AMBASSADE DE FRANCE EN ALLEMAGNE

SERVICE POUR LA SCIENCE ET LA TECHNOLOGIE

Berlin, le 3 septembre 2012 Rdacteur : Charles Collet, Charg de mission NTIC et nanotechnologie

Dveloppement d'initiatives et programmes de recherche sur la cyberscurit en Allemagne

Le dveloppement des technologies numriques pour et par la scurit est un enjeu technologique, socital (acceptabilit des produits) et stratgique majeur rgulirement abord lors des grandes rencontres des TIC en Allemagne. Au cours des derniers 16 mois, le thme de la scurit informatique, avec celui du Cloud Computing dont celle-ci lgitimera ou non le dveloppement, est devenu central dans les discussions politiques et technologiques outre-Rhin. Cette importance stratgique sest notamment illustre par une srie de sminaires R&D sur les systmes de scurit ("Sicherheitssysteme") organiss au sein de l'Universit Technique de Berlin par diffrents organismes de recherche (DLR, DFKI), des forums organiss par la Socit allemande de politique trangre (DGAP) sur la cyberscurit (en y invitant des experts amricains et franais du domaine), la venue Berlin de la confrence internationale MCTA spcialise sur la scurit des communications et des paiements en ligne, le forum scurit comme 1 thme central au CeBIT 2012 ("Managing Trust"), ou encore le focus stratgique sur la scurisation comme feuille de route technologique prsent par le symposium international des semiconducteurs (ISS) invit en Allemagne. On distingue outre-Rhin deux centres de recherche principaux spcialiss sur la scurit des rseaux, soutenu par le ministre fdral de la recherche (BMBF) et l'Acadmie allemande des technologies (Acatech), lun associ luniversit de Darmstadt (Hesse) et lautre luniversit de Bochum (Rhnanie du Nord-Westphalie), qui rcoltent la majorit des appels projet dans ces thmatiques. On note galement l'expertise reconnu de lInstitut Hasso Plattner (HPI) de Potsdam qui tisse des collaborations stratgiques dans le dveloppement de protocoles de scurit et de technologies rseau (notamment avec la Chine), ainsi que celle de Deutsche Telekom qui se concentre de plus en plus sur ce thme, notamment pour fiabiliser ses services de Cloud Computing et de paiement digital. On constate enfin limplantation de firmes TIC trangres en Allemagne, s'intressant la position allemande et europenne sur les problmatiques croissantes de scurit et sur l'acceptabilit socitale des services numriques proposs. 1. Les centres de scurit informatique de Darmstadt et de Bochum 1.1 Le Centre de scurit avanc lUniversit technique de Darmstadt C'est un des centres les plus renomm en Europe dans le domaine de la scurit informatique. Il est lorigine de la cration en 2011 du "Centre europen pour la scurit et la confidentialit ds la conception - EC-SPRIDER", qui a pour but de traiter les procdures de dveloppement, de vrification systmatique et de tests de logiciels spcifiquement du point de la scurit et de la confidentialit.
1

"Bilan du CeBIT 2012 : focus sur l'internet des choses et la scurisation des donnes", BE Allemagne n563 14/03/2012 - http://www.bulletins-electroniques.com/actualites/069/69424.htm

Pariser Platz 5 - D - 10 117 Berlin Tl. : +49 (0)30 590 03 9250 - Fax +49 (0)30 590 03 9265 E-mail : sciencetech@botschaft-frankreich.de - http://www.science-allemagne.fr

