des
donnes personnelles, mais galement datteinte aux personnes. Les hpitaux, accompagn
par le programme Hopital numrique 110, sont directement concerns.

109
110

(G.A.F.A. lacronyme dun quatuor qui accapare notre existence, 2014)


(Le programme hpital numrique, 2014)

version 1.1 (06/01/2015)

Page 68/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


Les principales volutions anticiper sont les suivantes :
1) La numrisation de lensemble de la filire mdicale (dj amorce aujourdhui). Cela
concerne par exemple le carnet de sant lectronique, les dossiers et actes mdicaux,
les rsultats dexamens (ex : radiographies, analyses sanguines), les prescriptions
mdicales, le cycle de paiement et de remboursement. Les problmatiques de
protection du secret mdical et des donnes personnelles sont videntes, mais cela ne
doit pas occulter dautres risques qui pourraient prendre de lampleur comme la
corruption (volontaire ou involontaire) dune prescription de mdicaments dans une
ordonnance ou encore la fraude aux systmes de sant. La disponibilit des donnes
caractre mdical peut galement savrer trs critique dans des situations durgence
(accs aux antcdents mdicaux, rsultats dexamens, dosages mdicamenteux)
2) Les objets connects appliqus la sant et les applications M2M. En permettant un
contrle et une surveillance continue, la mdecine connecte dispose de rels
arguments pour simposer au plus grand nombre, offrant au patient un confort et une
qualit de vie accrus. Dj prsente pour des pathologies chroniques ncessitant une
adaptation de traitement et un suivi rgulier, la mdecine connecte vise se
dvelopper pour des spcialits de plus en plus pointues, avec toujours la mme
optique : accrotre la simplicit dutilisation du matriel mdical et permettre au patient
damliorer la prise en charge de sa pathologie 111 . Le diabte, les dfaillances
cardiaques et lapne du sommeil sont actuellement les trois pathologies qui,
aujourdhui, disposent de solutions de surveillance distance les plus abouties et
utilises ; demain les applications seront tendues dautres maladies chroniques et
surtout, elles fonctionneront dans un mode actif via lutilisation de nano-dispositifs
mdicaux, notamment pour ladministration de mdicaments. La liste de solutions demdecine connecte est vaste :
- Pompe insuline connecte112
- Pacemaker et dfibrillateur connects113
- Puce contraceptive Microchips114
- Pillcam : une petite pilule qui, une fois ingre par un patient, se pilote distance
par le mdecin pour pouvoir explorer les trfonds du corps humain, ainsi que les
lentilles connectes de Google (en cours de dveloppement) qui intgrent de la
ralit augmente et rcuprent des donnes de sant via le fil lacrymal, comme
le taux de glucose ou de glycmie
- STM3 : Une solution base de capteurs qui permet un mdecin de rcolter et
traiter les donnes de son patient, distance et en temps rel.
- Transwatch : Une montre connecte durgence mdicale qui sactive dune
simple pression sur un bouton.
- Air Liquide Healthcare : Une solution pour le suivi distance des patients
souffrant dapne du sommeil.
- Keynae : Diffrents objets connects aux applications diverses, comme le suivi
de patients atteints de diabte, dhypertension, ou encore souffrant de maladies
chroniques
111

(M2M et e-Sant : la mdecine de demain, 2013)


(Hack de pompe insuline, 2011)
113
(Un patient isralien reoit un nouveau pacemaker connect , 2014)
114
(La pilule du futur sera une puce contraceptive... tlcommande !, 2014)
112

version 1.1 (06/01/2015)

Page 69/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


e-pilulier : Destin aux patients ncessitant des prises de mdicaments
journalires, ce pilulier permet le tri et la distribution automatise de ces
mdicaments. Les pilules sont ensaches par le pharmacien, qui se base sur les
traitements prescrits par le mdecin, puis places dans le pilulier. A une heure
donne, le patient peut alors rcuprer et prendre ses mdicaments. En cas de
non-prise du sachet, le pilulier se bloque et le mdecin est alert.
- Mimo : body connect pour les bbs. Il permet de surveiller ltat de sant des
nouveaux ns distance115.
Le risque principal de cette mdecine connecte est videmment la prise de contrle
distance par un cybercriminel, pouvant aboutir des situations de prise dotage voire,
dans un cas extrme, tuer le patient qui est quip de ces objets116 (pompe insuline,
pacemaker). Dautres scnarios graves peuvent galement tre imagins, comme
gnrer des situations de paniques par lenvoi de fausses informations (exemple :
saturer les services durgence en simulant des accidents cardiovasculaires sur un grand
nombre dindividus ou en dclenchant des systmes dalertes personnels)
-

3) La mdecine en ligne dont les principaux atouts sont la rapidit, la simplicit va de


dvelopper. Elle pourra sappuyer sur la numrisation de la filire mdicale et lInternet
des objets mdicaux. Dun point de vue scurit, des problmatiques de responsabilit
juridique vont de poser ainsi que probablement des problmes de confiance dans la
relation mdecin/patient.
4) Les actes mdicaux distance (chirurgie notamment) via des appareils chirurgicaux
connects seront probablement mis au point et utilis grande chelle en 2030. La
suret de fonctionnement sera la principale proccupation dun point de vue scurit.
5) Le dveloppement des prothses bioniques sera probablement une rvolution majeure
dans la prochaine dcennie
Note : La matrise douvrage oprationnelle des systmes dinformation de sant a t
rorganise avec la cration de lASIP Sant, agence charge dlaborer les grands rfrentiels
dinteroprabilit et de scurit des systmes dinformation de sant117.

5.16.3.

Le secteur bancaire

Le secteur des banques et assurances est actuellement en pleine mutation et cette tendance
va se poursuivre. Les changements majeurs concernent :
1) La gnralisation de la banque en ligne avec des applications de plus en plus
critiques dun point de vue scurit. Cela permet notamment une ouverture sur le
march mondial, engendrant une concurrence plus importante quactuellement, et
donc potentiellement prjudiciable la scurit. Cela laisse entrevoir des impacts
importants en cas de cyberattaque (cible ou grande chelle) sur le plan

115

(Mimo connecte votre bb, 2014)


(Le dfibrillateur de Dick Cheney modifi par crainte dun assassinat par piratage, 2013)
117
(France numrique 2012-2020 / Bilan et Perspectives, MINEFI, 2011)
116

version 1.1 (06/01/2015)

Page 70/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


conomique. Des cas de cyberattaque se sont dj produits, avec des effets,
certes, limits118. Les systmes de paiement traditionnels sont galement touchs
en raison de leur interconnexion croissante au cyberespace119. Une rglementation
nationale ou europenne imposant lutilisation de certificats clients (token, CNIE)
constituerait une avance significative sur le plan de la scurit.
2) Le dveloppement de nouveaux moyens de paiement, en particulier le m-paiement
avec les mobiles qui expose davantage les utilisateurs des problmes de scurit
(vol ou perte du terminal par exemple). En effet, beaucoup de solutions de mpaiement actuelles pchent au niveau de lauthentification des utilisateurs.
3) Lessor des monnaies virtuelles (aussi appele crypto-monnaies) comme le Bitcoin
qui chappent tout contrle bancaire et gouvernemental. Ces monnaies tant
conues par nature pour chapper la fiscalit et garantir lanonymat de leurs
utilisateurs, elles sont largement utilises pour des activs illgales et criminelles
(trafic de drogues, darmes, proxntisme, blanchiment dargent, financement du
terrorisme). En outre, ces monnaies sont essentiellement bases sur une confiance
communautaire sans garants (tats, banques centrales). Leffondrement dune emoney est donc possible et pourrait avoir des consquences graves sur le plan
conomique et social 120 . Le rapprochement entre certains acteurs bancaires
institutionnels (exemple : Paypal avec le Bitcoin121) peut galement faire craindre
lapparition de nouveaux risques.
Cette digitalisation et cette connectivit toujours accrue du domaine bancaire permettent
denvisager des scnarios trs pessimistes. Une atteinte lintgrit et la disponibilit des
donnes pourrait gnrer une crise bancaire lchelle mondiale avec des impacts sociaux
potentiellement trs graves. Un cas rcent122, avec des impacts toutefois modrs, constitue
dj une alerte considrer trs srieusement.
A noter que les cyberattaques vont galement constituer un risque de plus en plus important
vis--vis du cours boursier des grandes entreprises123, avec des consquences conomiques et
sociales majeures.
Enfin, sur le plan pnal, il est important de noter quaujourdhui, il moins risqu pour un criminel
de braquer une banque ou un particulier de manire numrique que physiquement. Une
rflexion sur la pnalisation de tels actes sera un enjeu important de la prochaine dcennie.

118

(HSBC vise par des hackers justiciers , 2012)


(Aprs Target : un nouveau malware cible les lignes de caisses, 2014)
120
(Les limites des Bitcoins, 2014)
121
(PayPal et Ebay rpondent Apple Pay avec le BitCoin, 2014)
122
(Le hack gant de la banque JPMorgan Chase a touch 76 millions de clients, 2014)
123
(Alerte aux cyberattaques sur les marchs, 2014)
119

version 1.1 (06/01/2015)

Page 71/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030

5.17.

Enjeux conomiques et sociaux

5.17.1.

Cyberdpendance des entreprises

Internet est devenu aujourdhui incontournable pour de nombreuses entreprises franaises,


notamment les grandes entreprises et les PME. Cette tendance devrait se poursuivre avec une
extension aux plus petites entreprises. Cette connectivit au cyberspace va devenir aussi vitale
que laccs llectricit et la rsilience du cyberespace pour les entreprises sera un dfi
majeur dans les annes venir. La problmatique de-rputation va galement devenir cruciale
pour toutes les entreprises.
Le e-commerce devrait progresser pour probablement devenir le principal canal de
consommation, notamment dans le domaine alimentaire et il faut peut-tre sattendre un
dclin spectaculaire et rapide du modle des centres commerciaux qui rgnent actuellement,
ce qui pourrait gnrer de graves mouvements sociaux. De manire plus gnrale, la
concurrence entre les entreprises va tre exacerbe, notamment sur le plan international, ce qui
pourrait gnrer des tensions majeures sur le plan national et international, notamment en
raison de lingalit des rgimes fiscaux et des niveaux de vie.

Figure 17 - projection de croissance sur le e-commerce en Europe (source : Forester)

Le tltravail, aujourdhui peu dvelopp pour des raisons culturelles, va probablement


connatre un essor important dici 2030, ce qui va accroitre le risque despionnage industriel,
notamment au niveau des PME et TPE qui ont peu de moyens pour se dfendre.
La progression du BYOD124 semble aussi inluctable, ce qui risque damplifier des problmes
dj connus :

des problmes de scurit techniques lis la cohabitation dapplications


personnelles et professionnelles
des problmes de protection des donnes personnelles et plus largement de la vie
prive, notamment vis vis de lemployeur
des problmes psycho-sociaux engendrs par la non-dconnexion de la sphre
professionnelle

124

(CNIL Innovation et Prospective : Intimit et vie prive du travailleur connect : BYOD, capteurs,
scurit, 2014)
version 1.1 (06/01/2015)

Page 72/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030

5.17.2.

Cyberdpendance des citoyens

Les citoyens deviennent chaque jour de plus dpendant du cyberespace, et cet tat de fait est
parfois subi pour une partie de la population. Internet est utilis au quotidien, de manire directe
ou indirecte (cf. les objets connects) et les applications sont de plus en plus nombreuses : ecommerce, relations sociales, mdias, divertissement, sant, formalits administratives A
noter aussi la difficult croissante pour se dconnecter de la sphre professionnelle avec le
dveloppement du BYOD par exemple. Des phnomnes daddiction sont par ailleurs
constates dans certains domaines : les rseaux sociaux, les jeux vido en ligne, les jeux
dargent en ligne, la pornographie.
En trs peu de temps de nombreuses maladies nouvelles sont apparues et de plus en plus de
phnomnes psychologiques ont t associs aux pratiques Internet : pathologies affectives
(anxieuses et dpressives), troubles de la conduite et de la personnalit et affections associes
(nvroses : vitement, phobies, mais aussi psychoses). A horizon 2030, il faut sattendre
une gnralisation massive de ces maladies ou troubles du comportement.
En France, lhpital de Marmottan sest spcialis dans certaines de ces addictions et
pathologies dites sans drogue et souvent comorbides :

limpossibilit de se dconnecter : travail, maison, mme devant la tlvision, en


mangeant sur le canap ou au lit, les objets connects concentrent nos sens ;
lhyperactivit : mails, rseaux sociaux, messageries instantanes, vido-confrences,
regarder des vidos, couter de la musique, consulter lactualit
la surinformation due au flot incessant dinformations sur tous les sujets et la peur de
ne pas tre aware ; un phnomne qui en dcoule est la dsinformation: tout et son
contraire sur chaque sujet: qui croire (individu ou moteur de recherche) ? Que croire ? Il
est de plus en plus difficile daccder des connaissances fiables, de trouver lquilibre,
dans un monde ou valeurs et repres fondent comme neige au soleil ; de beaux jours
en prvision pour les gourous (Etas compris), les leaders dopinion et les egos en
manque dauditeurs ou de disciples ?
l'ego-navigation ou cyber-gocentrisme : consiste faire des requtes incessantes sur
sa personne pour connatre sa cyber-rputation ; Internet permet de croire que lon est
unique, que lon a 10 000 amis ou likes , que lon est aim seul devant son cran ;
le web-voyeurisme : phase 2 du cas prcdent, vos investigations slargissent vos
amis plus ou moins proches, vos anciennes conqutes amoureuses, ventuellement
des stars (chanson, cinma...) ;
la virtualisation personnelle : dont les premiers symptmes peuvent tre lagoraphobie et
lanorexie, qui volue vers une recherche maladive de rencontres et damour via
lInternet, souffrance qui se dveloppe paralllement cette peur incapacitante qua la
personne de rencontrer ces gens dans la vie relle ;
la cyberchondrie ou web-hypochondriaques : vous effectuez des recherches sur toutes
sortes de maladies graves alors qu'au mieux vous avez une maladie imaginaire, au pire
une maladie minime dont vous grossissez les symptmes jusqu' en devenir rellement
malades ;
lobsessionnel : perfectionniste il cre des dossiers, range, classe, modifie, corrige,
vrifie, teste sans cesse ses connaissances sa musique, ses photos, ses fichiers ;
la wikipediolie : vous sacrifiez votre vie personnelle ou professionnelle pour rdiger des
articles sur l'encyclopdie en ligne Wikipedia (ou une autre), et cela devient compulsif...

version 1.1 (06/01/2015)

Page 73/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030

le web-exhibitionniste : dont l'exemple type est le blog sur lequel on dvoile sa vie
prive... parfois trs prive !
le cyber-harclement : le rseau social Aka Aki (disparu en 2012 modle conomique
indfini) vous indiquait quels taient vos contacts proximit immdiate, tout comme le
service de golocalisation comme Google Latitude (supprim le 9 aot 2013) qui vous
permettait de suivre la position GPS dun individu ; Google Maps a t utilis des fins
de surveillance allant jusqu permettre des cambriolages.
la dmultiplication de la personnalit (trouble dissociatif de lidentit T.D.I.) : avatars,
pseudos et login, de boites messageries, forums de discussion, sites de rencontre
lInternet permet tout un chacun de sinventer une nouvelle vie, de prsenter un
personnage nouveau chaque connexion. Ce qui pour certains semble tre devenu un
mode de vie quils contrlent, dautres, adolescents ou des personnes fragiles, peuvent
croire en leurs personnages au point dy laisser leur peau.
laddiction aux jeux en ligne : dmods les jeux vido sur consoles, lInternet a permis
les jeux multi-joueurs en temps rel ainsi que les jeux dargent ; si lutilisation prolonge
de la ralit augmente et des effets 3D peut provoquer des crises dpilepsie ou
favoriser le stress ou lobsit, ces jeux sont aussi lorigine de nombreuses pratiques
ou effets pathologiques. Si certains joueurs en ligne utilisent des couches pour adultes
pour viter de perdre sils devaient se rendre aux toilettes, il faut savoir que lors de jeux
de guerre, souvent violents et immoraux, exacerbent lagressivit, limpulsivit et
favorisent le passage lacte ;
la paranoa : une impression dtre tout le temps espionn, surveill, se mettre tout
surveiller, crypte tous ses dossiers et fichiers. Cela arrive aussi tous ceux qui se sont
mis en vitrine sur lInternet : rseaux sociaux ou professionnels, blogs, sites qui figent
notre volution : lInternet sorte de paranoa pnitentiaire ;
la schizophrnie : force de multiplier les identits avec une facilit dconcertante,
grands renforts de psychotropes il finit par parler lordinateur en croyant communiquer
avec Dieu.

