Cryptage, stupeur et tremblements...

Quand j'ai découvert ça, j'ai eu comme un instant de stupeur, de pétrification, avant de sombrer dans un abime de consternation devant le monument de mammouthisation descendu des hautes sphères de mon employeur...

Pour bien réaliser ce que j'ai pu ressentir, imaginez moi au labo le vendredi soir, après une après midi de travail avec Dario (postdoc) et Etienne (doctorant), lorsque soudain, pendant l'horreur d'une fin de semaine brumeuse, je découvris le mail de 15h53 de notre directeur, nous retransmettant la note de service NOT15YDSI-RSSIC de la direction, nous informant en 20 pages très complètes des mesures à prendre pour sécuriser les données de nos ordinateurs.

Au départ, des histoires assez prévisibles: un chercheur qui perd ou se fait voler son ordinateur portable contenant des données et des documents reliés à un contrat avec un partenaire industriel du CNRS... Evidemment, ca fait désordre surtout quand le chercheur en question n'a pas pris la précaution de sauvegarder ces donnés et documents ailleurs (eh oui...).

Toutes les boites connaissent le problème... Mais au CNRS, c'est à une échelle et avec des caractéristiques sans précédent. Un petit tour par notre site Web s'impose:

"Avec plus de 34 000 personnes (dont 25 505 statutaires - 11 415 chercheurs et 14 090 ingénieurs, techniciens et administratifs), un budget primitif pour 2012 de 3,3 milliards d'euros dont 766 millions d'euros de ressources propres, une implantation sur l'ensemble du territoire national, le CNRS exerce son activité dans tous les champs de la connaissance, en s'appuyant sur plus de 1100 unités de recherche et de service."

Je ne sais pas vous, mais moi je mesure la taille des organisations humaines en échelle log en base 10... Ainsi le CNRS est ce que j'appelle un Mammouth-log 4: il a quelques dizaines de milliers d'employés. Cliquez sur cette photo et vous verrez une foule de quelques dizaines de milliers de personnes, peut être 100000:

Une PME de 300 personnes, c'est un Mammouth-log 2. Et à l'opposé, FoxConn, c'est un Mammouth-Log 6 (1,3 millions d'employés en 2012). Donc le CNRS est à FoxConn ce que la PME de 500 personnes est au CNRS (vous me suivez?)... Mais la taille ne fait pas tout!

En effet, au CNRS, près du 1/3 des personnels sont non statutaires: ce sont les doctorants, postdoc, ingénieurs en CDD liés à tous les contrats gérés par le CNRS. Donc il y a près de 10000 personnes en transit avec des contrats de 3 à 18 mois au CNRS... Mais la cherry on the cake, c'est l'implantation géographique: le CNRS est présent dans plus de 1100 unités de recherches réparties sur une bonne centaine de campus universitaire dont certains à l'étranger (si si).

Bref, géographiquement, le CNRS c'est plus proche d'une grosse division militaire déployée sur tout un pays que de FoxConn qui empile des centaines de milliers d'ouvriers dans quelques usines géantes.

Ajouetez à cela que le CNRS n'a pas la maitrise des infrastructures dans lesquelles travaillent ses agents (c'est comme ça qu'on nous appelle administrativement): beaucoup d'entre nous travaillent dans des laboratoires universitaires et donc utilisons des infrastructures informatiques gérées par des établissements autres que le CNRS et même certains de nos ordinateurs n'appartiennent pas au CNRS vu qu'ils ont été payés sur d'autres crédits.

Vous comprendrez immédiatement le moment de stupeur que j'ai vécu lorsque j'ai découvert la consigne de la direction:

"Le déploiement du chiffrement (je précise: des disques durs et de tous les périphériques de stockage) doit etre réalisé sur l'ensemble des postes de travail des unités d'ici au 30 juin 2013. A cet effet les directeurs d'unité transmettront tous les deux mois via le RSSI de la Délégation Régionale, au directeur délégué aux ressources, l'état d'avancement de ce déploiement dans leur unité (cf fiche numéro 5 en annexe)."

Petite estimation d'ordre de grandeur: dans les unités CNRS on a donc 30000 personnes en gros, qui ne représentent que une partie du monde concerné par cette phrase... En effet, il faut rajouter les universitaires (ils sont environ 3x plus nombreux: 55000 maitres de conférences et professeurs d'universités) et les doctorants (65000 en France). J'oublie les quelques milliers de postdoc hors ANR et les ITARF universitaire mais l'addition de ces chiffres nous fait déjà 55+30+65=150 mille personnes! Et donc autant d'ordinateurs en gros...

En tout cas, même en admettant que tous les universitaires ne sont pas dans des unités CNRS, un ordre de grandeur de 50 à 100 mille postes de travail (soit autant de disques durs) sans compter les supports de stockage mobile, devront être cryptés d'ici juin 2013!

Certains me diront: mais c'est tout con à faire... Y'a qu'a... Oui certes: chez FoxConn avec un sergent contremaitre dans chaque atelier qui fait marcher les ouvriers à la baguette, c'est simple:

 

Mais le CNRS n'est pas l'armée populaire de la recherche scientifique, c'est certes le premier organisme de recherche au monde mais c'est surtout une vaste maison de tolérance. Rien à voir avec la NSA ou la CIA niveau ambiance... Je m'explique en prenant quelques exemples concrets:

• Charles, mon précédent doctorant, utilisait son ordinateur portable personnel acheté durant ses études, lorsqu'il était en déplacement... Dario, qui est en postdoc, a débarqué avec son propre MacBook. Sur les bureaux des doctorants et postdocs se trouvent des PC fixes puissants achetés par le labo, peut être par des crédits CNRS mais je ne suis pas sur. Dans tous les labos, les données vont et viennent régulièrement entre ordinateurs du labo et ordinateurs du vaste monde même pour les personnels du laboratoire! On pourrait éviter cela si les gens bossaient 35h/semaine uniquement au labo mais cela aurait un impact certain sur la productivité globale de l'organisme...

