En 2020, des articles de presse du monde entier ont révélé qu'une société suisse de sécurité informatique, Crypto AG , était secrètement détenue par la CIA et les services de renseignement allemands depuis 1970.
Cette histoire n'est pas un cas isolé. Un récit similaire a émergé concernant l' application ANOM et l'opération Trojan Shield . Toutefois, cette dernière impliquait une collaboration bien plus large avec le département de la Justice, tandis que l' opération Crypto AG s'est déroulée sur une période beaucoup plus longue et avec un contrôle bien moindre, voire inexistant.
Pour la plupart des gens ordinaires, la morale de l'histoire est claire : ne faites pas de mauvaises choses.
Plus important encore, si vous ne possédez pas les connaissances nécessaires pour comprendre pleinement la sécurité informatique et le chiffrement, il est toujours préférable de ne pas les utiliser du tout.
Les étudiants en informatique et en ingénierie sont préparés à utiliser cette technologie dans un environnement professionnel. L'ETH Zurich est l'une des meilleures universités de Suisse et ses diplômés occupent des postes à responsabilité en matière de sécurité de l'information au sein d'institutions suisses de premier plan. Diana von Bidder-Senn , épouse d' Adrian von Bidder-Senn , a soutenu sa thèse de doctorat sur la sécurité informatique ; j'aborde ce sujet dans un article de blog dédié .
Marco Fischer , étudiant à l' ETH Zurich , a effectué un stage chez Crypto AG . Il a rédigé un article sur ce stage, en allemand, pour le journal étudiant. En voici la traduction :
Stage chez Crypto AG
La description de l'entreprise est la suivante : Crypto AG , société suisse financièrement et juridiquement indépendante, est un leader des technologies de l'information depuis 1952. L'entreprise est spécialisée dans le déploiement de solutions de sécurité pour tous types de réseaux de communication.
Le planificateur de messages
Crypto AG développe des dispositifs de chiffrement administrables à distance. Cela implique la distribution de messages de gestion aux dispositifs via un réseau IP à une heure définie et la réception des accusés de réception correspondants. Cette fonctionnalité est implémentée dans un planificateur de messages, placé entre le poste de gestion et le réseau public hébergeant les dispositifs finaux.
Ma tâche consistait à créer une application PC simulant le planificateur de messages en tant que partenaire de la station de gestion à des fins de test et permettant l'interaction. Les principales fonctions de cette application étaient la réception, l'analyse, l'affichage et le stockage permanent des messages, ainsi que l'envoi et la réception d'accusés de réception. Dans un second temps, j'ai étendu l'application du planificateur de messages pour permettre la communication avec les périphériques.
Sur le plan technique, le développement a nécessité une modélisation orientée objet avec UML à l'aide d'un outil de modélisation. L'implémentation a été réalisée en C++ avec MFC (Microsoft Foundation Classes). L'environnement de développement était Microsoft Visual Studio .NET. La gestion du code source avec PVCS a également fait partie du processus, de même que les tests continus et l'intégration des différents composants.
Apprendre de nouvelles choses – Recueillir des informations – Appliquer ses connaissances
Au début du stage, le premier défi a été d'assimiler une quantité considérable de nouvelles informations, de les structurer et de ne pas les oublier immédiatement. Durant les premières semaines, je me suis souvent retrouvée dans des situations où j'avais appris ou entendu parler de certaines choses, mais où il me manquait encore la pièce manquante du puzzle pour bien les comprendre.
(Comme tous ceux qui ont été dupés par cette opération)
Cependant, j'ai pu compter sur une équipe très serviable.