A horizon 2030, le principal problme qui risque de toucher une majeure de la population sera
ce sentiment dtre en permanence surveill, notamment avec les progrs de la golocalisation,
de la reconnaissance faciale, des capteurs biomtriques, mais surtout la miniaturisation et la
multiplication des sources dinformations (camra vido notamment). Les consquences iront
de la pathologie (paranoa par exemple) jusqu un activisme anti-cyber qui pourrait devenir
un enjeu de socit majeur. Les problmatiques de droit loubli numrique qui se posent
actuellement ne sont que le dbut dune longue srie de proccupations venir.

5.17.3.

Cyberdpendance gouvernementale

Ltat Franais est de plus en plus dpendant dInternet, notamment en raison de lacclration
croissante de la dmatrialisation et des procdures administratives en ligne. Ltat Franais
sest ainsi fix pour objectif, une dmatrialisation complte des formalits administratives dici
2020 (cf. page 45 - France numrique 2012-2020125). Labandon du support papier pour
toutes les procdures administratives internes et externes amne toutefois quelques questions
quant la rsilience des informations en cas de perte de donnes (les solutions de sauvegardes

125

(France numrique 2012-2020 / Bilan et Perspectives, MINEFI, 2011)

version 1.1 (06/01/2015)

Page 74/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


et archivages numriques ne sont pas tout preuve ; par exemple, les supports pourraient
tre altrs par les rayonnements lectromagntiques conscutifs une tempte solaire).
Ltat envisage galement de gnraliser un nouveau dispositif didentification : la CNIE (Carte
Nationale dIdentit Electronique) qui pourrait tre utilis pour raliser de lauthentification forte
ou la signature lectronique. Ce dispositif devrait amliorer considrablement la scurit sur
Internet pour les citoyens, notamment dans les transactions commerciales, mais aussi pour les
formalits administratives. Le dveloppement du vote lectronique via Internet sera aussi un
enjeu important dans les annes venir.

5.17.4.

Une rvolution socitale ?

Le cyberespace actuel volue rapidement, sur le plan technique, mais galement social et cela
prfigure peut tre un changement profond de la socit et des valeurs humaines dici 2030.
Une rvolution socitale est-elle en marche ? Ce qui est certain, cest que de nombreux
indicateurs et tendances actuelles confirment que les comportements humains et la vie en
socit vont voluer.
Le contact humain pourrait rduire progressivement pour aboutir un monde ou les personnes
communiqueront de plus en plus par lintermdiaire de machines. Le cyberspace du futur verra
apparaitre galement une nouvelle relation avec les machines que seront les robots. Les
rseaux sociaux pourront tre vus comme un artifice qui tentera de combler ce dficit de
relation humaine. Au final, il y a un risque disolement par rapport au monde rel qui peut
aboutir sur la perte de valeurs rpublicaines essentielles comme la solidarit, la fraternit. En
effet, le cyberespace conduit un repli sur soi, propice lgocentrisme et lgosme. La
mondialisation, sous-jacente Internet, favorisera un modle no-libral prjudiciable au
civisme et au patriotisme. En outre, une exclusion du cyberespace conduira de plus en plus
une exclusion de la socit.
Autre trait caractristique de la socit venir est la recherche permanente dune forme
dinstantanit et limpatience croissante des individus. Cela engendre un relayage de plus en
plus rapides informations, qui nont plus le temps dtre correctement apprhendes et
vrifies, favorisant la dsinformation, voire la propagande et la manipulation.
Enfin, le-rputation va constituer une problmatique majeure dans les annes venir. Plutt
cantonne aux entreprises actuellement, le-rputation va impacter de plus en plus lensemble
des citoyens. Le-rputation sera longue construire et en revanche trs rapide dtruire avec
des consquences parfois vie pour les individus. De nouveaux risques pourraient devenir des
problmes de scurit publiques majeurs, par exemple, les mises au dfi via les rseaux
sociaux, le chantage par rapport la vie prive, avec des impacts pouvant tre mortels
(accidents, suicides).

5.18.

Enjeux rglementaires et juridiques

5.18.1.

Protection des mineurs

Le cyberspace constitue une zone de grand danger pour une catgorie particulire de la
population que sont les mineurs. Le phnomne est actuel et va empirer en raison de lhyperconnectivit venir et du fait que ces mineurs qui interagissent avec le cyberespace seront de
plus en plus jeunes.
version 1.1 (06/01/2015)

Page 75/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


Les mineurs sont considrs comme immatures car non conscient de certains risques. Or, le
cyberespace est le lieu de tous les dangers dans bien des domaines (accs des contenus
illicites ou interdits aux mineurs comme la pornographie ou les jeux dargents, exposition au
dtournement de mineurs et aux prdateurs en tout genre, sensibilit par rapport leurs
donnes personnelles)
Force est de constater quaujourdhui ltat ne protge pas suffisamment les mineurs. Dlguer
cette responsabilit aux parents est insuffisant, car ces derniers sont bien souvent dpasss
par les progrs de la technologie et pas toujours conscient des risques. Ltat devra jouer un
rle prpondrant dans la prvention, la rglementation et la sanction pnale.

5.18.2.

Protection de la vie prive

La protection de la vie prive est une problmatique transverse majeure qui va devenir de plus
en plus importante dans les annes venir126. Les donnes personnelles dans le cyberespace
seront en effet de plus en plus nombreuses en quantit et en diversit en raison de la
multiplication des terminaux et des applications, et de la croissance des performances rseau.
La part de donnes personnelles gnres par les objets connects sera croissante,
notamment les donnes caractre biomtrique127.
Le principe de protection de la vie prive dans les traitements informatiques a vu le jour en
France dans les annes 1970 avec notamment la cration de la CNIL. Lobjectif tait
principalement idologique et philosophique avec le refus dune forme de fichage grande
chelle, notamment par les tats. Cet objectif initial est en passe dvoluer fortement pour
plusieurs raisons :

ce sont dsormais des entreprises, multinationales et puissantes (GAFA), qui collectent


et maitrisent une grande partie des donnes personnelles des citoyens. Il est intressant
de noter que ce phnomne rcent proccupe fortement les citoyens amricains.
les donnes personnelles alimentent la cybercriminalit (usurpation didentit, chantage)
les donnes personnelles constituent de plus en plus une manne financire colossale.
En 2020, la valeur des donnes personnelles collectes en Europe pourrait atteindre
1000 milliards de dollars128.
Les consquences dune exploitation malveillante des donnes personnelles peuvent
tre catastrophiques sur les plans personnel, professionnel et financier : tre identifi sur
une photo compromettante peut briser une rputation, un couple, faire perdre un
emploi.

En matire de protection de la vie prive, les principaux enjeux apprhender sont :

le dveloppement de la golocalisation. Quelques scnarios de vulnrabilits peuvent


dores et dj tre imagins :
- un individu se rendant rgulirement dans un tablissement de sant peut
laisser penser quil souffre dun problme mdical. Cette information peut tre
exploite dfavorablement par un employeur, une assurance prvoyance/sant,
un organisme de crdit ;

126

(CNIL Innovation et Prospective : Vie prive lhorizon 2020, 2013)


(CNIL Innovation et Prospective : Le corps, nouvel objet connect, 2014)
128
(Vos donnes personnelles valent 315 milliards deuros, 2012)
127

version 1.1 (06/01/2015)

Page 76/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


-

les relations extra-conjugales peuvent tre dtectes et exploites par des tiers
des fins de chantage ou demande de ranon.

En outre, des travaux de recherche sont actuellement mens pour tablir des signatures
de parcours type et effectuer des corrlations avec dautres individus ne disposant pas
forcement dune source de donnes de golocalisation. Cela permet dtablir les
relations entre les individus et de tracer plus efficacement leurs dplacements. Dans ce
contexte, le concept de pay as you drive 129 en voie de dveloppement dans le
domaine des assurances automobile doit faire lobjet dune vigilance particulire.

les progrs de la reconnaissance faciale et ses applications, par exemple lanalyse des
motions du visage (tat physiologique, mensonge, peur, ). Avec des lunettes
connectes (type Google Glass) et une reconnaissance faciale en temps rel, il pourrait
devenir possible de scanner instantanment et son insu, le profil de nimporte quel
individu crois dans la rue, bouleversant ainsi les codes sociaux tablis. Dans le
domaine de la publicit, la reconnaissance faciale est dj utilise pour contextualiser
des messages sur des panneaux publicitaires130.
le dveloppement de la biomtrie notamment travers les objets connects (capteurs).
Ces donnes, pouvant tre caractre mdical, intressent naturellement les assureurs
par exemple. Certains assureurs peuvent mme fournir le capteur biomtrique (bracelet
connect131) en compensation dune prime dassurance moindre.
le dveloppement du Big Data . Par exemple, des requtes rcurrentes dans un
moteur de recherche sur un centre dintrt spcifique peuvent constituer une
information pouvant tre valorise. Une recherche sur une maladie ou un symptme
mdical peut galement tre exploite linsu de son auteur, et ce pendant plusieurs
dcennies.
la remise en cause de lefficacit des techniques danonymisation actuelles, notamment
face aux progrs de la r-identification132
labsence dune rglementation lchelle mondiale et linadquation des sanctions
pnales actuelles face ces nouveaux enjeux. La proportionnalit des sanctions est une
solution actuellement envisage au niveau europen133.

Au-del des problmatiques concrtes, lvolution du monde, de plus en plus numrique et


connect, amne quelques questions fondamentales :

Faut-il repenser la notion de vie prive ?


Le principe du droit loubli est-il viable techniquement et juridiquement ? Faut-il migrer
vers un droit leffacement ou au drfrencement ?
Le principe danonymat peut-il sappliquer ?
Faut-il remettre en cause le principe de libert sur Internet pour assurer davantage de
scurit ?

129

(PAYD : Pay as you drive, 2014)


(La vidosurveillance vous fait flipper ? Attendez de voir ce quon vous prpare, 2014)
131
(Axa entrouvre la porte de l'utilisation des objets connects dans l'assurance, 2014)
132
(CNIL : Le G 29 publie un avis sur les techniques danonymisation, 2014)
133
(Bruxelles veut imposer l'oubli numrique, 2012)
130

version 1.1 (06/01/2015)

Page 77/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


Il est intressant de noter que la protection de la vie prive et la gestion des donnes
personnelles deviennent des sujets trs centraux pour de nombreuses entreprises. Le principe
de privacy management fait dsormais partie de la stratgie dentreprise.

5.18.3.

Evolution du risque juridique

Aujourdhui, la loi identifie clairement les titulaires dabonnements mobile et Internet comme
responsables sur le plan juridique des infractions qui pourraient tre commises (sauf
dmontrer la responsabilit dun tiers).
A horizon 2030, cela va se complexifier dans la mesure o les individus auront de plus en de
plus de mal cerner et maitriser le parc de terminaux et dobjets connects qui sont sous leur
responsabilit. En outre, le niveau dautomatisation croissant des objets connects (ex : robots
domestiques, voiture autoguide, maison domotique) pose une problmatique majeure de
responsabilit sur le plan juridique : qui est responsable ? Le propritaire de lobjet ou son
fabricant ? Les assurances doivent tre intgrer le risque numrique ?
Dautre part, la multiplication des objets connects engendrera une multitude de sources
dinformations pouvant servir de preuve dans le cadre dune enqute judiciaire. Lintgrit de
ces informations sera cruciale dans la mesure o une falsification pourra tre utilise charge
ou dcharge. De tels scnarios existent dj, notamment avec lessor des smartphones, qui
par conception offrent des capacits de programmation trs importantes (cration de faux SMS
ou de faux emails par exemple).

5.18.4.

Harmonisation europenne

Mme sil existe de grandes directives au niveau europen, notamment dans le domaine de la
protection de la vie prive 134 , leurs dclinaisons au niveau des rglementations nationales
demeurent htrognes ; cest le cas pour les interceptions lgales par exemple. Cela concerne
aussi les rglementations fiscales qui sont trs variables selon les pays. Par exemple : des pays
comme le Luxembourg ou les Pays-Bas sont aujourdhui considrs comme des prdateurs
fiscaux135 vis--vis dautres pays europens.
Au final, chaque pays possde sa propre rglementation, ce qui place chaque tat, notamment
la France, et dans une plus large mesure lEurope, en position de faiblesse par rapport au reste
du monde et notamment face aux gants de lInternet que sont Google, Apple, Facebook,
Microsoft, Amazon

5.19.

Les freins au dveloppement dInternet

A horizon 2030, la prennit dInternet nest probablement pas remettre en cause. Toutefois,
les prochaines annes vont voir apparaitre certains freins susceptibles de remettre en cause
son dveloppement actuel, en particulier et par ordre dimportance :

134
135

La problmatique de lnergie. En effet, malgr les progrs technologiques, le


cyberespace est de plus nergivore et cette nergie risque de couter de plus en plus

(Des rgles plus strictes pour protger les donnes personnelles l're numrique, 2014)
(Vronique Cayla (Arte) prne la rsistance Google et autres prdateurs numriques, 2013)

version 1.1 (06/01/2015)

Page 78/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030

cher, gnrant ainsi des impacts sur le plan financier mais aussi cologique, et
ncessitant de revoir certains modles conomiques actuels136 ;
La problmatique des matires premires ncessaires la fabrication des terminaux et
des objets connects notamment (mtaux prcieux, terres rares), dont le cout pourrait
croitre considrablement dans les annes venir, notamment en raison de leur
rarfaction et de leur surexploitation. Exemple : le cours du Lithium, mtal utilis dans la
fabrication des batteries, a vu son prix multipli par dix entre 2003 et 2008137 ;
La problmatique de la limite physique du spectre frquentiel pour les rseaux mobiles.
En effet, une large part du spectre est actuellement utilise et il va tre de plus en plus
difficile lavenir den augmenter les performances ;
Les problmatiques de sant publique, notamment par rapport aux ventuels effets
dune exposition trop importante aux ondes lectromagntiques. Actuellement sujette
de nombreuses controverses, si un impact sur la sant humaine tait avr et
dmontr, cela pourrait avoir des rpercussions majeures sur lcosystme des rseaux
mobiles, lesquels sont aujourdhui une des pierres angulaire du cyberespace ;
Une mauvaise perception du cyberespace en termes de scurit (vie prive, fraude) par
les citoyens pourrait gnrer une perte de confiance et un rejet massif de la part dune
partie de la population ;
Lvolution des systmes de facturation pour face la surconsommation des
ressources (forfait => facturation la consommation) pourrait faire voluer fortement les
usages et potentiellement remettre en cause certains modles conomiques actuels.
Les projets de taxation sur le trafic Internet138 ou sur les donnes139 sinscrive galement
dans ce contexte ;
Le business-model actuel du tout gratuit pourrait voluer vers des services de plus
en plus payants. La contrepartie est que les utilisateurs pourraient devenir plus
exigeants en termes de qualit de service, mais aussi sur le plan de la scurit. En effet,
lorsquun service est gratuit, lutilisateur peut hsiter faire valoir ses droits, alors quen
position de client, il dispose dune lgitimit plus importante.
La fin du principe de neutralit du net140 qui, en favorisant les gros acteurs industriels au
dtriment des innovations, pourrait remettre en cause les fondements mme dInternet :
libert et galit.