• Nous avons régulièrement des visiteurs qui vont, qui viennent et qui amènent leurs ordinateurs... On voit donc passer au travers du labo un nombre incroyable de machines, clés USB et disques durs sur lesquels on n'a aucun contrôle. Ils ne sont connectés qu'au travers d'accès plus ou moins sécurisés mais il y a toujours les clés USB. Quant on voit que le programme nucléaire iranien s'est fait contaminer par StuxNet alors qu'il devait y régler une parano certaine, je vous laisse imaginer le challenge de la sécurité informatique dans les unités CNRS...

• Même si le CNRS produit des données confidentielles et à très haute valeur scientifique, et même si nombre de ses agents sont très mobiles à l'international, il ne s'est toujours pas doté d'une infrastructure de sauvegarde mutualisée ni d'un Cloud qui permettrait d'accéder à des données de partout dans le monde de manière sécurisée. En page 5 de la note de 20 pages susmentionnées, il est indiqué que "Le laboratoire met en place les moyens et outils de sauvegarde adaptés à son environnement (une solution nationale est à l'étude)". En gros, demmerdez vous avec les moyens du bord, Dieu vous aidera s'il est bienveillant...

Dans ces conditions, croire qu'imposer un chiffrement global par en haut de manière aussi rapide va sécuriser les données sensibles, c'est, disons le, du grand n'importe quoi... Mata-Hari était arrivée à récupérer des secrets miitaires avec des moyens autrement plus modestes que ceux dont nous disposons aujourd'hui. Je vous laisse imaginer ce que peut faire une doctorante syldave discrete et mignone disposant d'un outil comme Flame fourni par une triade mafieuse internationale (ou par un état malveillant)...

Il eut été bien plus pertinent de commencer par déployer un cloud CNRS capable d'assurer aux agents les mêmes fonctionalités que dropbox mais de manière sécurisé et de mettre le paquet sur les questions de sauvegardes dans les université. En parallèle, le CNRS aurait pu déterminer les équipes pour lesquelles les questions de confidentialité se posent vraiment. Ces équipes auraient pu alors bénéficier d'un support plus pertinent car plus focalisé et plus proche (modulo qu'on délégue quelques personnes très compétentes comme mon camarade Joël là dessus) et l'expérience qui aurait été gagné aurait ensuite servi dans un second temps à l'ensemble des personnels et des unités...

Mais non... ce n'est pas ce qu'on a fait... on nous balance une consigne d'en haut, sans expérimentation préalable et en espérant que l'intendance suivra!

La vérité est que la délégation juridique a agité le spectre de procès intentés par les partenaires industriels et que la panique à envahi les hautes sphères. Du coup, on nous impose une solution "parapluie" dans la grande tradition soviétique de l'administration française... Solution qui ne sera évidemment pas mise en oeuvre conformément aux demandes (le doctorant ouzbekh qui passe neuf mois par an à Tachkent et trois mois par an en France avec son ordinateur portable, vous imaginez qu'il va chiffrer son disque dur? Ouarf ouarf ouarf!)... Mais là haut, ils seront rassurés et pourront continuer à ronronner dans leurs illusions de pilotage et de sécurisation.

Comme j'ai dit à mon directeur de labo: "ce délire, c'est un peu comme si la NSA dispatchait tous ses agents dans un réseau de cybercafés roumains en pretextant que y'a un risque de se faire braquer son portable dans l'Etat de Virginie! "

Pour rester concrets, rien que dans mon labo, on est pas loin de 100 personnes: il doit y avoir pas loin de 250 disques concernés. Rien que pour faire l'inventaire, ca va prendre à nos ITA informaticiens un paquet d'heures (1 heure = 30 à 50 € en cout total chargé pour le contribuable selon la paye de la personne)... Notre directeur va devoir faire remonter l'état des lieux à la direction tous les deux mois (lui il coute 60 € / heure en gros). Bon allez je vous compte d'ici joint trois journées de boulot pour l'igénieur informaticien d'ici le 30 juin et une journée pour le directeur du labo, ca nous fait 3x7x50+7x60=420+1050=1470 € pour le contribuable (et encore, je suis très optimiste). Multipliez cela par 1000 unités et vous voyez que rassurer la direction va couter au minimum 1,5 millions d'euros au contribuable.

Et encore, avec une estimation optimiste et sans compter le temps que vont passer les agents à activer le cryptage, voir que y'a des merdes, corrompre leurs sauvegardes, vouloir désactiver le cryptage pour comprendre, voir que ca merde, perdre leurs données parfois...Voila le coût du rassurage de la direction des affaires juridiques du CNRS pour le contribuable... No comment...

Bon allez, bonne année quand même et une ptite vidéo pour féter cette grande décision... Bientôt je ferai un post sur comment protéger ses données sans risquer de gros emmerdes pratiques (une fois que j'en saurais plus par mes connaissances).