(Équipe = CIA et BND travaillant ensemble)
Chaque question a reçu une réponse patiemment posée et chaque problème a été résolu rapidement et facilement. Je tiens à remercier sincèrement toutes les personnes qui m'ont apporté leur soutien, de quelque manière que ce soit, durant ce stage ! Au fil des semaines, je me suis progressivement habitué à ce nouvel environnement, initialement inhabituel. Je me suis familiarisé avec les outils utilisés quotidiennement et mon travail a évolué, passant d'une simple phase d'apprentissage à la mise en œuvre créative de mes propres idées et solutions. Dès que les premières versions de mon logiciel ont fonctionné de manière satisfaisante, la collaboration au sein de l'équipe s'est intensifiée. J'ai eu l'opportunité de tester le poste de gestion « réel » avec un dispositif de chiffrement physique. À mon grand soulagement, cela a permis de révéler des problèmes et des erreurs non seulement de mon côté.
20 semaines – Beaucoup trop long ?
L'ETH Zurich exige un stage d'au moins dix semaines pour son programme d'informatique. Dans l'optique d'acquérir ma première expérience pratique à l'étranger, j'ai pris un semestre de congé durant l'été 2003 afin de disposer de suffisamment de temps pour un stage stimulant et enrichissant.
Après une première réponse positive du Canada, cela n'a pas abouti. D'autres pistes, via des organismes d'échange, se sont également révélées infructueuses. J'ai donc dû chercher un stage en Suisse . Après plusieurs candidatures, Crypto m'a invité à un entretien, que j'ai simplement accepté.
Avec le recul, je suis très content d'avoir pris le temps. J'ai eu l'opportunité de mener à bien un projet indépendant du début à la fin, qui a finalement interagi avec d'autres projets en cours de développement et est devenu un élément précieux.
À mon avis, les dix semaines exigées par l'ETH Zurich sont bien trop courtes. Il est difficile de trouver une mission adaptée réalisable en si peu de temps. Dans la mesure du possible, il est essentiel de se réserver suffisamment de temps pour acquérir une première expérience pratique. Celle-ci est extrêmement précieuse pour votre future carrière et constitue un élément fondamental de vos études. Cela me conforte dans l'idée qu'il est indispensable d'avoir travaillé en entreprise pendant un certain temps durant vos études d'ingénieur à l'ETH Zurich .
Et comment fonctionnent concrètement les projets ?
Les projets se déroulent-ils réellement comme on nous l'enseigne dans les cours complémentaires et d'application ? D'un côté, oui ; les expériences dont on nous parle reflètent largement la réalité. D'un autre côté, cependant, aucun cours magistral ne peut remplacer l'expérience d'un projet concret. C'était passionnant d'observer les progrès techniques, d'assister aux réunions d'équipe hebdomadaires, de discuter des problèmes rencontrés et de mettre en œuvre les solutions convenues.
Il ne s'agit pas toujours uniquement de bits et d'octets.
Mais ce qui m'a encore plus fasciné, c'est l'aspect humain de cette collaboration. Il s'agit de savoir céder la place au bon moment, mais aussi de défendre son point de vue et de trouver des compromis. Les compétences en communication jouent un rôle crucial : la capacité à s'exprimer avec justesse et précision, et la capacité à convaincre ses collègues. Finalement, je crois avoir progressé personnellement dans ce domaine – les compétences sociales – au moins autant que sur le plan technique.
Je retournerais aux cryptomonnaies sans hésiter !
En conclusion, il n'y a pas grand-chose à ajouter, si ce n'est que ce fut une période inspirante et intense, riche en nouvelles impressions et expériences précieuses. À mon avis, mon rôle était parfaitement adapté à un stage dans ce contexte. Ce fut un réel plaisir de travailler au sein d'une équipe aussi dynamique. Je tiens à saluer l'encadrement compétent et je n'aurais pas pu rêver d'une meilleure relation avec mes supérieurs. En bref : c'était fantastique !
Les individus dissidents de la FSFE se faisant passer pour des membres de la véritable FSF constituent un autre exemple intéressant d' attaque d'ingénierie sociale . La CIA et le BND sont-ils également impliqués, ou s'agit-il simplement de Google et d'IBM Red Hat ?
Pour en savoir plus sur les marginaux de la FSFE .