Enfin, il est important de mentionner la Cyberbalkanisation141 (SplinterNet142 chez les anglosaxons) qui est une tendance croissance susceptible de mettre en pril le modle actuel
open Internet promu par les tats-Unis. De plus en plus de pays victimes de
lespionnage des Etats-Unis et nacceptant plus lhgmonie des Etats-Unis envisagent
srieusement de rtablir leur souverainet nationale vis--vis dInternet, en appliquant le
principe de la balkanisation. Des pays comme la Chine et la Core du nord ont dj
appliqu depuis longtemps ce principe, mais il sagit de pays cherchant avant tout raliser
un contrle politique sur leurs populations. La nouvelle tendance est que cela concerne
136

(Le cot cologique d'Internet, 2010)


(Le lithium en Bolivie : quels enjeux stratgiques ?, 2009)
138
(La Hongrie veut taxer l'utilisation d'Internet, 2014)
139
(Fleur Pellerin veut une taxe Internet pour 2014, 2013)
140
(Neutralit du Net, 2014)
141
(Snat : L're du soupon et les efforts de containment du risque de balkanisation du web, 2014)
142
(Wikipedia - Splinternet, 2014)
137

version 1.1 (06/01/2015)

Page 79/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


dsormais des grandes dmocraties (Allemagne143, Brsil144, Inde). La Russie145 a galement
rcemment envisag dappliquer ce principe. Diffrents degrs de balkanisation sont
possibles, ils sont illustrs dans le schma ci-aprs :

Figure 18 - Balkanisation de l'Internet (source : The Huffington Post)

Selon de nombreux acteurs du web (exemple Google 146 ), responsables politiques et


journalistes, la balkanisation de lInternet pourrait constituer une atteinte aux liberts
individuelles et tre un frein linnovation147. Il sagit mme peut-tre de la plus grande
menace venir ; certains acteurs voquant dj la mort dInternet sous sa forme actuelle148.
Lassociation Reporters sans Frontires a publi en 2014 un rapport149 sur ce quelle
considre comme les ennemis dInternet et dans lequel la balkanisation de lInternet est
clairement cible. La position de lUnion Europenne manque de clart,

143

(Europe : un pas de plus vers la balkanisation dInternet, 2014)


(Brazil plans to go offline from US-centric internet , 2013)
145
(The Balkanisation of Russias internet, 2014)
146
(Etats-Unis: l'espionnage risque de casser internet, prvient un dirigeant de Google, 2014)
147
(Rguler le Web : la trs mauvaise rponse inspire aux Etats par le scandale de la NSA, 2013)
148
(Cybercensure et balkanisation du Web, 2012)
149
(Reporters sans frontires - Les enemis d'Internet, 2014)
144

version 1.1 (06/01/2015)

Page 80/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030

6. Nouvelles mesures et dispositifs de scurit


Ce chapitre a pour objectif de prsenter des mesures et des dispositifs pouvant contribuer
amliorer la scurit du futur cyberespace, au regard des enjeux de scurit dcrits dans le
chapitre prcdent. Lobjectif est galement didentifier les challenges venir en matire de
scurit sur des sujets pour lesquels il existe un vide aujourdhui.
Les mesures prsentes sont de diffrentes natures : technique, organisationnelle,
rglementaire. Certaines mesures donnent lieu une analyse des consquences techniques,
mais galement socitales et juridiques quant leur mise en uvre. Les mesures techniques
sont transposables dans le contexte des rseaux militaires et gouvernementaux.
Les mesures de scurit prsentes sont bases sur plusieurs sources :

Le ple Recherche&Dveloppement du groupe Orange et sa veille technologique,


notamment en matire de scurit (notamment pour les mesures techniques)
La communaut expert scurit du groupe Orange qui associe le ple R&D et les
quipes oprationnelles du groupe
Des travaux de recherche documentaire spcifiques (articles/ressources Internet
principalement)

6.1. Les contre-mesures techniques


6.1.1. DNSSEC
Selon les grands acteurs dInternet, en particulier les oprateurs, lenjeu majeur dans les annes
venir sera la gnralisation de DNSSEC150 lchelle globale dInternet, qui offrira une avance
significative sur le plan de la scurit. La perception de lintrt de DNSSEC a t fortement
accrue par la rvlation de la faille Kaminsky permettant des attaques de type DNS cache
poisoning 151. Les premires implmentations DNSSEC datent dj dune dizaine dannes,
mais, ce protocole peine simposer pour plusieurs raisons (dont certaines sont communes
avec ROA/RPKI ou BGPSec). Note : lAFNIC propose un guide pour limplmentation de
DNSSEC152.
Les principaux apports de DNSSEC sont :

Lauthentification des donnes contenues dans les rponses DNS ;


Lintgrit de ces donnes (protection des enregistrements) ;
La preuve de non existence.

DNSSEC autorise galement une architecture alternative pour le stockage de certificats et


dempreintes de certificats X.509 : DANE153 (DNS-based Authentication of Named Entities) 150

(ANSSI - Architecture DNS scurise, 2011)


(Wikipedia - Empoisonnement du cache DNS, 2014)
152
(Dployer DNSSEC, comment, quoi, o ?, 2014)
153
(AFNIC - Scuriser les communications sur Internet de bout-en-bout avec le protocole DANE, 2013)
151

version 1.1 (06/01/2015)

Page 81/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


RFC 6394, RFC 6698. DNSSEC combin DANE permettrait de rpondre la crise de
confiance actuelle dans le modle PKIX, socle essentiel de la majeure partie des connexions
scurises sur Internet (SSL/TLS). Les AC (Autorits de Certification) deviennent innombrables
et plusieurs attaques ont mis en vidence les limites du modles PKIX. Avec DANE, un titulaire
de nom de domaine peut signer le certificat fourni par le serveur Web (avec la PKI DNSSEC) et
le publier dans la zone DNS du domaine, offrant ainsi au titulaire du nom de domaine la
possibilit dinformer lapplication (ex. : un navigateur web) sur les moyens de valider le certificat
provenant du serveur Web.
Toutefois ladoption de DNSSEC engendre de nouvelles problmatiques sur les plans technique
et organisationnel, qui expliquent le retard actuel en termes de dploiement :

154
155

Gouvernance et souverainet : DNSSEC introduit un tiers de confiance qui dispose dun


pouvoir trs important. Aujourdhui, lICANN, organisme sous contrle amricain, gre la
zone root154 et confie le rle dautorit de certification Verisign qui est aussi une
socit amricaine. Cela pose donc un problme de souverainet nationale, qui existe
dj aujourdhui avec DNS, mais qui va tre amplifi avec DNSSEC. Pour limiter cette
dpendance, une alternative pourrait consister dlguer le rle dautorit de
certification certains tats pour les TLD qui les concernent directement (exemple : le .fr
pour la France)
Gestion des certificats : une lacune importante de DNSSEC est labsence de rgles et
de processus universels pour la gestion des certificats et des cls associes. Cela
concerne notamment les processus de rvocation et de renouvellement des certificats.
Par exemple, la dure de validit des certificats utiliss pour DNSSEC nest aujourdhui
pas normalise pour les diffrentes zones. Ce dernier point est important car il n'est pas
possible de valider une zone protge par DNSSEC dont les certificats ont expir.
Compatibilit : Un dploiement lchelle Internet ncessite une compatibilit avec les
systmes et les standards existants, en particulier les quipements de scurit comme
les Firewall (analyse protocolaire, taille des paquets)
Ressources : Lajout dune couche cryptographique ncessite des ressources de
traitement supplmentaires, ce qui peut poser des soucis de performances sur les
quipements fortement sollicits, notamment les serveurs.
Fiabilit/Complexit : DNSSEC complexifie et centralise encore davantage larchitecture
du service DNS. Invitablement, cela fragilise la fiabilit globale du service, notamment
en raison des risques derreurs humaines induites par la gestion de la couche scurit
du DNSSEC (exemple : en 2012, une erreur de signature sur le nom de domaine de la
NASA a abouti un blocage de leur site web)155. Plus globalement, la centralisation de
la scurit au niveau des serveurs root devient critique dans la mesure o une
compromission de la cl prive pourrait engendrer un effondrement de la rsolution
DNS lchelle Internet.
impact plus lev des attaques par amplification DNS : DNSSEC peut amplifier les dnis
de service bas sur lamplification DNS. En effet, avec le DNS standard, leffet levier est
de 1 pour 20 ; avec DNSSEC, il passe 1 pour 73.

(Serveur racine du DNS, 2014)


(DNSSEC Error Caused NASA Website To Be Blocked, 2012)

version 1.1 (06/01/2015)

Page 82/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


Plus gnralement, malgr ses atouts incontestables sur le plan de la scurit, il faudra veiller
ce que la confiance accorde dans DNSSEC ne soit pas compromise par le scnario qui sest
produit avec SSL/TLS et la PKIX, savoir la multiplication anarchique des Autorits de
Certification. Aujourdhui, des socits juges comme dignes de confiance sur les plans
technique et organisationnel (ex : Verisign) permettent de garantir la chaine de confiance. Sur le
long terme, il faudra maintenir ce niveau de confiance en contrlant svrement les autorits de
certification, sans cder aux tentations conomiques qui aujourdhui posent un rel problme
avec le modle PKIX.
En termes de dploiement, limplmentation de DNSSEC est plutt timide 156 . Cela est
grandement d aux problmatiques exposes ci-dessus, mais aussi en raison du fait quaucun
pays nimpose DNSSEC. Les serveurs DNS racine, les serveurs autoritaires grant les TLD et
certains grands hbergeurs sont dj DNSSEC ready , mais lefficacit de cette mesure ne
sera rellement effective que lorsque toute la chaine de communication sera compatible (les
oprateurs, les hbergeurs, les rsolveurs DNS des serveurs et des terminaux clients). Les
oprateurs devraient notamment tre plus moteurs dans le dploiement du DNSSEC. En ralit,
il faudra probablement attendre un incident de scurit majeur lchelle mondiale pour faire
avancer les choses.

6.1.2. ROA/RPKI et BGPSEC


Sur le plan technique, les mesures suivantes sont envisages pour scuriser davantage le
protocole BGP :

La protection contre les messages malforms (fiabilisation du protocole), lorigine de


certains incidents en dni de service notamment.
La mise en uvre de solutions bases sur la cryptographie asymtrique pour
authentifier les AS oprateurs et lutter contre lusurpation de prfixes (ROA/RPKI,
BGPSec).

ROA/RPKI157, normalis par lIETF, a pour but de certifier lAS origine avec ses prfixes. Pour
cela chaque oprateur signe les annonces quil met et vrifie toutes les annonces quil reoit
(ce traitement de vrification peut tre diffr postriori pour amliorer la rapidit de
convergence du routage). La certification devrait sappuyer sur 5 RPKI racines maitrises par
les RIR Internet ; la France dpend du RIPE NCC qui gre lEurope et une partie de lAsie,
notamment le moyen Orient. Des systmes de cache peuvent tre mis en uvre au sein des
rseaux oprateurs pour optimiser le fonctionnement de RPKI. RPKI est aujourdhui en test
dans un contexte universitaire et il est dploy de manire embryonnaire chez certains
oprateurs (Orange notamment) des fins exprimentales. A noter que peu de certificats ont
t demands lheure actuelle.
BGPSec fait lobjet dun groupe de travail lIETF ; il sappuie sur RPKI et contrairement
ROA/PKI, il permet un AS de valider la conformit dun chemin dAS (attribut AS_PATH),

156

(Rsilience de lInternet franais 2.3 Taux de pntration de DNSSEC, 2013)


(RFC 6483 - Validation of Route Origination Using the Resource Certificate Public Key Infrastructure
(PKI) and Route Origin Authorizations (ROAs), 2012)
157

version 1.1 (06/01/2015)

Page 83/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


depuis lorigine jusquau voisin lui ayant transmis lannonce. BGPSEC pourrait ainsi permettre
de lutter plus efficacement contre des attaques bases sur la redirection de trafic. Remarque
importante : Mme avec une garantie complte sur chemin/routage, les attaques MITM sur les
flux client demeurent possibles sur un chemin valid. BGPSec nest pas normalis et non
implment dans les quipements actuels. A noter que cette solution est trs gourmande en
ressources dans le contexte Internet, notamment lors des phases dinitialisation des
quipements (convergence du protocole de routage).
Pour tre efficace, ces mesures techniques ncessiteraient dtre appliques par lensemble
des oprateurs, ce qui nest aujourdhui pas envisageable court termes compte-tenu des
raisons exposes au 5.12.4. Se pose galement une problmatique de gouvernance dans le
sens o les oprateurs auront moins de libert par rapport aujourdhui ; la maitrise de la
scurit tant dsormais davantage sous le contrle du responsable de la RPKI (RIPE NCC
notamment). Enfin, comme pour toute solution base sur une PKI, les problmatiques de
gestion des cls et des certificats sont apprhender (distribution, renouvellement, rvocation).
NB : Une synthse dtaille sur la scurisation de BGP a t ralise par lUniversit de
Strasbourg en 2013158. LANSSI a galement publi un rapport sur la rsilience de lInternet
Franais159, avec un chapitre complet concernant BGP.

6.1.3. Identifiant service operateur sur Internet


Les oprateurs de tlphonie mobile et fournisseurs daccs Internet disposent dun ensemble
de donnes utilisateurs ncessaires lexploitation oprationnelle de leurs rseaux : numro de
tlphone, identifiant de cellule GSM, paire de cuivre ADSL, rpartiteur DSLAM, etc. Ces
donnes, nativement fiables et rafrachies frquemment, peuvent tre rutilises des fins
dauthentification. On peut alors qualifier ces donnes d identifiants service oprateur , qui
pourront tre, indirectement et par des mcanismes danonymisation pralables, mis
disposition de fournisseurs de services tiers dsirant amliorer lidentification ou
lauthentification de leurs clients afin de scuriser les transactions en ligne ou simplifier le
parcours client. Pour ce faire, des solutions de scoring dauthentification peuvent tre
implments et renforcs avec des donnes oprateurs, dans le cadre dune dmarche RBA
(Risk Based Authentication).
Un utilisateur dispose typiquement de plusieurs contextes (medias) qui peuvent voluer : un
ordinateur fixe son domicile, un smartphone 4G dans les transports, un PC portable au
bureau, une tablette Wifi lhtel, une borne daccs laroport, etc. Chacun de ces
dispositifs est en mesure de transmettre des informations matrielles, applicatives ou oprateur
pouvant reprsenter une caractristique particulire et distinguable, qui pourra alors tre lie
un poids qui altre le coefficient de risque, ainsi qu un coefficient ventuel de fiabilit. Ces
informations qualifies pourraient ainsi tre exploites afin de participer au scoring
dauthentification des transactions et oprations en ligne.