Son objectif long terme est d'assurer la scurit des solutions informatique ds la phase de conception des systmes logiciels. a) Programme fdral EC SPRIDER et attraction de jeunes talents en cryptographie L'EC SPRIDER a dbut ses travaux en lanant le programme 'Claude Shannon pour jeunes chercheurs', soutenu par le BMBF hauteur de 8 millions deuros jusqu' 2015. Choisissant leurs propres groupes de travail, les chercheurs talentueux allemands ou trangers slectionns doivent dvelopper des solutions de scurit informatique lpreuve des fraudes ou des tentatives de sabotage et despionnage. La vision du BMBF est qu'il faut une recherche forte sur la scurit informatique en Allemagne afin de dvelopper des solutions sres et fiables pour les systmes informatiques critiques. Avec plus de 200 scientifiques spcialiss sur ce thme, Darmstadt est en passe de devenir lun des sites les plus importants en Europe pour la recherche sur la scurit des TIC. b) "Internet Privacy" : culture de lInternet et la protection de la vie prive (octobre 2011) Internet Privacy , le nouveau projet de lAcadmie allem ande des technologies (Acatech) et port par le Centre de scurit avanc de Darmstadt, a pour objectif de proposer des solutions pour une meilleure confiance dans les technologies et services numriques. Il est mis en uvre par un groupe de travail interdisciplinaire men par Johannes Buchmann, directeur du Centre de scurit avanc. Il repose sur le principe suivant : les effets dune crise de confiance dans les TIC menaceraient le dveloppement dautres technologies en Allemagne, parce que lInternet est troitement li de nombreuses technologies cls: les rseaux lectriques intelligents (Smart Grids), les futurs rseaux de transport urbain, lharmonisation des soins mdicaux par le Cl oud Computing, les Smart phones, etc. Une perte de confiance ventuelle pourrait, selon le BMBF, dgrader de faon drastique le climat global dinnovation. Le projet financ par le BMBF se terminera le 31 Janvier 2013, les rsultats finaux seront prsents dici juillet 2013. Les autres partenaires du projet sont Google et IBM Allemagne (Berlin). 1.2 Linstitut de scurit des rseaux et des donnes de lUniversit de la Ruhr Bochum Le second centre allemand Bochum spcialis sur la scurit des rseaux, aprs celui de Darmstadt, est reconnu pour son expertise sur l'identification des vulnrabilits informatiques. Les projets majeurs actuellement ports sont dcrits ci-dessous. a) Cloud Computing : les chercheurs de Bochum ont dcouvert des failles de scurit critiques (septembre 2011) Plus de 25.000 nuages de donnes prives ont dj t crs travers le monde via la plateforme re Cloud Eucalyptus , l'une des 1 avoir t dvelopp commercialement grande chelle (environ 40% des 100 plus grandes socits cotes dans le magazine Fortune utiliseraient cette plateforme logicielle pour leurs activits). Nanmoins, les scientifiques de lInstitut de scurit des rseaux et des donnes de Bochum ont pu contourner son systme de scurit et ainsi accder toutes les donnes et fonctionnalits dans le nuage, qui a immdiatement du tre ferm. Selon eux, un simple message XML cach dans la signature aurait suffi infiltrer une lacune de programme qui leur a servi de passerelle afin dentrer dans la zone de donnes hberges par le nuage. La lacune scuritaire dcouverte ce jour est lune des nombreux cas potentiellement prsents dans loffre de Cloud et laquelle les chercheurs de Bochum ont travaill ces derniers mois. Le ministre fdral de lconomie et de la technologie (BMWi) subventionne ainsi le projet Trusted Cloud ( nuage de confiance ) dans lequel lUniversit de la Ruhr contribuera galement amliorer la scurit de linterface des serveurs partags. b) LUniversit de Bochum forme des pirates informatiques (janvier 2012)
3 2

Plus dinformations sur le projet sur : www.acatech.de/privacy

Pour en savoir plus, contacts : Dpartement de scurit des rseaux et des donnes de lUniversit de la Ruhr : http://www.nds.ruhr-uni-bochum.de/

