Le coup est rude pour Research in Motion, le fabricant du BlackBerry, qui s'échine depuis deux ans à prouver que son mobile est suffisamment sécurisé pour mériter les grâces des Ministères Français. Le Secrétariat Général de la Défense Nationale vient de rappeler que l'usage du Blackberry n'est pas autorisé dans le cercle ministériel pour des raisons de sécurité.

Le Secrétariat Général de la Défense Nationale (SGDN, rattaché au bureau du Premier Ministre) reproche à RIM de faire transiter les courriers de ses clients hexagonaux via des serveurs situés à l'étranger (en Angleterre notamment). Selon Alain Juillet, haut responsable chargé de l’intelligence économique au SGDN, cela présente un risque d'interception des données par une puissance étrangère.

La rumeur d'une telle interception a d'abord filtré en 2005 à l'issue d'une réunion à l'Institut des Hautes Etudes de Défense Nationale (IHEDN). RIM avait alors rapidement contre-attaqué, en présentant divers rapports faisant état de la sécurité de son gadget, dont celui de la société @Stake, bien connue des spécialistes. Depuis, le fabricant mettait en avant l'approbation du BlackBerry par l'OTAN et plusieurs pays étranger pour la transmission de leurs informations officielles (des pays toutefois essentiellement anglo-saxons, ce qui réduit l'intérêt d'une telle annonce aux yeux des français). RIM précise enfin que le trafic de ses clients est chiffré par AES avec une clé à 256 bits et donc protégé lors du transit par ses serveurs

Tout ceci n'aura cependant pas suffit à faire taire la méfiance franco-française envers la solution. Peu importe que le problème de la confidentialité se pose également avec les fournisseurs d'accès ou les exploitants de la fibre qui véhicule les courriers ministériels (par le jeu du peering et des accords entre opérateurs, il n'est pas garanti qu'un courrier ministériel n'emprunte que la fibre de France Telecom et les équipements de Bull !). Le BlackBerry, par son opacité, est aujourd'hui encore mis à l'index.

La crainte peut toutefois se comprendre. Autant les RSSI français peuvent-ils décider de chiffrer leurs courriers ou leur trafic réseau à l'aide de solutions choisies (Logiciels Libres afin d'en auditer le code source, ou solution nationale afin d'éviter toute tentation étrangère), autant ils n'ont guère le choix lorsqu'il s'agit du BlackBerry. Le fabricant a beau vanter les mérites cryptographiques de son Enterprise Server, personne en France n'a semble-t-il encore audité le code source de l'application, ni évalué la qualité de la mise en oeuvre de l'algorithme AES et encore moins la robustesse de la procédure de sélection des clés de chiffrement. Or il est une attaque vieille comme le monde qui consiste à livrer un produit cryptographiquement parfait, à l'exception près qu'il ne génère que des clés très simples à casser !

Des solutions de chiffrement tierces dédiées au BlackBerry existent pourtant, et elles pourraient être déployées afin d'ajouter une couche cryptographique étrangère à RIM (PGP Email Security, Entrust Email Encryption, ou encore la solution à carte à puce d'Ercom, par exemple). Parallèlement, RIM pourrait choisir de faire auditer son code par un gouru indépendant tel le quasi-mythique Bruce Schneier (ou l'incontournable Hervé Schauer si l'objectif est de rassurer les RSSI français !). Schneier/Schauer, le super-duo gagnant de RIM dans la guerre de la réputation ?