158
159

(Universit de Strasbourg - Scuriser le routage sur Internet, 2013)


(ANSSI - Rsilience de lInternet franais, 2013)

version 1.1 (06/01/2015)

Page 84/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


Si ces principes sont techniquement simples mettre en uvre, deux obstacles potentiels sont
anticiper :

Les mthodes danonymisation doivent tre explicites et qualifies, afin de garantir que
les donnes des clients de loprateur ne sont en aucun cas transmises des tiers ;
Pour tre universelle, cette mthode dauthentification ncessite la collaboration de
lensemble des oprateurs afin de fournir a minima des moyens daccs identiques et
normaliss, et dans lidal un moyen daccs unifi multi-oprateur.

6.1.4. Authentification non observable


Confidentiel Orange (voir annexe C)

6.1.5. Nouveaux procds de supervision et de dtection par voie rseau


Les volutions rcentes et rapides du paysage de linformatique se traduisent depuis peu dans
lapparition de nouvelles manires de superviser la scurit des rseaux, laide de nouveaux
types de capteurs. Plusieurs facteurs expliquent cette volution :

Le dclin des PC au profit des terminaux mobiles va saccentuer dici 2030, tel point
que le visage classique du poste de travail dentreprise risque de se transformer en
profondeur ;
A cette transformation du parc matriel est associe la monte en puissance rapide de
lcosystme Google, travers notamment Android, qui sera le grand gagnant de la
bataille des OS que nous observons actuellement ;
Lintrication des OS avec les services Cloud sera tellement forte et transparente quil
deviendra impossible de localiser une donne ou une application sur un terminal :
messagerie, stockage, travail collaboratif vont progressivement quitter le giron de
lentreprise. Ainsi, le SI des organisations va basculer progressivement et
silencieusement vers les datacenters de grandes socits principalement amricaines ;
Les rvlations de laffaire Snowden160 donnent dj des rsultats en normalisation, o
lIETF sest donn pour mission de chiffrer intgralement les protocoles de
communication existant et venir dans les prochaines annes ;

Cette dominance dacteurs comme Google ou IBM lhorizon 2030, leur offre de valeur
sduisante comparativement aux applications sur les SI internes, leur force de frappe
normative, et lavnement dun Internet intgralement chiffr (lutilisation de SSL par dfaut en
est dores et dj le premier signe) vont progressivement rendre trs difficile la supervision de la
scurit sur un rseau dentreprise : superviser les flux internes sera trs insuffisant et la cible
primaire dune telle supervision devra tre les flux vers les services Cloud externes.
Dans le domaine des tlcommunications, cette externalisation risque de se dvelopper
rapidement avec lavnement de la 5G, travers la mutualisation complte des rseaux dans
certains pays au profit de certains constructeurs qui fourniront aux oprateurs des
infrastructures clef en main.
Ceci se traduit galement par un appauvrissement de la supervision : il est dusage
actuellement de croiser des logs provenant du rseau, des systmes et des applicatifs afin de
tirer une information multi-couches ; dans un modle o lapplication est hberge lextrieur,
seuls les logs rseau resteront la porte de lorganisation. Et encore, dans un monde
160

(Wikipedia - Rvlations d'Edward Snowden, 2013)

version 1.1 (06/01/2015)

Page 85/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


intgralement chiffr, les flux rseaux eux-mmes deviendront inaccessibles aux organisations
ne possdant pas la capacit de les dchiffrer la vole : la bonne volont de lIETF peut ainsi
moyen terme se traduire par un aveuglement des dispositifs de dtection dintrusion.
Cependant, pour une organisation qui aurait conserv la matrise des trois piliers de son SI que
sont le rseau, le systme et lapplication, la recherche scientifique apportera dici 2030 des
avances importantes en matire de corrlation dvnements multi-niveaux et de dtection
dintrusions et de fraudes complexes. En effet, le saut capacitaire reprsent par le Big Data
-- qui brise un verrou majeur de ces applications va tre suivi dun saut technologique en
matire dintelligence artificielle et de data mining , permettant ainsi une supervision
nettement plus efficace denvironnements technologiques htrognes et complexes. Les
systmes de dtection dintrusion actuels (plutt centraliss), devraient ainsi voluer vers des
systmes collaboratifs et distribus ( Distributed and Collaborative Intrusion Detection
System ).

6.1.6. Nouveaux modles de protection contre les dnis de service


La protection contre les attaques en dni de services, en particulier les DDOS, doit sappuyer
sur plusieurs piliers :

la prvention (rpartition des ressources par exemple) ;


la surveillance pour dtecter lattaque et mesurer les impacts ;
lanalyse pour comprendre et localiser lorigine de lattaque ;
la rponse (confinement de lattaque, mesures correctrices et ractives).

Il existe aujourdhui plusieurs moyens de se dfendre contre les DOS/DDOS161, notamment au


niveau rseau via les principes de Black Holing (rejet slectif du trafic en fonction des
adresses IP) et Clean Pipe (filtrage/nettoyage volu du trafic en temps rel par un tiers). Les
oprateurs Internet et les hbergeurs sont ainsi au cur de la lutte contre les dnis de service.
A plus long terme, de nouveaux modles de protection sont envisags :

La reconfiguration dynamique du rseau via SDN162 pour mettre en uvre du Black


Holing
Lutilisation du Big Data (approche collaborative entre oprateurs) pour la dtection et le
traitement des DOS/DDOS
Lexploitation du critre de golocalisation (origine des flux) pour bloquer le trafic
malveillant en provenance de sources inconnues ou suspectes
La mise en uvre de rgles de filtrage affines, notamment en termes de volumtrie, au
niveau du Backbone avec des mcanismes comme BGP Flowspecs (RFC 5575163)
La rponse offensive (interdite aujourdhui)

161

(Wikipedia : Denial-of-service attack, 2014)


(Leveraging SDN for Efficient Anomaly Detection and Mitigation on Legacy Networks, 2014)
163
(RFC 5575 : Dissemination of Flow Specification Rules, 2009)
162

version 1.1 (06/01/2015)

Page 86/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030

6.1.7. Analyse comportementale des malwares


Lanalyse des malwares constitue un enjeu quotidien pour la scurisation du cyberspace, le dfi
tant dassurer un niveau de dtection et de ractivit toujours plus lev. Dans les annes
venir, la lutte contre les malwares sera de plus en plus base sur une analyse dynamique :

tablissement de bases de signatures comportementales statistiques (exemple :


navigation sur une page web) pour dtecter des comportements dviants
isolement sur des sandbox au niveau du rseau pour analyser le comportement et les
effets potentiels dun flux rseau (le SDN prsente un fort intrt dans ce contexte).
Lide est de construire des terminaux virtuels/fictifs pour observer le comportement
dun cosystme dans la dure sans se prsenter en coupure du flux normal.

Cette analyse comportementale prsente des atouts majeurs :

elle permet de lutter contre les mcanismes d'offuscation de code mise en uvre par
les malwares
lapproche statistique rends possible lanalyse de flux chiffrs (sans avoir les dchiffrer)

6.1.8. Traabilit sur lusage des donnes


La traabilit sur lusage des donnes a notamment pour objectif de prvenir les fuites de
donnes (DLP). La finalit consiste vrifier que les donnes sont utilises conformment une
politique pralablement tablie. Les solutions techniques qui existent actuellement sont
focalises sur les donnes au niveau utilisateur ; elles combinent des mcanismes bass sur du
chiffrement asymtrique (marquage des donnes) ainsi que des outils de surveillance,
notamment la dtection dintrusion. Compte-tenu de la complexit de mise en uvre et des
contraintes dexploitation, ces solutions sont restreintes des usages spcifiques.
Dans les annes venir, les mesures assurant la traabilit des donnes seront focalises au
niveau des couches rseau. Lide est dinsrer des marqueurs dans les enttes rseau
permettant de grer la localisation des flux de donnes. Combin lusage de puce TPM dans
les quipements rseau, la finalit est de pouvoir contrler de manire certaine lorigine, la
destination et le cheminement des flux travers un rseau. Il ne sagit pour le moment que dun
concept, qui au-del des difficults techniques (modifications protocolaires), pose des
problmatiques de gouvernance et de confiance (autorit de certification) et dexploitation
(administration, gestion des alertes de supervision).

6.1.9. Rseau polymorphe (MTD : Moving Target Defence)


Confidentiel Orange (voir annexe C)

6.1.10.

Zero trust network architecture (ZTNA)

Zero Trust Network Architecture 164 (ZTNA) est un nouveau concept pour apprhender la
scurit du rseau. Il part du principe que lon ne fait pas confiance au rseau (les quipements,
les interfaces, les utilisateurs) ; tout le trafic est considr comme une menace jusqu' ce quil
soit valid et autoris. La scurit doit donc sappuyer sur une vrification systmatique et tre
164

(Le modle scurite Zro Trust - Le nouveau paradigme scurite, 2013)

version 1.1 (06/01/2015)

Page 87/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


traite au plus proche des applications. Le concept ZTNA existe depuis plusieurs annes, mais
nest pas normalis.
Les principes de mise en uvre de ZTNA sont les suivants :

Le rseau doit tre segment en zones de confiance partageant les mmes exigences
de scurit (notion de MCAP : Micro Core And Perimeter) ; les MCAP sont
interconnects via une Segmentation Gateway intgrant les fonctions de scurit
(firewall, contrle daccs chiffrement, IDS/IPS, journalisation)
Toutes les ressources sont accessibles de manire scurise indpendamment de leur
emplacement.
Le contrle daccs est appliqu de manire stricte sur la base du besoin den connaitre
(niveau de privilges minimum)
Il faut tracer et inspecter systmatiquement lensemble du trafic rseau
La scurit des rseaux doit tre gre de manire centralise (approche SDN pour la
scurit)

La philosophie de ZTNA est de construire le rseau en fonction des exigences de scurit (et
non dadapter la scurit au rseau existant). Cest pourquoi, ZTNA nest pas applicable de
manire simple aux modles de rseaux actuels. Son ventuelle mise en uvre est davantage
rechercher dans les rseaux internes supportant des applications critiques. A noter que ZTNA
ncessite des moyens techniques importants et trs performants et peut aussi se heurter des
contraintes lgales (ex : journalisation systmatique du trafic).

6.1.11.

Les rseaux quantiques

Un rseau quantique est constitu de liaisons optiques qui exploitent la proprit physique de
non-observabilit des particules lumineuses (photons) pour transmettre des secrets. Le principe
est dchanger des cls de chiffrement entre deux extrmits avec la garantie quelles ne soient
pas observes/interceptes par un tiers. Ce principe nomm QKD Quantum Key
Distribution 165, abusivement appel cryptographie quantique , permet de renouveler trs
frquemment et de manire dcorrle les cls utilises pour chiffrer les donnes.
Les Etats-Unis et plus rcemment la Chine ont engag des travaux de recherche pour le
dploiement des premiers rseaux quantiques sur leurs territoires respectifs166. La mise en
uvre de ces rseaux, usage gouvernemental, est envisage en 2016. Dans le cas de la
France, cette technologie prsenterait un intrt certain dans le domaine des rseaux militaires
stratgiques ou gouvernementaux.

6.1.12.

Chiffrement homomorphe

En matire de cryptographie, la prochaine dcennie devrait tre marque par le dveloppement


du chiffrement homomorphe167. Cette technique de chiffrement asymtrique est caractrise
par le fait quelle permet de raliser des traitements sur des donnes chiffres sans avoir les

165

(Wikipedia - Quantum key distribution, 2014)


(La Chine et les USA construisent leurs premiers rseaux quantiques, 2014)
167
(Le chiffrement homomorphe, 2014)
166

version 1.1 (06/01/2015)

Page 88/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


dchiffrer. Cela prsente donc un intrt certain dans le cyberespace, notamment pour
rpondre aux enjeux de protection des donnes personnelles.
Les applications envisages sont multiples :

Traitement anonyme de donnes personnelles dans le Cloud


Transcodage de fichiers vido et photo chiffres pour les adapter aux diffrents
terminaux dun utilisateur.
Vote lectronique (accs au rsultat global sans connaissance des votes unitaires)
Recherche de la prsence dun mot dans un texte chiffr
Anonymisation de bases de donnes (exemple : numro de carte bancaire)
Contrle dune politique de scurit sans avoir accs aux donnes

Les implmentations actuelles du chiffrement homomorphe sont encore trs lmentaires ; elles
ne permettent de raliser que des oprations simples telles que laddition ou la multiplication.
Les oprations complexes ncessitent des ressources de calcul trs leves. Globalement, le
chiffrement homomorphe est encore au stade exprimental et lenjeu venir sera de rsoudre
la problmatique des performances ncessaire ce type de chiffrement.

6.1.13.

Cloud et virtualisation

La virtualisation qui est actuellement largement implante au niveau des serveurs va stendre
au niveau du rseau via les modles SDN et NFV. La virtualisation est aujourdhui sujette de
nombreuses proccupations en termes de scurit, en particulier concernant la confidentialit
des donnes, mais aussi la rsilience.
La virtualisation est un socle essentiel des services en mode Cloud. A lheure actuelle, outre la
problmatique de la souverainet qui se pose naturellement, il faut considrer que la
technologie du Cloud nest pas mure sur le plan de la scurit. Cest pourquoi, Il existe
plusieurs programmes de recherche europens ddis au Cloud, notamment le programme
Trusted Cloud Europe 168 qui est ax spcifiquement sur la scurit et la rsilience.
Pour amliorer le niveau de scurit de la virtualisation et plus largement du cloud, plusieurs
volutions ou axes dtudes sont envisags :

Auto-stabilisation 169 : base sur une architecture rpartie de lhyperviseur de


virtualisation, lauto-stabilisation a pour objectif damliorer la rsilience des services et
le cloisonnement inter-VM. Sur le plan de la scurit, lauto-stabilisation permet de lutter
contre les dnis de service et les menaces de type Rootkit.
170
Cloud rparti : le principe consiste fragmenter les donnes, les encrypter et les
dissminer dans une multitude de serveurs localiss dans des zones gographiques
diffrentes afin dassurer une meilleure rsilience.
171
Blind Storage : permet de stocker des donnes chiffres dans un cloud, et de les
partager avec des tiers des fins de traitement, sans que ces donnes ne soient jamais

168

(Commission Europenne : Trusted Cloud Europe, 2014)


(Self-Stabilizing Virtual Machine Hypervisor Architecture for Resilient Cloud, 2014)
170
(Vifib joue la carte du cloud rparti, 2013)
171
(Dynamic Searchable Encryption via Blind Storage, 2014)
169

version 1.1 (06/01/2015)

Page 89/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030

accessibles directement en clair. Il sagit dune application de la cryptographie


homomorphique qui permet de manipuler des donnes sans les dchiffrer entirement.
Hyperviseur de confiance : plusieurs travaux de recherche sont mens pour amliorer le
niveau de scurit des hyperviseurs, notamment pour des applications
gouvernementales. La cryptographie homomorphe est un axe technique envisag, car
cela pourrait permettre de faire fonctionner des machines virtuelles sous forme chiffre.
Il existe dj des hyperviseurs de confiance, notamment dans le domaine de
lembarqu, mais ils souffrent dune limitation majeure sur le plan des performances. Un
des objectifs majeurs des travaux de recherche est donc de concilier scurit et
performances.
Contrle d'accs interoprable : lobjectif est de dvelopper un contrle daccs plus fin
et interoprable entre les diffrents fournisseurs de services Cloud. Les problmatiques
de multi-tenancy et de contrle daccs hirarchique sinscrivent galement dans ce
contexte.