La liste des socits ou administrations qui ont t rcemment victimes dattaques de pirates en Allemagne est longue : Sony, Rewe, Citigroup, voire mme des ministres allemands. Cest pourquoi lUniversit de Bochum a mis en place une formation au cours de laquelle les jeunes informaticiens talentueux apprennent lgalement cracker des mots de passe, propager des virus et des chevaux de Troie, ou dtourner des comptes bancaires en ligne. Avec prs de 1100 candidats pour environ 20 places, cette filire est devenue une des plus slectives et populaires. Une fois par semaine, les tudiants du Dpartement de scurit des technologies de linformation de luniversit sentrainent pntrer les systmes informatiques des entreprises et des sites web et manipuler leurs donnes. Les deux chercheurs encadrant cette formation sont ainsi experts dans le domaine et consultants auprs de plusieurs entreprises du DAX pour la recherche de failles de scurit, en plus de leurs activits denseignement universitaire sur la piraterie informatique et la scurit des rseaux. C'est la premire fois qu'une telle option est officiellement ouverte en Europe, et les tudiants signant un document les rendant pnalement responsables de l'utilisation de leurs recherches. c) Cryptologie : Bochum dveloppe un nouveau procd pour scuriser les puces RFID (juin 2011) Un dfi complexe a t rsolu par le mathmaticien Eike Kiltz, chef du groupe de travail 4 Fondements et Applications de la thorie de cryptographie Bochum , qui a russi dvelopper un processus dauthentification simple et totalement scuris pour un trs grand nombre de puces RFID. Le chercheur a ainsi lucid un problme jusqualors insoluble de la thor ie du codage. Car si les puces RFID sont au cur de nombreux dispositifs lectroniques didentification, par exemple dans les passeports lectroniques, ces puces miniaturises sont souvent simplifies, lespace y manquant pour introduire des algorithmes cryptographiques complexes qui pourraient protger efficacement les donnes sensibles. Des cryptographes renomms avaient tent dans la dernire dcennie de rsoudre ce dfi dquilibre entre conomie despace, calcul complexe, et mcanisme de protection efficace, avec des niveaux de scurit spculatifs. La nouvelle mthode cryptographique de Bochum est dun niveau de scurit extrmement lev, les ordinateurs de haute performance tests auraient besoin de calculer pendant plusieurs millions dannes pour en percer la solution, selon lquipe de recherche. Un prototype de la puce avec la nouvelle mthode dauthentification est actuellement en conception en collaboration avec le dpartement Embedded Security de luniversit de Bochum. Aprs avoir travail l aux Etats-Unis, Eike Kiltz est retourn lUniversit de la Ruhr en 2010, soutenu par le prix Sofya Kovalevskaya de la Fondation Alexander von Humboldt qui soutient des scientifiques choisis pour dvelopper leurs projets de recherche dans linstitution allemande de leur choix.

2. Les activits des instituts privs allemands dans le domaine de la scurit informatique 2.1 - LInstitut Hasso Plattner de Potsdam (HPI) LInstitut Hasso Plattner (HPI), centre de recherche rattach lUniversit de Potsdam, a t fond par H. Plattner, co-fondateur de lentreprise SAP, le gant allemand des logiciels de gestion de donnes. Reconnu pour son expertise en programmation informatique et en technologies de traitement de bases numrises, lHPI a t slectionn en 2012 par la Chine pour dvelopper des collaborations de R&D en scurisation de Cloud Computing. Dans ce contexte, les possibilits de codveloppement en termes de technologies pour les mmoires seront explores. Une rencontre, finance par le Centre sino-allemand pour la promotion de la recherche (Chinesisch-Deutsches Zentrum fr Wissenschaftsfrderung) sest tenue Shanghai. Du ct allemand, ce centre est soutenu par la Deutsche Forschungsgemeinschaft (DFG). Le Dpartement des technologies Internet et des systmes de lHPI, ainsi que le Centre de calcul de haute performance et la facult des sciences informatiques de lUniversit de Shanghai organisent cet atelier conjoint. Sur la mme priode, lHPI a pris en charge un projet de recherche lanc par le BMWi dans le cadre du programme confiance dans le nuage ( Trusted Cloud ) et financ hauteur de 30 millions deuros. En collaboration avec trois autres partenaires, le Dpartement de lHPI consacr aux technologies Internet et aux systmes prend en charge laccompagnement de 14 projets pilotes pour
4

Pour en savoir plus, site internet du dpartement de cryptographie lUniversit de Bochum : http://www.cits.rub.de/

