Une lutte fratricide se joue actuellement au plus haut sommet de l’Etat français. Le détonateur de cette affaire a été un appel d’offre lancé en début d’année par plusieurs Ministères soucieux de renouveler leur solution d’authentification forte. Le processus d’appel d’offre est arrivé à son terme à la mi-mars, et le 16 mars dernier les acheteurs des Ministères concernés annonçaient avoir fait le choix de SecureID, la solution-phare de l’éditeur RSA Security. Très rapidement RSA générait les clés pour les Ministères concernés et la solution allait être déployée sous quinze jours.

Hélas l’on apprenait deux jours plus tard, le 18 mars, que la société RSA venait d’être victime d’un piratage suffisamment sérieux pour qu’elle alerte les clients de sa solution SecureID. Immédiatement, les commentateurs spécialisés émettaient l’hypothèse (non confirmée par RSA à ce jour) du vol des enregistrements principaux (les seed records). Leur perte, si elle est avérée, affaiblirait de façon critique les fondations même de la solution RSA SecureID.

Il devenait difficile dans de telles conditions de déployer cette solution au sein de ministères sensibles (dont celui de la Défense et du Budget selon nos informations). L’ANSSI (Agence Nationale pour la Sécurité des Systèmes d’Information) a alors parfaitement joué son rôle en alertant les Ministères concernés et en leur demandant de sursoir à leur décision tant que les détails du piratage ne seraient pas connus. Hélas, bien que l’agence soit désormais placée sous l’égide du cabinet du Premier Ministre et puisse théoriquement se passer de l’aval des Ministères, les habitudes ont la vie dure ! Les équipes techniques des Ministères, s’appuyant sur leurs propres analyses de risque (méthode MERINGUE) ont refusé en bloc d’entendre les conseils de l’ANSSI. RSA c’était, RSA ce sera !

L’affaire, on s’en doute, a fait grand bruit dans les couloirs feutrés des Ministères et même jusqu’au cabinet du Premier Ministre. « C’est une mutinerie ! » se serait même exclamé un conseiller proche du Premier Ministre. De son côté l’ANSSI, toute à son rôle, a produit une étude complète, étayée et argumentée des risques qu’une telle décision fait peser sur les systèmes d’information de l’Etat. Mais cela n’a servi à rien sinon à renforcer la détermination des Ministères, qui voient dans cette affaire une tentative de réduire leur indépendance technologique. « On nous a déjà fait le coup en 2000 quand on voulait notre propre PKI ! Ca ne va pas recommencer aujourd’hui !« , nous confie un cadre vétéran d’une DSI ministérielle.

Bras de fer au sein du gouvernement

Le bras de fer a ainsi duré dix jours, jusqu’à ce que l’Elysée s’empare du dossier. Juge de paix dans ce qui peut sembler la première lutte fratricide au sein du gouvernement français, les conseillers techniques de la Présidence de la République ont envisagés de nombreuses solutions. L’une d’elle en particulier mérite que l’on s’y arrête : selon plusieurs sources concordantes il semblerait que la DCRI, épaulée du service Action de la DGSE, ait tenté de retrouver les auteurs du piratage et de s’approprier les éventuelles clés volées. Après tout, si la France pouvait mettre les clés en sécurité (dont les siennes, puisqu’elles venaient d’être générées par RSA), il n’y a plus de problème. Nous n’avons aucune information quant à l’issue de cette opération, mais le fait que l’Elysée ait choisi une autre option ne présage pas de son succès.

A l’issue de leur brainstorming, les conseillers de l’Elysée ont retenu une solution plus radicale encore que la précédente : annuler par décret l’appel d’offre et passer en force en choisissant un autre fournisseur. « Nous voulions choisir une société de bonne taille, de bonne réputation, qui n’ait jamais souffert des problèmes de sécurité que l’on vient de voir chez RSA, et qui nous garantisse la solidité de sa solution« , nous confie sous couvert de l’anonymat un membre du bureau Achats de l’Elysée.

A la surprise de tous, cette solution c’est Google qui la propose avec le tout nouveau GToken. Nouveau venu dans ce marché, le géant américain a su se montrer réactif. « Nous avons lancé le développement de cette solution le 19 mars dernier, en apprenant ce qui venait d’arriver à nos amis de RSA. Nous nous sommes dit qu’il fallait que quelqu’un prenne rapidement le relais afin de ne pas laisser les bad guys en profiter. C’est ainsi que nous avons créé le GToken (bêta)« , explique Paul McHire, patron de la toute récente division authentification forte de Google.

Interrogé quant à la solidité de sa solution par rapport à celle, largement plus mûre, de RSA, Paul McHire semble confiant : « nous utilisons beaucoup plus de chiffres. Beaucoup, beaucoup, plus de chiffres« , révèle McHire. Et à voir le token qui sera fourni aux collaborateurs des Ministères, on veut bien le croire :

Le GToken, composant physique de la solution d’authentification forte de Google

Une solution trop ambitieuse ?

On l’imagine bien, la chose est mal passée au sein des Ministères. Mais, cette fois, ils n’ont d’autre choix que de se plier à la décision présidentielle. Et pourtant il semble que les Ministères aient désormais une vraie bonne raison de se plaindre. Voire plusieurs !

Car avec une capacité théorique infinie (et une limite pratique de 128 chiffres pour le code PIN et 4800 pour le numéro de série), le GToken est encombrant ! D’une longueur totale de 58 centimètres il tient difficilement dans une poche de costume. Ni même, d’ailleurs, dans un sac à main.

Mais ce n’est pas le principal reproche que lui font les équipes des Ministères. La sécurité renforcée de l’outil impose en outre une saisie beaucoup plus longue. Et entrer 4928 chiffres au clavier (a fortiori sur le clavier tactile d’un iPhone) est un exercice qui n’enthousiasme pas les foules au sein des Ministères.

Les syndicats sont d’ailleurs déjà sur le pied de guerre. Pour le représentant syndical inter-ministériel (CGT Silicone), ce n’est pas tant l’aspect peu pratique de la solution qui pose un problème que les conditions d’indemnisation du personnel. Il exige notamment que soit compté en heures supplémentaires le temps passé à saisir le code (avec un bonus horaire pour les possesseurs de smartphone tactile).

Et il n’exclu pas non plus d’ajouter ce dossier au cadre plus vaste des négociations en cours sur la pénibilité du travail. « Le canal carpien ne sera pas une impasse ! » lance-t-il à ses troupes mobilisées autour de la machine à café depuis maintenant 35 minutes.

Nous vous tiendrons bien entendu informés de l’évolution de la situation d’heure en heure. Pour l’instant, rien de neuf : c’est la pause syndicale du mouvement syndical.

Exclusif : découvrez les premières images de l’installation des serveurs GToken au sein du Ministère de la Défense !