Enfin, une nouvelle tendance voit le jour et est probablement vou se dvelopper dans les
annes venir : La Containerisation 172. Il sagit dun nouveau modle de virtualisation ne
faisant pas appel aux hyperviseurs classiques. A noter quun hyperviseur engendre une perte
de 3 4% des performances globales ; avec la containerisation, il ny a aucune baisse de
performances. Le principe de containerisation est aujourdhui soutenu par le projet open-source
Docker173. En termes de scurit, la containerisation est peu mature et engendrera de nouvelles
problmatiques.

6.1.14.

Suret de fonctionnement des infrastructures critiques

Le commencement de lre industriel a t accompagn dun cortge d'incidents, d'accidents


ou d'vnements catastrophiques. Le risque zro n'existe malheureusement pas pour les
activits industrielles cause de l'occurrence de dfaillances humaines ou matrielles. Pour
tenter de maitriser ces risques, des mthodes, des techniques et des outils scientifiques ont t
dvelopps ds le dbut du 20e sicle pour valuer les risques potentiels, prvoir l'occurrence
des dfaillances et tenter de minimiser les consquences des situations catastrophiques
lorsqu'elles se produisent. L'ensemble de ces dveloppements mthodologiques caractre
scientifique reprsente, la discipline de la Sret De Fonctionnement (SDF). Larrive des
technologies de linformation au sein des systmes industriels a conduit complexifier les
infrastructures industrielles. Ainsi, la SDF a d voluer: de nouveaux modles sont arrivs pour
traiter les dfaillances des systmes notamment issues des erreurs logicielles. Le concept de
faute a t introduit, ce qui permet galement de traiter une partie des risques lis la
cyberscurit (ex : erreur de dveloppement). Les concepts dattaques malveillantes et
volontaires sont toutefois trs peu pris en compte. Seuls des domaines trs critiques, tel que la
suret nuclaire, ont rellement lanc trs rcemment des initiatives pour intgrer sret et
Cyberscurit (ex : IEC 62859). Lexercice est complexe car les deux approches sont
totalement distinctes. Les processus SDF tant historiquement intgrs aux processus
industriels, il sera ncessaire de les complter pour prendre en considration la cyberscurit. Il

172
173

(Virtualization is dead, long live containerization, 2014)


(Docker, 2014)

version 1.1 (06/01/2015)

Page 90/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


serait en effet peu efficient de dcliner de nouveaux processus spcifiques la cyberscurit et
ddi au monde industriel. De fait, deux tapes majeures des processus SDF devront voluer:

La phase danalyse de risques devra prendre en compte le caractre non limit et


parfois illgitime des moyens de lattaquant. De fait, les attaques fondes sur
lexploitation non autorise des services, en se faisant passer pour une entit autorise,
devront tre traites ;
Le traitement des exigences devra galement voluer afin de ne pas sen tenir des
mthodes algbriques formelles permettant de prouver labsence de risques. La prise
en compte de critres qualitatifs devra pouvoir tre possible. Typiquement, dun point
de vue stratgie de dfense, une gouvernance devra tre mise en place afin de
permettre lintervention dentits extrieures de type tatique dans le cadre dune
infrastructure critique.

6.1.15.

Ngociation automatique des politiques de scurit

Aujourd'hui, de plus en plus d'organisations et dentreprises cooprent et se coordonnent pour


changer des donnes et des services dans des cosystmes dynamiques. Ce processus
implique un grand nombre d'acteurs que sont les clients et les fournisseurs services. Afin de
garantir la scurit, l'interoprabilit et les performances, les diffrents acteurs doivent conclure
des accords de services avec des contraintes de dlais courts.
La ngociation des politiques de scurit est un aspect important de ce processus. Lobjectif
est de parvenir automatiquement un accord mutuel sur la politique de scurit qui sera
respect et excut entre un client et un fournisseur.
Les solutions actuelles pour ngocier des politiques de scurit entre acteurs diffrents telles
que celles proposes par exemple dans WS-Trust174, reposent sur des fonctions de mise en
correspondance purement syntaxique : la ngociation choue si cette mise en correspondance
est impossible. Ds lors, sont mis en uvre des dveloppements et des processus
dintgration complexes, spcifiques, et peu volutifs, ce qui constitue subsquemment un frein
ltablissement dcosystmes larges et dynamiques.
Les futurs travaux de recherche ont pour objectif de dvelopper un modle permettant
linteroprabilit scurise de services et des changes de ressources entre services contrls
par des politiques de scurit diffrentes. Ils sont dans le prolongement de travaux antrieurs
comme le modle XeNA 175 et concerne la dfinition et la mise en uvre des protocoles
permettant aux organisations de ngocier ces politiques dinteroprabilit, ainsi que des
modles pour administrer les politiques dinteroprabilit. Lapproche envisage pour ce futur
modle repose sur une mise en correspondance smantique. Parmi les verrous identifis, il
sagira notamment de spcifier une ontologie de scurit ainsi quune logique pour comparer
les exigences de scurit ngocier. Un autre verrou est la normalisation du processus
dtablissement des contrats dinteroprabilit afin de rpondre au besoin dautomatisation de
la gnration de ces contrats.

6.1.16.

Scurit des composants logiciels et matriels

Confidentiel Orange (voir annexe C)


174
175

(Wikipedia - WS-Trust, 2014)


(XeNA: an access negotiation framework using XACML, 2014)

version 1.1 (06/01/2015)

Page 91/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030

6.2. Formation et sensibilisation


Les solutions techniques ne peuvent pas et ne pourront pas traiter elles seules les
problmatiques de cyberscurit. La formation et la sensibilisation des individus vont plus que
jamais reprsenter une dimension essentielle de la scurit du cyberespace dans les annes
venir.
En France, les aspects formation et sensibilisation la scurit et aux usages du cyberespace
sont aujourdhui largement rpandus dans les entreprises ayant une culture historique du risque
SSI. Toutefois, de nombreuses entreprises, de plus en plus cyberdpendantes, nont pas cette
culture et cest encore plus vrai avec le grand public pour lequel cela demeure encore trop
timide et retreint des prises de conscience individuelles. Dans les annes venir, ltat
franais aura donc un rle majeur jouer pour mettre en uvre une politique efficace dans ce
domaine linstar de ce qui peut exister dans le domaine de la scurit routire par exemple.
En plus des actions dj menes dans le domaine professionnel, les principaux axes de cette
politique devront concerner :

lintgration de la cyberscurit dans les cursus scolaires, depuis lcole lmentaire


jusquaux formations universitaires, notamment sur la composante comportementale ;
la ralisation de campagnes de sensibilisation rcurrentes dans les mdias avec un
focus particulier sur les responsabilits et le rle ducatif des parents ;
lintgration de modules cyberscurit obligatoires dans toutes les formations aux
mtiers de linformatique et des tlcoms. Actuellement, il sagit dune lacune majeure,
notamment dans les mtiers du dveloppement logiciel. A noter linitiative rcente
CYBEREDU176 qui vise apporter une composante cyberscurit dans les formations
suprieures en informatique en France.

6.3. Normalisation et Conformit de la cyberscurit


Normalisation et conformit de la scurit informatique sont des sujets dj maitriss par
certains secteurs dactivits sensibles et critiques (exemple : le domaine militaire, le domaine
bancaire, les oprateurs dimportance vitale). De manire gnrale, plusieurs rfrentiels
normatifs existent dj : srie ISO27K, ISO 15408 (critres communs), PCI-DSS.
A horizon 2030, ce principe de normalisation et de conformit (sous-entendu la certification
scurit) devra tre tendu sur un primtre beaucoup plus large quaujourdhui. En effet, la
cyberdpendance croissante des citoyens, notamment sur le plan conomique et social,
ncessitera une plus grande maitrise tatique de la cyberscurit.
De manire gnrale, lenjeu venir sera donc de standardiser la scurit avec des labels qui
seraient fonction du contexte dutilisation et de la rglementation sectorielle ; les objets
connects sont particulirement concerns (par exemple, il nexiste aujourdhui aucune
contrainte sur le plan de la scurit informatique pour commercialiser une webcam grand public
ou un logiciel de navigation web). La principale difficult sera probablement de dfinir des
rfrentiels et des processus de qualification communs, au niveau europen voire international.
Sur le plan europen, ne faudrait-il pas intgrer au marquage CE des exigences portant sur la
cyberscurit des produits (matriels et logiciels) ?

176

(Dmarche CyberEdu : lANSSI largit la sensibilisation la cyberscurit !, 2014)

version 1.1 (06/01/2015)

Page 92/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


Les exigences de scurit seraient essentiellement techniques (ex : algorithme de chiffrement,
taille des clefs, qualit des gnrateurs dalas), mais pourraient aussi inclure dautres notions :

la garantie sur les conditions de dveloppement logiciel (plateformes de dveloppement,


qualification et comptences des dveloppeurs)
la garantie de pouvoir disposer des mises jour de scurit sur une certaine dure et
dtre inform pro-activement de leurs disponibilits
la capacit raliser des audits de scurit

Toutefois, il sagit peut-tre dun vu pieux, car ce type de dmarche engendre des
problmatiques majeures :

des surcouts financiers importants pour la conception et la fabrication des produits


(matriels et logiciels) ;
des dlais supplmentaires dans le cycle de dveloppement des produits (phases de
qualification scurit)
un cot financier et humain pour les tats (organismes de certification et de contrle)
le caractre obligatoire ou optionnel/informationnel des labels ?
le cas particulier des produits open-source (absence de responsables) ?

Bref, cela constitue potentiellement un frein linnovation et au dveloppement conomique et


certains acteurs du monde numrique sen inquitent dj177.

6.4. Stratgique et lgislatif


6.4.1. Cyber-stratgie
Les tats devront jouer un rle important dans la rgulation et la gouvernance du futur
cyberespace au risque de laisser croitre la cybercriminalit et la cyber-inscurit. Dans le futur,
le rle protecteur de ltat franais envers ses citoyens dans le monde rel devra tre renforc
dans le monde virtuel que constitue le cyberespace ; en effet, beaucoup de citoyens subissent
la menace cyber, sont livrs eux-mmes et nont pas le temps ni les comptences
ncessaires pour se dfendre.
En outre, la France et plus largement lEurope doivent recouvrer davantage de souverainet
quactuellement sur le cyberespace. Le rapport France numrique 2012-2020178 prconise ainsi
de faire merger une gouvernance europenne et internationale de lInternet, pour la rendre
moins dpendante des Etats-Unis (cf. page 66 du rapport). Louverture rcente de lICANN179
pour le contrle du DNS est une tape importante de ce processus dinternationalisation de la
gouvernance dInternet. Dans le domaine de la cyberscurit, il est important de mener une
politique de reconqute industrielle, notamment sur les produits de scurit, comme le
prconise le plan 33 cyberscurit 180 soutenu par le gouvernement franais.

177

(Cyberscurit : frictions entre lEtat et le monde numrique, 2014)


(France numrique 2012-2020 / Bilan et Perspectives, MINEFI, 2011)
179
(ICANN : les USA renoncent au contrle du DNS racine, 2014)
180
(AFDEL - Livre blanc Filire cyber-scurit en France , 2014)
178

version 1.1 (06/01/2015)

Page 93/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030

A horizon 2030, la cyber-stratgie visant assurer davantage de souverainet numrique


devrait tre majoritairement tablie au niveau Europen. En effet, lUnion Europenne dispose
dun poids et datouts importants sur la scne internationale :

elle est lune des premires puissances conomiques mondiales


son march intrieur (cyberconomie) est trs important
elle concentre 7 des 10 plus gros nuds de transit Internet lchelle mondiale
elle est une zone de transit majeure vers dautres continents (en particulier lAfrique)

Figure 19 - rpartition du trafic Internet mondial en 2012 (source TeleGeography

181

Toutefois, les institutions europennes souffrent de plusieurs points faibles qui, aujourdhui, ne
favorisent pas lmergence dune cyber-stratgie commune :

181

par nature, il y a des diffrences culturelles et conomiques


il existe des rapports de force internes et une comptition conomique entre les pays
(sur le plan fiscal par exemple)
il ny a pas de volont politique effective au niveau de lUE ; la tendance est plutt de
prner un libralisme conomique semblable celui des Etats-Unis.
LUE est trop bureaucratique (multiples organismes), ce qui complexifie et ralentit les
prises de dcisions

(Global Internet Map 2012, 2012)

version 1.1 (06/01/2015)

Page 94/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030

la base industrielle dans le domaine numrique est en dcroissance et loin derrire celle
des autres grandes puissances que sont les Etats-Unis et la Chine

En conclusion, il ne pas attendre pendant des annes une Europe qui a du mal se dcider. A
linstar de lAllemagne 182 , la France devrait prendre linitiative dassurer sa souverainet
numrique au niveau national avec la collaboration ventuelle dautres pays partenaires. Une
relle politique industrielle dans le domaine du numrique est le socle de cette souverainet ;
elle doit porter en priorit sur le matriel (micro-lectronique), le logiciel, les oprateurs
tlcoms, les fournisseurs de services (ex : le Cloud Souverain).

6.4.2. Balkanisation
La cyber-balkanisation est un concept de plus en plus voqu, et parfois mis en uvre par
certains tats (cf. 5.19). Le concept est encore flou, mais son but principal est de fournir un
tat les moyens lui permettant de maitriser la souverainet et la scurit de lInternet sur son
territoire. Plusieurs leviers peuvent tre utiliss :

Le cloisonnement permable : segmentation du rseau associ un filtrage


priphrique (notion de frontire numrique)
La gouvernance des services critiques (exemples : DNS, BGP)
La maitrise dautorits de certification (X.509)
la lablisation/certification des matriels, des logiciels, des services
La localisation des services et des donnes

A horizon 2030, il serait ainsi possible dimaginer plusieurs cyber-bulles avec diffrents niveaux
de confiance lchelle nationale ou europenne. Ces diffrents rseaux seraient tablis en
fonction du contexte et de lusage, par exemple :

les systmes industriels (exemple : les voitures connectes), les infrastructures critiques
le e-commerce et le monde bancaire
ladministratif/gouvernemental
lInternet ouvert (libre)

Une telle approche gnre toutefois des problmatiques majeures:

182

Comment transposer ce principe de cloisonnement au niveau des terminaux sans


compromettre la scurit multi-niveaux ? (la virtualisation, le SaaS sont des axes de
solution)
Cela ncessite la mise en uvre de passerelles pour changer des informations entre
les diffrents niveaux, notamment vers lInternet ouvert ( Open Internet )
Le cout matriel et humain, potentiellement trs lev, est-il supportable par ltat
franais, lUE ?
Cela peut aggraver certains risques (perte de comptitivit de lindustrie nationale,
isolement sur le plan international, frein linnovation, mouvements sociaux en raison de
latteinte potentielle aux liberts individuelles)

(LAllemagne veut renforcer sa souverainet numrique, 2014)

version 1.1 (06/01/2015)

Page 95/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


A plus court terme, la France pourrait commencer par constituer un rseau ddi aux OIV avec
des contraintes de scurit fortes, afin dassurer rsilience et souverainet. Sur ce rseau, des
mesures telles que DNSSec et RPKI/BGPSec seraient obligatoires par exemple. Des autorits
de certification (X.509) seraient mises disposition ou contrles par des organismes tatiques.
La certification des matriels et logiciels serait galement un pilier important. Compte-tenu du
dveloppement des objets connects, notamment dans le secteur industriel, un tel rseau
devrait galement inclure la composante mobile (LTE/5G). En Europe, le projet Clean Pipe 183
entam par lAllemagne semble tre le plus avanc dans ce domaine.
Il est intressant de noter que la Chine applique depuis des annes certaines contraintes de
cloisonnement et de scurit trs fortes (filtrage des flux, contrle de la localisation, contrle des
autorits de certification, restrictions sur le chiffrement des flux) ; et cela nempche pas la
Chine dinnover et de concurrencer les Etats-Unis (exemples : Allibaba, Baidu).