dvelopper des prototypes de technologie de scurisation des rseaux et des services de Cloud Computing. 2.2 - Le dveloppement de la scurit par Deutsche Telekom Le centre R&D de lentreprise Deutsch e Telekom Berlin T-Labs , modle de PPP entre l'entreprise de tlcommunications et l'Universit technique de Berlin (TUB), est actif sur ces thmatiques,. En effet, les "T-Labs" appartiennent conjointement aux deux partenaires dans laquelle Deutsche Telekom y emploie des chercheurs venant de l'universit dans sept domaines de R&D, dont un sur le Cloud, avec sept professeurs de la TUB les encadrant. Les principales recherches sorientent vers le dveloppement dinfrastructures et services de cloud, ain si que sur les nouveaux besoins en termes de protection de donnes prives ou de pertinence de l'information. Tous domaines confondus, les T-Labs prsentent de bons rsultats en termes de R&D : plus d'une publication par jour (392 en 2010), un brevet par semaine (57 en 2010), et une dcoration scientifique par mois, dont le prix Leibniz 2011 dcern au Pr. Anja Feldmann (une des plus hautes reconnaissances scientifiques au niveau national, dotant le rcipiendaire de 2,5 millions d'euros pour mener ses recherches). Au niveau des applications, et dans le cadre particulier de la comptition pour l'affectation des frquences numriques en Allemagne, Deutsche Telekom a obtenu 10 blocs de frquence pour 1,3 me Md, ce qui le place en 3 position derrire deux oprateurs trangers, ce qui nest pas ngligeable sachant qu'une connexion performante est la cl de dveloppement des services de Cloud. Elle s'attaque maintenant aux problmes de scurit dans les Smart phones. Au niveau stratgique, le gant chinois des matriels de tlcommunication Huawei et Deutsche Telekom ont sign la mi-septembre 2011 un accord stratgique afin de dvelopper conjointement des services Cloud pour le march des entreprises.

3. Localisation de firmes trangres en Allemagne, s'intressant la position allemande et europenne sur ces problmatiques Aprs la rcente vague dattaques de pirates informatiques (ou hackers) sur des entreprises et administrations travers le monde, dont en Allemagne, Microsoft compte renforcer ses efforts de recherche sur la scurit des technologies de communication, et notamment des rseaux informatiques. Dans cette optique, lentreprise amricaine a annonc fin juillet 2011 louverture Munich dun laboratoire de recherche consacr la scurit des r seaux, o les experts se concentreront sur ltude des nouveaux types dattaques et les stratgies de protection appropries. Microsoft explique ce choix, tout comme Google propos de louverture de son Institut pour lInternet et la Socit Berlin, par une conscience allemande accrue sur les problmatiques de protection des donnes prives, et la motivation des chercheurs allemands dans ce domaine.

CONCLUSION Suite aux diffrentes attaques ciblant des administrations allemandes, la monte du parti Pirate, et la sensibilit de sa population quant la protection des donnes prives, l'Allemagne, via le BMBF et le BMWi, s'est dot d'une R&D en scurit informatique les plus performantes et reconnues d'Europe, notamment par ses 2 centres visibles de Darmstadt et de Bochum travaillant sur les infrastructures de donnes et la cryptologie. Ses instituts de R&D privs, tels les T-Labs (PPP entre Deutsche Telekom et la TU Berlin) ou le HPI (entre SAP et l'Universit de Potsdam) ont galement atteint une reconnaissance internationale notable. Profitant de ce terreau dynamique et voulant comprendre les attentes locales pour mieux les servir, les firmes de TIC globalises telles Google et Microsoft ont galement implant des centres de R&D autant tourns sur les technologies de scurisation que sur la sociologie des barrires l'acceptabilit. Majeure rencontre europenne des TIC et de l'lectronique et vitrine de la R&D allemande, le CeBIT avait en 2012 pour thme transversal "Managing Trust" (Grer la confiance), illustrant l'importance actuelle du sujet de la scurit informatique. Il fut d'ailleurs inaugur par la Chancelire Angela Merkel, la Prsidente du Brsil Dilma Rousseff, Dieter Kempf (Prsident du Bitkom, la puissante fdration allemande des TIC) et Eric Schmidt (Prsident du Conseil d'administration de Google). La

R&D prsente lors de l'vnement se focalisait sur le dveloppement de systmes cyberphysiques (interconnexion des quipements physiques et du cloud computing, visant la gestion flexible et automatise des usines de production, de la mobilit), et la scurisation des infrastructures de donnes, ncessaire l'acceptabilit de ces services Cloud et de gestion dlocalise. Les multinationales des NTIC Deutsche Telekom et SAP ont ainsi fait du terme "scurit" le mot-cl de leur R&D et de leur communication publique, le systme d'email scuris avec accus de rception de Deutsche Telekom ayant mme t finalement certifi par le gouvernement fdral. Volont de passer un cap dans l'interconnexion des systmes physiques par le numrique, besoin de scurisation et sensibilisation des utilisateurs aux efforts de R&D dans la protection des donnes traites, tels sont les piliers de la R&D en Allemagne sur les rseaux informatiques, qui s'inscrivent parfaitement dans les problmatiques actuelles des NTIC./