6.4.3. La localisation des services et des donnes


La localisation des services et des donnes est fondamentale pour assurer la souverainet
numrique dune nation et garantir le respect de la loi sur un territoire donn (rglementation
relative la vie prive et aux donnes personnelles, fiscalit).
LUnion Europenne, en particulier la France, est aujourdhui victime dune vasion grande
chelle des donnes personnelles (et professionnelles) vers des pays o sa juridiction ne
sapplique pas pleinement 184 . Cest pourquoi, horizon 2030, lchelle nationale et
europenne, il faudra clairement se poser la question de la relocalisation physique de certaines
donnes et services (Datacenters) sur les territoires europens. Les initiatives de cloud
souverain lances en France (exemple : Cloudwatt185) constituent une premire tape vers ce
recouvrement de souverainet. Des pays comme la Russie sont dj plus avancs en projetant
de rendre obligatoire dici 2016, le stockage de lensemble des donnes personnelles de ses
concitoyens sur le territoire russe186.

6.4.4. Evolution de la rglementation et de la fiscalit


A linstar de ce qui existe dj dans certains secteurs fortement rglements comme lindustrie
automobile ou le transport arien, il devient important de disposer dune rglementation efficace
et cohrente au sein du cyberespace. Pour protger les citoyens, les entreprises mais aussi
ltat, de nouvelles mesures rglementaires sont voques :

Autoriser la scurit offensive (actuellement seule la scurit dfensive est autorise sur
le plan juridique)
Rguler des solutions de chiffrement en fonction de lusage et du contexte (puissance
des algorithmes cryptographiques, squestre ou droit daccs tatique aux cls de
chiffrement)
Lgifrer sur les usages BYOD

183

(Clean Pipe : le bouclier anti NSA de Deutsche Telekom, sera finalis pour 2016, 2014)
(L'Union europenne, colonie du monde numrique ?, 2014)
185
(Cloud souverain : cloudwatt, 2014)
186
(Donnes personnelles : la Russie veut forcer la main des gants du Net, 2014)
184

version 1.1 (06/01/2015)

Page 96/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030

Renforcer les obligations en matire de protection de la vie prive


(labellisation/certification des services, notion de privacy management au sein des
entreprises, principe de container scuris et maitris par les individus)
Revoir la fiscalit du numrique 187 . Exemple : Instauration dune data-taxe 188 (digidouane) sur les donnes personnelles transitant hors de lUnion Europenne.
Imposer la domiciliation des entreprises numriques en Europe

Ces volutions rglementaires, idalement ralises au niveau Europen (voire international)


devront tre accompagnes doutils de prvention et de rpression efficaces, notamment en
termes de sanctions pnales. Cela sous-entend des moyens matriels et humains adapts.

6.4.5. Lutte contre la cybercriminalit


La lutte contre la cybercriminalit est en volution permanente ; elle doit notamment sadapter
aux nouvelles techniques et mthodes mises en uvre pour commettre les crimes et dlits. En
France, un rapport produit en 2014 par un groupe de travail interministriel189 identifie un certain
nombre de mesures et recommandations pour garantir lefficacit de la lutte contre la
cybercriminalit sur le long terme et la protection du citoyen franais dans le cyberespace. Les
recommandations ont principalement pour objectif de fournir une rponse rpressive plus
efficace et mieux adapte aux nouvelles mthodes des cyber-dlinquants, tout en respectant
les exigences lies la protection des liberts fondamentales.
Les grands axes sont les suivants :

Le dveloppement de la coopration internationale, notamment par la mise en uvre de


procdures et dispositifs communs. Cela ncessite au pralable, la dfinition daccords
internationaux, linstar de la convention qui existe dj au niveau europen190 ;
Une politique pnale plus rpressive et adapte lcosystme actuel de la cyberdlinquance et plus globalement de la cybercriminalit ;
Une politique de prvention et de formation (entreprises, particuliers, tudiants ). Le
projet CYBEREDU191 de lANSSI qui propose des formations en cyberscurit pour les
tudiants des mtiers de linformatique sinscrit dans ce contexte ;
Une coopration accrue entre les acteurs concerns (acteurs tatiques, fournisseurs de
services, oprateurs de tlcommunications, dveloppeurs logiciels, universits). Cela
comprend davantage de communication et de transparence entre ces acteurs,
notamment par rapport aux incidents de scurit rencontrs. Lassociation franaise
CECYF192, cre en 2014, uvre en ce sens ;
Des moyens techniques et humains adapts. Cela passe notamment par des outils
d'analyse forensique efficaces et performants. Pour renforcer les moyens tatiques, la
labellisation Forensique dentreprises du secteur priv est une piste envisage.

187

(Minefi - Mission dexpertise sur la fiscalit de lconomie numrique, 2013)


(L'Internet industriel, Pierre BELLANGER, 2013)
189
(Protger les INTERNAUTES - Rapport sur la cybercriminalit, 2014)
190
(Conseil de l'Europe - Convention sur la cybercriminalit, 2001)
191
(ANSSI - CYBEREDU, 2014)
192
(CECYF - Centre Expert contre la Cybercriminalit Franais, 2014)
188

version 1.1 (06/01/2015)

Page 97/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030

A. Annexe - Rfrences
Ces sources ont t utilises pour la ralisation de ltude.
The Little Black Book of Computer Viruses - Mark A. Ludwig. (1991). Rcupr sur
http://www.cin.ufpe.br/~mwsa/arquivos/THE_LITTLE_BLACK__BOOK_OF_C.PDF
BCP 38 - Network Ingress Filtering : Defeating Denial of Service Attacks which employ IP
Source Address Spoofing. (2000). Rcupr sur http://tools.ietf.org/html/bcp38
Conseil de l'Europe - Convention sur la cybercriminalit. (2001). Rcupr sur http://www.droittechnologie.org/upload/legislation/doc/82-1.pdf
IETF - SMTP Service Extension for Secure SMTP over Transport Layer Security . (2002).
Rcupr sur https://tools.ietf.org/html/rfc3207
IETF Opsec Working Group. (2004). Rcupr sur https://tools.ietf.org/wg/opsec/
A

Border Gateway Protocol 4 (BGP-4)


http://tools.ietf.org/html/rfc4271

RFC4271.

(2006).

Rcupr

sur

BGP Best Practices. (2006). Rcupr sur http://www.ripe.net/ripe/meetings/regionalmeetings/manama-2006/BGPBCP.pdf


ANSSI

CERT-FR
Du
bon
usage
du
DNS.
http://www.cert.ssi.gouv.fr/site/CERTA-2008-INF-002/

(2008).

Rcupr

sur

Attaques en DDoS : De l'Estonie la Gorgie. (2008). Rcupr sur http://www.orangebusiness.com/fr/blogs/securite/securite-des-reseaux/attaques-en-ddos-de-lestonie-ala-georgie/


DNS

Le

: types dattaques et techniques de scurisation. (2009). Rcupr


http://www.afnic.fr/medias/documents/afnic-dossier-dns-attaques-securite-200906.pdf

sur

lithium en Bolivie : quels enjeux stratgiques ? (2009). Rcupr


http://www.infoguerre.fr/matrices-strategiques/lithium-bolivie-strategie-energie/

sur

RFC

5575 : Dissemination of Flow


http://www.ietf.org/rfc/rfc5575.txt

Specification

Rules.

Le

cot
cologique
d'Internet.
(2010).
Rcupr
http://www.pourlascience.fr/ewb_pages/a/article-le-cout-ecologique-d-internet24104.php

sur

ANSSI

Architecture
DNS
scurise.
(2011).
Rcupr
https://www.sstic.org/media/SSTIC2011/SSTICactes/architecture_dns_scurise/SSTIC2011-Article-architecture_dns_scurisevaladon_perez.pdf

sur

(2009).

Rcupr

sur

Certificats SSL frauduleux et piratage dautorits de certification : dcryptage. (2011). Rcupr


sur http://www.zdnet.fr/actualites/certificats-ssl-frauduleux-et-piratage-d-autorites-decertification-decryptage-39763617.htm
Courbes elliptiques : un nouveau virage pour le chiffrement. (2011). Rcupr sur
http://www.01net.com/editorial/143980/courbes-elliptiques-un-nouveau-virage-pour-lechiffrement/

version 1.1 (06/01/2015)

Page 98/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


Des certificats SSL frauduleux de Comodo autorisent des attaques contre les Webmails. (2011).
Rcupr sur http://www.zdnet.fr/actualites/des-certificats-ssl-frauduleux-de-comodoautorisent-des-attaques-contre-les-webmails-39759360.htm
France numrique 2012-2020 / Bilan et Perspectives, MINEFI. (2011). Rcupr sur
http://www.entreprises.gouv.fr/secteurs-professionnels/plan-france-numerique-20122020-bilan-et-perspectives-novembre-2011
Hack de pompe insuline. (2011). Rcupr sur http://korben.info/medtronic-hack.html
Plus de 500 certificats SSL drobs une autorit de certification. (2011). Rcupr sur
http://www.zdnet.fr/actualites/plus-de-500-certificats-ssl-derobes-a-une-autorite-decertification-39763572.htm
Apple prt collaborer avec les oprateurs sur une mini carte SIM. (2012). Rcupr sur
http://www.latribune.fr/technos-medias/electronique/20110520trib000623193/applepret-a-collaborer-avec-les-operateurs-sur-une-mini-carte-sim.html
Bruxelles
veut
imposer
l'oubli
numrique.
(2012).
Rcupr
sur
http://www.lemonde.fr/technologies/article/2012/01/25/bruxelles-veut-imposer-l-oublinumerique_1634487_651865.html
CSA

- Les Franais et la criminalit identitaire.


(2012).
Rcupr
sur
http://www.csa.eu/multimedia/data/sondages/data2012/opi20120830-Les-francais-etla-criminalite-identitaire.pdf

Cybercensure et balkanisation du Web. (2012). Rcupr sur http://www.ina-expert.com/edossier-de-l-audiovisuel-journalisme-internet-libertes/cybercensure-et-balkanisation-duweb.html


DNSSEC Error Caused NASA Website To Be Blocked. (2012). Rcupr
http://www.darkreading.com/risk/dnssec-error-caused-nasa-website-to-beblocked/d/d-id/1136990?

sur

Global

Internet
Map
2012.
(2012).
Rcupr
sur
https://www.telegeography.com/assets/website/images/maps/global-internet-map2012/global-internet-map-2012-x.png

HSBC

vise
par
des
hackers

justiciers
.
(2012).
Rcupr
http://maviemonargent.info/2012/hsbc-visee-par-des-hackers-justiciers

L'antivirus, technologie bout de souffle ? (2012). Rcupr sur


xpertsolutions.com/e-news/lantivirus-technologie-a-bout-de-souffle

sur

http://www.e-

National Intelligence Council : Global Trends 2030: Alternative Worlds - page 86. (2012).
Rcupr sur http://globaltrends2030.files.wordpress.com/2012/11/global-trends2030-november2012.pdf
Panne gante d'Orange : les dessous techniques de l'incident. (2012). Rcupr sur
http://www.journaldunet.com/solutions/securite/panne-d-orange-l-explicationtechnique-0712.shtml
RFC 6483 - Validation of Route Origination Using the Resource Certificate Public Key
Infrastructure (PKI) and Route Origin Authorizations (ROAs). (2012). Rcupr sur
http://tools.ietf.org/html/rfc6483
The Digital Universe in 2020 : BigData, Bigger Digital Shadows and Biggest Growth in the Far
East - United States. (2012). Rcupr sur http://www.emc.com/collateral/analystreports/idc-digital-universe-united-states.pdf

version 1.1 (06/01/2015)

Page 99/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


Un appareil qui intercepte les informations transitant via la fibre optique. (2012). Rcupr sur
http://www.agenceecofin.com/securite/2412-8175-un-appareil-qui-intercepte-lesinformations-transitant-via-la-fibre-optique
Vos

donnes personnelles valent 315 milliards deuros. (2012). Rcupr


http://www.01net.com/editorial/579867/vos-donnees-personnelles-valent-315milliards-d-euros/

80

sur

milliards
d'objets
connects
en
2020.
(2013).
Rcupr
sur
http://www.zdnet.fr/actualites/80-milliards-d-objets-connectes-en-2020-39793776.htm

AFNIC - Scuriser les communications sur Internet de bout-en-bout avec le protocole DANE.
(2013).
Rcupr
sur
http://www.afnic.fr/medias/documents/Dossiers_pour_breves_et_CP/dossierthematique12_VF1.pdf
Alert (TA13-088A) - DNS Amplification Attacks. (2013). Rcupr sur https://www.uscert.gov/ncas/alerts/TA13-088A
ANSSI - Influence des bonnes pratiques sur les incidents (4). (2013). Rcupr sur
http://www.ssi.gouv.fr/IMG/pdf/Influence_des_bonnes_pratiques_sur_les_influences_B
GP_article.pdf
ANSSI

Rsilience
de
lInternet
franais.
(2013).
http://www.ssi.gouv.fr/IMG/pdf/Rapport_Observatoire_2013.pdf

Brazil

plans to go offline from US-centric internet . (2013). Rcupr


http://www.thehindu.com/news/international/world/brazil-plans-to-go-offline-fromuscentric-internet/article5137689.ece

Rcupr

sur
sur

CNIL Innovation et Prospective : Vie prive lhorizon 2020. (2013). Rcupr sur
http://www.cnil.fr/fileadmin/documents/La_CNIL/publications/DEIP/CNILCAHIERS_IPn1.pdf
Darknet, un internet clandestin porte de clics. (2013). Rcupr sur http://ecsparis.com/blogs/digicom-2012/actus-2-0/darknet-internet-clandestin-a-portee-de-clics
Espionnage : pour casser les clefs de chiffrement, la NSA a d tricher. (2013). Rcupr sur
http://www.lemonde.fr/technologies/article/2013/09/06/pour-casser-les-clefs-dechiffrement-la-nsa-a-du-tricher_3472728_651865.html
Fleur

Pellerin veut une taxe Internet pour 2014.


(2013).
Rcupr
sur
http://www.irma.asso.fr/Fleur-Pellerin-veut-une-taxe
General Electric : INDUSTRIAL INTERNET - A European Perspective - Pushing the Boundaries
of
Minds
and
Machines.
(2013).
Rcupr
sur
http://www.ge.com/europe/downloads/IndustrialInternet_AEuropeanPerspective.pdf
Information-Centric Networking Research Group. (2013). Rcupr sur https://irtf.org/icnrg
La dynamique dinternet - Prospective 2030, Tlcom ParisTech. (2013). Rcupr sur
http://www.strategie.gouv.fr/publications/dynamique-dinternet-prospective-2030
Le dfibrillateur de Dick Cheney modifi par crainte dun assassinat par piratage. (2013).
Rcupr sur http://www.lequotidiendumedecin.fr/actualite/international/le-defibrillateurde-dick-cheney-modifie-par-crainte-d-un-assassinat-par-pir
Le modle scurite Zro Trust - Le nouveau paradigme scurite. (2013). Rcupr sur
http://www.e-xpertsolutions.com/e-news/le-modele-securite-zero-trust-le-nouveauparadigme-securite

version 1.1 (06/01/2015)

Page 100/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


Les cbles sous-marins, cl de vote de la cybersurveillance. (2013). Rcupr sur
http://www.lemonde.fr/technologies/article/2013/08/23/les-cables-sous-marins-cle-devoute-de-la-cybersurveillance_3465101_651865.html
Les oprateurs mobiles avalisent la spcification Embedded SIM ddie au march M2M.
(2013). Rcupr sur http://www.lembarque.com/les-operateurs-mobiles-avalisent-laspecification-embedded-sim-dediee-au-marche-m2m_001439
L'Internet
industriel,
Pierre
BELLANGER.
(2013).
http://cast.skyrock.net/pierrebellanger/L_Internet_industriel.pdf

Rcupr

sur

M2M et e-Sant : la mdecine de demain. (2013). Rcupr sur http://www.orangebusiness.com/fr/blogs/usages-dentreprise/machine-to-machine/m2m-et-e-sante-lamedecine-de-demain


Minefi - Mission dexpertise sur la fiscalit de lconomie numrique. (2013). Rcupr sur
http://www.economie.gouv.fr/files/rapport-fiscalite-du-numerique_2013.pdf
Public

Key Pinning for TLS.


2013/p56/report.pdf

(2013).

Rcupr

sur

http://www.delaat.net/rp/2012-

Rguler le Web : la trs mauvaise rponse inspire aux Etats par le scandale de la NSA. (2013).
Rcupr sur http://www.atlantico.fr/decryptage/reguler-web-tres-mauvaise-reponseinspiree-aux-etats-scandale-nsa-erwan-noan-904971.html
Rsilience de lInternet franais 2.3 Taux de pntration de DNSSEC. (2013). Rcupr sur
http://www.ssi.gouv.fr/IMG/pdf/Rapport_Observatoire_2013.pdf
Scurit informatique : ces nouveaux dangers qui guettent nos entreprises. (2013). Rcupr
sur
http://business.lesechos.fr/directions-numeriques/0202902365881-securiteinformatique-ces-nouveaux-dangers-qui-guettent-nos-entreprises-8094.php
SKYPE

The

refuse de se dclarer en tant qu'oprateur. (2013). Rcupr sur


http://www.arcep.fr/index.php?id=8571&L=0&tx_gsactualite_pi1[uid]=1593&cHash=77
6a7927e2d50b767ddd1ca984967194http://www.latribune.fr/technosmedias/telecoms/20130312trib000753595/pour-l-arcep-skype-est-un-operateurtelephonique-la-justice-est-saisie.html

New Threat: Targeted Internet Traffic Misdirection.


http://www.renesys.com/2013/11/mitm-internet-hijacking/

(2013).

Rcupr

sur

Une norme faille de lInternet permet de dtourner du trafic volont. (2013). Rcupr sur
http://www.lerefugeinformatique.fr/?p=58
Universit Amsterdam - Public Key Pinning for TLS Using a Trust on First Use Model. (2013).
Rcupr sur http://www.delaat.net/rp/2012-2013/p56/report.pdf
Universit de Strasbourg - Scuriser le routage sur Internet. (2013). Rcupr sur
http://www.guiguishow.info/wp-content/uploads/2013/09/RPKI-ROA/Rapport/Rapportsecuriser-routage-internet.pdf
Vronique Cayla (Arte) prne la rsistance Google et autres prdateurs numriques. (2013).
Rcupr sur http://www.afp.com/fr/node/2762525/
Vifib joue la carte du cloud rparti. (2013). Rcupr sur http://business.lesechos.fr/directionsnumeriques/vifib-joue-la-carte-du-cloud-reparti-5936.php
Wikipedia
IP
Multimedia
Subsystem.
http://fr.wikipedia.org/wiki/IP_Multimedia_Subsystem

version 1.1 (06/01/2015)

(2013).

Rcupr

Page 101/113

sur

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


Wikipedia
Rvlations
d'Edward
Snowden.
(2013).
Rcupr
http://fr.wikipedia.org/wiki/R%C3%A9v%C3%A9lations_d%27Edward_Snowden

sur

4G white-spaces. (2014). Rcupr sur http://4g-portal.com/tag/white-spaces


5G PPP. (2014). Rcupr sur http://5g-ppp.eu/
AFDEL - Livre blanc Filire cyber-scurit en France . (2014). Rcupr sur
http://www.afdel.fr/actualites/categorie/actualite-afdel/article/livre-blanc-filiere-cybersecurite-en-france-l-afdel-appelle-les-pouvoirs-publics-a-ne-pas-tourner-le-dos-auxforces-du-marche
Alerte

aux
cyberattaques
sur
les
marchs.
(2014).
Rcupr
sur
http://www.lesechos.fr/journal20140826/lec2_finance_et_marches/0203722357562alerte-aux-cyberattaques-sur-les-marches-1035930.php

ANSSI - Analyse de la scurit des modems des terminaux mobiles. (2014). Rcupr sur
http://www.ssi.gouv.fr/IMG/pdf/Benoit_Michau__Securite_des_modems_des_terminaux_mobiles.pdf
ANSSI - CYBEREDU. (2014). Rcupr sur http://www.ssi.gouv.fr/fr/menu/actualites/colloquecyberedu-de-l-anssi-18-au-20-novembre-2014-a-paris.html
ANSSI - Rfrentiel Gnral de Scurit v2.0 - Annexe B1 - Rgles et recommandations
concernant le choix et le dimensionnement des mcanismes cryptographiques. (2014).
Rcupr sur http://www.ssi.gouv.fr/IMG/pdf/RGS_v-2-0_B1.pdf
Apple Can't And Won't Provide Access To iPhone Data To Authorities, Even With A Warrant.
(2014). Rcupr sur http://www.ibtimes.com/apple-cant-wont-provide-access-iphonedata-authorities-even-warrant-1691221
Aprs Target : un nouveau malware cible les lignes de caisses. (2014). Rcupr sur
http://www.silicon.fr/securite-malware-backoff-ups-caisses-cartes-96214.html
Attaque DDoS de 400 Gbits/s avec amplification NTP : terrifiante de simplicit. (2014).
Rcupr sur http://www.viruslist.com/fr/news?id=197471133
Attaques
DNS
:
Connatre
son
ennemi.
(2014).
Rcupr
http://pro.01net.com/editorial/625164/attaques-dns-connaitre-son-ennemi/

sur

Axa entrouvre la porte de l'utilisation des objets connects dans l'assurance. (2014). Rcupr
sur http://www.usine-digitale.fr/article/axa-entrouvre-la-porte-de-l-utilisation-des-objetsconnectes-dans-l-assurance.N266435
BGP in 2013 - The Churn Report . (2014). Rcupr sur http://www.potaroo.net/ispcol/201402/upds.html
CECYF - Centre Expert contre la Cybercriminalit Franais.
http://www.cecyf.fr/

(2014).

Rcupr

sur

Cisco Visual Networking Index: Global Mobile Data Traffic Forecast Update, 20132018. (2014).
Rcupr sur http://www.cisco.com/c/en/us/solutions/collateral/service-provider/visualnetworking-index-vni/white_paper_c11-520862.html
Clean Pipe : le bouclier anti NSA de Deutsche Telekom, sera finalis pour 2016. (2014).
Rcupr sur http://www.silicon.fr/clean-pipe-bouclier-numerique-deutsche-telekomfinalise-2016-91976.html
Cloud souverain : cloudwatt. (2014). Rcupr sur https://www.cloudwatt.com/fr/

version 1.1 (06/01/2015)

Page 102/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


CNIL : Le G 29 publie un avis sur les techniques danonymisation. (2014). Rcupr sur
http://www.cnil.fr/linstitution/actualite/article/article/le-g-29-publie-un-avis-sur-lestechniques-danonymisation/
CNIL Innovation et Prospective : Intimit et vie prive du travailleur connect : BYOD, capteurs,
scurit.
(2014).
Rcupr
sur
http://www.cnil.fr/fileadmin/documents/La_CNIL/publications/DEIP/Lettre_IP_n___7___I
ntimite_et_vie_privee_du_travailleur_connecte.pdf
CNIL Innovation et Prospective : Le corps, nouvel objet connect. (2014). Rcupr sur
http://www.cnil.fr/fileadmin/documents/La_CNIL/publications/DEIP/CNIL_CAHIERS_IP2
_WEB.pdf
Commission
Europenne
:
Trusted
Cloud
Europe.
(2014).
Rcupr
sur
http://ec.europa.eu/information_society/newsroom/cf/dae/document.cfm?doc_id=4935
Cryptographie et objets connects font ils bon mnage ? . (2014). Rcupr sur
http://www.orange-business.com/fr/blogs/securite/securite-applicative/cryptographieet-objets-connectes-font-ils-bon-menageCyberscurit : frictions entre lEtat et le monde numrique. (2014). Rcupr sur
http://www.lesechos.fr/tech-medias/hightech/0203969133313-cybersecurite-frictionsentre-letat-et-le-monde-numerique-1068536.php
DDoS et smartphones : rien ne sera plus jamais comme avant. (2014). Rcupr sur
http://www.orange-business.com/fr/blogs/securite/mobilite/quand-la-technologie-semet-au-service-des-hackers
Dmarche CyberEdu : lANSSI largit la sensibilisation la cyberscurit ! (2014). Rcupr sur
http://www.ssi.gouv.fr/fr/menu/actualites/demarche-cyberedu-l-anssi-elargit-lasensibilisation-a-la-cybersecurite.html
Dployer
DNSSEC,
comment,
quoi,
o
?
(2014).
Rcupr
http://www.afnic.fr/medias/documents/DNSSEC/afnic-dnssec-howto-fr-v2.pdf
Des

sur

armes feu compatibles avec les Google Glass. (2014). Rcupr sur
http://www.lesechos.fr/05/06/2014/lesechos.fr/0203545375739_des-armes-a-feucompatibles-avec-les-google-glass.htm

Des rgles plus strictes pour protger les donnes personnelles l're numrique. (2014).
Rcupr
sur
http://www.europarl.europa.eu/news/fr/newsroom/content/20140307ipr38204/html
Des

trous de scurit trouvs dans 14 antivirus. (2014).


http://www.silicon.fr/trous-securite-trouves-14-antivirus-95880.html

Rcupr

sur

Devenu

trop grand, Internet a subi des perturbations. (2014). Rcupr


http://www.lemonde.fr/pixels/article/2014/08/15/devenu-trop-grand-internet-esttombe-en-panne_4472153_4408996.html

sur

Digital

Life in 2025 - Cyber Attacks likely to Increase. (2014). Rcupr


http://www.pewinternet.org/files/2014/10/PI_FutureofCyberattacks_1029141.pdf

sur

Docker. (2014). Rcupr sur https://www.docker.com/whatisdocker/


Donnes personnelles : la Russie veut forcer la main des gants du Net. (2014). Rcupr sur
http://www.lefigaro.fr/secteur/high-tech/2014/07/07/01007-20140707ARTFIG00234donnees-personnelles-la-russie-veut-forcer-la-main-des-geants-du-net.php

version 1.1 (06/01/2015)

Page 103/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


Dragonfly : aprs Stuxnet, nouvelle attaque russie contre les systmes Scada. (2014).
Rcupr sur http://www.silicon.fr/apres-stuxnet-nouvelle-attaque-reussie-contre-lessystemes-scada-95359.html
DSI

:
prparez-vous
contre
les
Cyber-attaques.
(2014).
Rcupr
sur
http://www2.deloitte.com/fr/fr/pages/presse/2014/dsi-preparez-vous-contre-les-cyberattaques.html

Dynamic
Searchable
Encryption
via
https://eprint.iacr.org/2014/219.pdf

Blind

Storage.

(2014).

Rcupr

sur

EC3 : the 2014 Internet Organised Crime Threat Assessment (iOCTA). (2014). Rcupr sur
https://www.europol.europa.eu/iocta/2014/toc.html
Etats-Unis: l'espionnage risque de casser internet, prvient un dirigeant de Google. (2014).
Rcupr sur http://www.20minutes.fr/monde/1457401-20141009-usa-espionnagerisque-casser-internet-previent-dirigeant-google
ETSI

Cellular
encryption
algorithms.
(2014).
http://www.etsi.org/services/security-algorithms/cellular-algorithms

Rcupr

Europe : un pas de plus vers la balkanisation dInternet. (2014). Rcupr


http://www.lemagit.fr/actualites/2240214657/Europe-un-pas-de-plus-vers-labalkanisation-dInternet

sur
sur

Europol prdit une vague de cybercrimes par objets connects. (2014). Rcupr sur
http://www.silicon.fr/europol-predit-vague-cybercrimes-objets-connectes-98698.html
F-Secure - Malwares analysis Report - Regin. (2014). Rcupr sur https://www.fsecure.com/documents/996508/1030745/w64_regin_stage_1.pdf
G.A.F.A. lacronyme dun quatuor qui accapare notre existence. (2014). Rcupr sur
http://www.agoravox.fr/tribune-libre/article/g-a-f-a-l-acronyme-d-un-quatuor-147955
Gartner

- pour le SDN, la scurit nest pas prte. (2014). Rcupr


http://www.silicon.fr/dhoinne-gartner-sdn-securite-pas-prete-96692.html

sur

Global

Internet
Phenomena
Report.
(2014).
https://www.sandvine.com/trends/global-internet-phenomena/

sur

Rcupr

Google veut amener le wifi en Afrique subsaharienne avec des ballons dirigeables. (2014).
Rcupr
sur
http://www.20minutes.fr/insolite/1164095-20130529-google-veutamener-wifi-afrique-subsaharienne-ballons-dirigeables
Google veut tisser un rseau de satellites pour lInternet pour tous. (2014). Rcupr sur
http://www.silicon.fr/google-veut-diffuser-linternet-haut-debit-satellites-94744.html
GSMA - Fraud & Security. (2014). Rcupr sur http://www.gsma.com/technicalprojects/fraudsecurity
GSMA - Remote SIM Provisioning for Machine to Machine. (2014). Rcupr sur
http://www.gsma.com/connectedliving/embedded-sim/
ICANN : les USA renoncent au contrle du DNS racine. (2014). Rcupr sur
www.numerama.com/magazine/28768-icann-les-usa-renoncent-au-controle-du-dnsracine.html
IEEE ISCC 2014 Internet Traffic Analysis : A Case Study From Two Major European Operators.
(2014).
Rcupr
sur
http://ieeexplore.ieee.org/xpl/articleDetails.jsp?reload=true&arnumber=6912519
Internet World Stats. (2014). Rcupr sur http://www.internetworldstats.com/stats.htm
version 1.1 (06/01/2015)

Page 104/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


Krach

d'octobre
1987.
(2014).
http://fr.wikipedia.org/wiki/Krach_d%27octobre_1987

Rcupr

sur

LAllemagne veut renforcer sa souverainet numrique. (2014). Rcupr sur


http://www.lesechos.fr/20/08/2014/lesechos.fr/0203714354480_l-allemagne-veutrenforcer-sa---souverainete-numerique--.htm
Lantivirus
est
mort,
dit
Symantec.
(2014).
Rcupr
http://www.01net.com/editorial/619276/l-antivirus-est-mort-dit-symantec/

sur

La Chine et les USA construisent leurs premiers rseaux quantiques. (2014). Rcupr sur
http://www.tomshardware.fr/articles/quantique-reseau-usa-chine,1-54904.html
La cyberscurit est une question de souverainet, selon Guillaume Poupard. (2014). Rcupr
sur
http://www.usine-digitale.fr/article/la-cybersecurite-est-une-question-desouverainete-selon-guillaume-poupard.N264163
La

Hongrie
veut
taxer
l'utilisation
d'Internet.
(2014).
Rcupr
http://www.numerama.com/magazine/31035-la-hongrie-veut-taxer-l-utilisation-dinternet.html

sur

La NSA veut crer un ordinateur quantique pour pouvoir tout dcrypter. (2014). Rcupr sur
http://www.01net.com/editorial/611146/la-nsa-veut-creer-un-ordinateur-quantiquepour-pouvoir-tout-decrypter/
La pilule du futur sera une puce contraceptive... tlcommande ! (2014). Rcupr sur
http://www.industrie-techno.com/la-pilule-du-futur-sera-une-puce-contraceptivetelecommandee.31141
La vidosurveillance vous fait flipper ? Attendez de voir ce quon vous prpare. (2014).
Rcupr sur http://rue89.nouvelobs.com/2014/04/25/videosurveillance-fait-flipperattendez-voir-quon-prepare-251745
L'actuelle bataille des cbles prfigure-t-elle le cyberespace de 2030 ? . (2014). Rcupr sur
http://si-vis.blogspot.fr/2014/11/lactuelle-bataille-des-cables-prefigure.html?m=1
Le chiffrement homomorphe. (2014). Rcupr sur http://linuxfr.org/news/le-chiffrementhomomorphe
Le hack gant de la banque JPMorgan Chase a touch 76 millions de clients. (2014). Rcupr
sur
http://www.20minutes.fr/high-tech/1453995-20141003-hack-geant-banquejpmorgan-chase-touche-76-millions-clients
Le piratage des voitures autonomes pourrait mener... au chaos routier. (2014). Rcupr sur
http://www.01net.com/editorial/633766/le-piratage-des-voitures-autonomes-pourraitmener-au-chaos-routier/
Le programme hpital numrique. (2014).
programme-hopital-numerique.html

Rcupr

sur

http://www.sante.gouv.fr/le-

Legifrance
Obligations
des
oprateurs.
(2014).
Rcupr
sur
http://www.legifrance.gouv.fr/affichCode.do?idArticle=LEGIARTI000006464073&idSecti
onTA=LEGISCTA000006181878&cidTexte=LEGITEXT000006070987&dateTexte=2009
0217
Les

limites
des
Bitcoins.
(2014).
Rcupr
sur
finance.fr/dossier/investissement/les-limites-des-bitcoins.html

Les

objets
connects,
future
cible
des
hackers.
(2014).
Rcupr
http://www.latribune.fr/opinions/tribunes/20140429trib000827485/les-objetsconnectes-future-cible-des-hackers.html

version 1.1 (06/01/2015)

http://www.trader-

Page 105/113

sur

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


Les risques cyber pourraient provoquer un choc mondial (tude Zurich) . (2014). Rcupr sur
http://cyber-serenite.fr/actualites/les-risques-cyber-pourraient-provoquer-un-chocmondial-etude-zurich
Les risques pour le monde en 2014 : Le cybergeddon. (2014). Rcupr sur http://gestioncrise.emoveo.fr/2014/01/16/les-risques-pour-le-monde-en-2014-le-risque-decyberattaque/
Les spcialistes sinquitent sur la scurit d'Internet: D'ici 2025, une cyber-attaque pourrait
provoquer
des
morts.
(2014).
Rcupr
sur
http://www.rtl.be/info/monde/international/1137216/les-specialistes-s-inquietent-sur-lasecurite-d-internet-d-ici-2025-une-cyber-attaque-pourrait-provoquer-des-mortsLeveraging SDN for Efficient Anomaly Detection and Mitigation on Legacy Networks. (2014).
Rcupr
sur
http://www.netmode.ntua.gr/publications/LeveragingSDNforEfficientAnomalyDetectiona
ndMitigationonLegacyNetworks.pdf
List

of
government
mass
surveillance
projects.
(2014).
Rcupr
http://en.wikipedia.org/wiki/List_of_government_mass_surveillance_projects

sur

L'OTAN prvoit une raction militaire contre les cyberattaques. (2014). Rcupr sur
http://www.numerama.com/magazine/30460-l-otan-prevoit-une-reaction-militairecontre-les-cyberattaques.html
L'Union europenne, colonie du monde numrique
http://www.senat.fr/rap/r12-443/r12-4434.html
Mimo

(2014).

Rcupr

connecte
votre
bb.
(2014).
Rcupr
http://www.journaldugeek.com/2014/05/19/mimo-connecte-votre-bebe/

sur
sur

Net Losses : Estimating the Global Cost of Cybercrime. (2014). Rcupr sur
http://www.mcafee.com/us/resources/reports/rp-economic-impact-cybercrime2.pdf
Netflix quitte le Luxembourg et s'installera aux Pays-Bas en 2015. (2014). Rcupr sur
http://www.nextinpact.com/news/87695-netflix-europe-quitte-luxembourg-etsinstallera-aux-pays-bas-en-2015.htm
Neutralit du Net. (2014). Rcupr sur http://www.laquadrature.net/fr/neutralite_du_Net
NOMS 2014 - IEEE Network Operations and Management Symposium Cracovie /Pologne.
(2014). Rcupr sur http://noms2014.ieee-noms.org/
Opendaylight project. (2014). Rcupr sur http://www.opendaylight.org
Operation Auroragold - How the NSA Hacks Cellphone Networks Worldwide. (2014). Rcupr
sur https://firstlook.org/theintercept/2014/12/04/nsa-auroragold-hack-cellphones/
PAYD : Pay as you drive. (2014). Rcupr sur http://fr.wikipedia.org/wiki/Pay_as_you_drive
PayPal et Ebay rpondent Apple Pay avec le BitCoin. (2014). Rcupr
http://www.moneticien.com/commerce-et-paiement-electronique/paypal-et-ebayrepondent-a-apple-pay-avec-le-bitcoin/

sur

Premire norme sur la softwarization du rseau SDN et la connectivit la demande. (2014).


Rcupr sur http://www.orange-business.com/fr/blogs/cloud-computing/normesstandards-et-certification/premiere-norme-sur-la-softwarization-du-reseau-sdn-et-laconnectivite-la-demande

version 1.1 (06/01/2015)

Page 106/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


Premiers livrables ETSI concernant la virtualisation de fonctions rseau. (2014). Rcupr sur
http://www.orange-business.com/fr/blogs/cloud-computing/normes-standards-etcertification/premiers-livrables-etsi-concernant-la-virtualisation-de-fonctions-reseau
Protger les INTERNAUTES - Rapport sur la cybercriminalit. (2014). Rcupr sur
http://www.justice.gouv.fr/include_htm/pub/rap_cybercriminalite.pdf
Reporters sans frontires - Les enemis d'Internet.
(2014).
Rcupr
sur
http://12mars.rsf.org/2014-fr/wp-content/uploads/FR_RAPPORT_INTERNET_BD.pdf
Self-Stabilizing Virtual Machine Hypervisor Architecture for Resilient Cloud. (2014). Rcupr sur
http://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=6903266
Snat : L're du soupon et les efforts de containment du risque de balkanisation du web.
(2014). Rcupr sur http://www.senat.fr/rap/r13-696-1/r13-696-19.html
Serveur
racine
du
DNS.
(2014).
http://fr.wikipedia.org/wiki/Serveur_racine_du_DNS

Rcupr

Shellshock, la nouvelle faille qui inquite Internet.


(2014).
http://www.slate.fr/story/92601/bash-nouveau-bug-pire-heartbleed

Rcupr

sur
sur

Submarine Cable Map. (2014). Rcupr sur http://www.submarinecablemap.com/


Target : un sinistre cyber amricain estim plus de 1Md$. (2014). Rcupr sur
http://www.argusdelassurance.com/acteurs/target-un-sinistre-cyber-americain-estimea-plus-de-1md.72088
Thales parie sur l'Internet bord des avions pour faire dcoller son chiffre d'affaires. (2014).
Rcupr sur http://www.lemonde.fr/economie/article/2014/07/16/thales-parie-sur-linternet-a-bord-des-avions-pour-faire-decoller-son-chiffre-daffaires_4458248_3234.html
The

Balkanisation
of
Russias
internet.
(2014).
Rcupr
https://www.opendemocracy.net/od-russia/alexandrakulikova/%E2%80%98balkanisation%E2%80%99-of-russia%E2%80%99s-internet

sur

The Communications Security, Reliability and Interoperability Council. (2014). Rcupr sur
http://transition.fcc.gov/pshs/advisory/csric/
The

World in 2014 : ICT Facts and Figures 2014. (2014). Rcupr sur
http://www.itu.int/en/ITU-D/Statistics/Documents/facts/ICTFactsFigures2014-e.pdf

Un patient isralien reoit un nouveau pacemaker connect . (2014). Rcupr sur


http://fr.timesofisrael.com/un-patient-israelien-recoit-un-nouveau-pacemaker-connecte
Une

nouvelle
faille
dcouverte
dans
OpenSSL.
(2014).
Rcupr
sur
http://www.linformaticien.com/actualites/id/33361/une-nouvelle-faille-decouverte-dansopenssl.aspx

Une tempte solaire a frl la Terre en 2012. (2014). Rcupr sur http://www.lefigaro.fr/flashactu/2014/07/25/97001-20140725FILWWW00398-une-tempete-solaire-a-frole-la-terreen-2012.php
Verizon

- 2014 Data breach investigations report.


(2014).
Rcupr
http://www.verizonenterprise.com/DBIR/2014/reports/rp_dbir-2014-executivesummary_en_xg.pdf

Virtualization
is
dead,
long
live
containerization.
(2014).
http://diginomica.com/2014/07/02/virtualization-dead-long-livecontainerization/#.VEEZ4hDR7r4

Rcupr

version 1.1 (06/01/2015)

Page 107/113

sur

sur

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030


VoLTE : des appels via 4G amliors, le point chez les 4 oprateurs. (2014). Rcupr sur
http://www.clubic.com/reseau-mobile/4g/actualite-713739-volte-appels-voix-4grecapitulatif.html
WebRTC : introduction et modle de scurit. (2014). Rcupr sur http://www.orangebusiness.com/fr/blogs/securite/securite-des-communications-unifiees/webrtcintroduction-et-modele-de-securite
Wikipedia
Calculateur
quantique.
http://fr.wikipedia.org/wiki/Calculateur_quantique

(2014).

Rcupr

Wikipedia
Empoisonnement
du
cache
DNS.
(2014).
http://fr.wikipedia.org/wiki/Empoisonnement_du_cache_DNS
Wikipedia
Internet
Exchange
Point.
http://fr.wikipedia.org/wiki/Internet_Exchange_Point

Rcupr

sur
sur

(2014).

Rcupr

sur

Wikipedia
Post-quantum
cryptography.
(2014).
http://en.wikipedia.org/wiki/Post-quantum_cryptography

Rcupr

sur

Wikipedia
Quantum
key
distribution.
http://en.wikipedia.org/wiki/Quantum_key_distribution

Rcupr

sur

(2014).

Wikipedia - Splinternet. (2014). Rcupr sur http://en.wikipedia.org/wiki/Splinternet


Wikipedia - WS-Trust. (2014). Rcupr sur http://en.wikipedia.org/wiki/WS-Trust
Wikipedia : Denial-of-service attack. (2014). Rcupr sur http://en.wikipedia.org/wiki/Denial-ofservice_attack#Handling
XeNA:

an access negotiation framework using


https://hal.archives-ouvertes.fr/hal-00448945

version 1.1 (06/01/2015)

XACML.

(2014).

Rcupr

Page 108/113

sur

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030

B. Annexe - Glossaire
Abrviation

Signification

AAA

Authentication, Authorization, Accounting

AC

Autorit de Certification

ANR
ANSSI

Agence Nationale de la Recherche


Agence Nationale pour la Scurit des Systmes d'Information

API

Application Programming Interface

APT

Advanced Persistent Threats

ARCEP
AS

Autorit de Rgulation des Communications Electroniques et des Postes


Autonomous System

ASIP

Agence des Systmes d'Information Partags de sant

ATM

Asynchronous Transfer Mode

AVT

Advanced Volatile Threats

BOTNET
BYOD

roBOT NETwork
Bring Your Own Device

CDN

Content Delivery Network

CIM

Common Information Model

CNIE

Carte Nationale dIdentit Electronique

CSA

Conseil Suprieur de l'Audiovisuel

CSIRT

Computer Security Incident Response Team

CSIS

Center for Strategic and International Studies

DANE

DNS-based Authentication of Named Entities

DDoS

Distributed Denial-Of-Service

DLP

Data Loss Prevention

DMZ

DeMilitarized Zone

DNSSEC

Domain Name System Security Extensions

DoS

Denial-Of-Service

DPI

Deep Packet Inspection

ECC

ECC : Elliptic Curve Cryptography

EPS

Etude Prospective & Stratgique

ETSI

European Telecommunications Standards Institute

FAI

Fournisseur dAccs Internet

version 1.1 (06/01/2015)

Page 109/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030

FTTH

Fiber To The Home

GAFA

Google, Apple, Facebook, Amazon

GSMA

GSM Association

HLR

Home Location Register

IaaS

Infrastructure as a Service

ICN

Information-Centric Networking

IDS

Intrusion Detection System

IETF

Internet Engineering Task Force

IHM

Interface Homme-Machine

IIC

Industrial Internet Consortium

IMS

IP Multimedia Subsystem

iOCTA

Internet Organised Crime Threat Assessment

IoT

Internet of Things (= Internet des Objets)

IPS

Intrusion Prevention System

ISG

Industry Specification Group (ETSI)

ISP

Internet Service Provider (= FAI)

ITU

Union Internationale des Tlcommunications

IXP

Internet Exchange Point

LTE

Long Term Evolution

M2M

Machine to Machine

MITM

Man In The Middle

MOOC

Massive Open Online Course

MTD

Moving Target Defence

NaaS

Network as a Service (NaaS)

NFC

Near Field Communication

NFV

Network Function Virtualisation

ODM

Original Design Manufacturers

OIV

Oprateurs d'Importance Vitale

ONF

Open Networking Foundation

OTA

Over The Air

OTT

Over-The-Top

P2P

Peer-to-Peer

PIN

Personal Identification Number

PKIX

Public-Key Infrastructure X.509

version 1.1 (06/01/2015)

Page 110/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030

POP

Point Of Presence

PPP

Partenariat Public Priv

PUF

Physical Unclonable Function

RADIUS

Remote Authentication Dial-In User Service

RBA

Risk Based Authentication

RGS

Rfrentiel Gnral de Scurit

RIPE NCC

Rseaux IP Europens Network Coordination Centre

RIR

Registre Internet Rgional

ROA

Route Origination Authorization

RPKI

Resource Public Key Infrastructure

SaaS

Software as a Service

SCADA

Supervisory Control and Data Acquisition (systme de contrle industriel)

SDDC

Software Defined Data Center

SDF

Sret De Fonctionnement

SDN

Software Defined Networking

SII

Systme Industriel Interconnect

SIM

Subscriber Identity Module

SIP

Session Initiation Protocol

SOC

Security Operating Center

SSL

Secure Sockets Layers

TDM

Time Division Multiplexing

TIC

Technologies de l'Information et de la Communication

TLD

Top Level Domain (DNS)

TLS

Transport Layer Security

TOR

The Onion Router

TPM

Trusted Platform Module

UE

Union Europenne

V2I

Vhicule To Infrastructure

V2V

Vhicule To Vhicule

VoLTE

Voice Over LTE

ZTNA

Zero Trust Network Architecture

version 1.1 (06/01/2015)

Page 111/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030

C. Annexe - confidentiel Orange


Cette annexe est classe confidentiel Orange .

version 1.1 (06/01/2015)

Page 112/113

Ministre de la Dfense DGA/DS/SASF/SDCP - Etude scurit Internet 2030

D. Annexe - Contributeurs de ltude


Cette annexe nest pas diffusable publiquement.

version 1.1 (06/01/2015)

Page 113/113