vendredi 3 juillet 2009

L'échec de la sécurité française

Ou pourquoi il faut arrêter de me saouler avec les "0day" ...

Les français ne manquent pas de talent dans le domaine de la sécurité informatique. Malheureusement ils ne s'épanouissent pas forcément dans leur pays d'origine. Parmi les gens que j'ai connu personnellement et qui sont partis, on peut citer:
  • Kostya Kortchinsky
D'abord CERT Renater, puis EADS, et maintenant Immunity (à Miami). Il s'est illustré par l'exploitation de la faille MS08-001 (qualifiée d'impossible par Microsoft) et l'évasion de VMWare (attaque CloudBurst).
  • Nicolas Pouvesle
Anciennement Tenable Network Security (n'oublions pas que Nessus est un produit français à l'origine), cité par H.D. Moore comme "Top Influencer", contributeur du projet Metasploit, auteur du plugin PatchDiff2 pour IDA Pro ... et maintenant chez Immunity également.
  • Thomas Garnier
Anciennement SkyRecon (un autre produit français), auteur de failles innombrables dans le composant GDI de Windows, il est parti chez Microsoft Corp. lors de la reprise en main de SkyRecon.
  • Julien Tinnès
Anciennement FT R&D, il est parti (comme beaucoup d'autres) chez Google lorsque cette entité a été rattachée au marketing sous le nom d'Orange Labs. Il s'est illustré récemment sur la faille Java util.calendar(), mais tourne en fait dans le milieu depuis longtemps.
  • Julien Vanègue
Chef de file du projet ERESI, il a fini par virer sa cuti et rejoindre l'équipe MSEC de Microsoft.


Bien sûr, il existe encore probablement beaucoup de gens de qualité dans l'underground et l'upperground français. Mais quand je lis que la mise en oeuvre de la LOPPSI va peut-être nécessiter des "0day" pour installer les mouchards à distance, je manque de m'étouffer.

Non seulement la plupart des gens ayant démontré publiquement une certaine capacité dans le domaine sont partis, mais de plus tous les programmes publics d'acquisition de "0day" sont étrangers (américains en fait, sauf feu-WabiSabiLabi).

Si c'est pour faire appel à des projets universitaires, et sans mauvais esprit aucun (je ne suis pas connu pour ça :), on aura peut-être un fuzzer pour les syscalls NT4 dans 3 ans après avoir usé 5 thésards ...

Si c'est pour mettre le flingue sur la table ou la tête dans le caniveau, ça ne marche pas: il est impossible pour un magicien de créer un objet magique sous la contrainte.


Alors bien sûr, quelques initiatives sortent du lot, comme la conférence iAWACS: international Alternative Workshop on Aggressive Computing and Security - The No Limit Workshop, selon leurs termes.

On pourrait imaginer un programme particulièrement alléchant, comme:
Mais j'ai vaguement l'impression que le résultat final sera un peu moins sexy ... Espérons que les meilleures soumissions se verront exploitées sans passer par la case "publication" !


Pour finir, je campe sur ma position qui a toujours été claire depuis le début: les "0day" ne servent à rien (dans 99,9% des cas, je mets de côté le cas des systèmes vraiment protégés).

Ainsi le dernier numéro (n° 4/2009) du magazine Hakin9 m'est arrivé en anglais. Erreur de routage ou disparition de la version française ? Peu importe, la version anglaise est finalement comparable à la version française: les articles sont extrêmement inégaux en qualité (sur le fond et sur la forme).

Et là, un certain Carsten Köhler (visiblement très actif par ailleurs) nous délivre ses tricks de pentesteur, et explique par exemple qu'il est possible de créer des fichiers arbitraires sur n'importe quel système Windows qui partage au moins une imprimante.

Je reviendrai plus tard sur les détails techniques, mais voilà exactement le genre d'astuce qui marche "pour de vrai": une faille de conception (donc très difficile à corriger), multi-versions, multi-langues, ne risquant pas de planter le système distant, exploitable via les API Windows. Rien à voir avec un "0day" au sens où on l'entend d'habitude !

103 commentaires:

Anonyme a dit…

La backdoor de security box?

It's so last millenium.
Etude de HSC: 1999.

Et puis bon, il me semble que c'est dans la base de la crypto. Toute les opérations de crypto doivent pouvoir être surchiffrées avec une clé de recouvrement. Je ne vois rien d'anormal à ça.

mxatone a dit…

Je pense que c'est bien resume. Je me souviens quand avec Julien Vanegue on avait rencontrer Kostya a la Blackhat Europe 2007 avant la presentation ERESI, il bossait deja pour Immunity et la premiere chose qu'il m'as dit (ou presque) c'etait : "Casse toi de la France" (je resume un peu la).

Apres quelque temps et quelques bulletins, il me paraissait clair qu'il est tres dure de s'epanouir dans la securite informatique en France. Selon moi, il est clair que la sacralisation du diplome sur la passion ou le talent est un facteur important. On trouve pleins de mecs qui sont tres bon en reverse, en code, en attaque et qui se retrouvent dans une pauvre boite de VOIP a faire du PHP.

Apres en lisant tout ca, on peut dire que tu fais de la resistance alors :).

Sid a dit…

@mxatone: si on veut parler de sacralisation du diplôme, j'aurais deux noms à citer:

- Nicolas Brulez, qui vit certes encore en France mais bosse bel et bien pour les ricains de Websense ;

- Mathieu Suiche qui après un remarquable travail sur le forensic mémoire Windows s'est expatrié aux Pays-Bas et a démontré qu'on pouvait trouver un excellent boulot bien que n'étant pas en âge de boire à Vegas...


Globalement, c'est super triste qu'à une époque où on ne parle plus que de CyberSecurity et de capacité informatique offensive (cf. Livre Blanc sur la question), on ne sache pas retenir les gens compétents en France.

Et pour côtoyer ces gens, ainsi que certains de la liste ci-dessus, je peux déjà affirmer aux mauvaises langues que non, le salaire n'est pas la raison number one de leur expatriation (mais ça joue aussi, faut pas se le cacher)...

mxatone a dit…

@Sid: Tout a fait d'accord avec ta liste (et ta reponse plus globalement). Nicolas Brulez est tres tres bon et le fait qu il bosse pour Websense veut tout dire. Apres Mathieu Suishe est aussi tres bon (surtout vu son age) et qu il aille au Pays-Bas est aussi revelateur. On verra aussi ou le petit Ivanlef0u va aller.

Personnellement, le salaire n'etait pas ma raison principale (loin de la). C'etait plus une raison d'opportunite et de challenge. Est ce que ton employeur te motive a te depasser ? Ou c'est toi qui t'oblige a faire mieux et tes efforts sont a peine considere ? J'etais annonce comme Senior dans les bulletin de presse tandis que je n'en avais pas les responsabilite, ni meme la reconaissance. J'etais stagiere (pendant la moitie du temps) et non diplome.

Je ne me suis pas etaler sur le coter gov car mon experience est tellement pitoyable qu'elle ne merite aucun commentaire, ni aucun debat. Mais je pense que ca peut clairement pousser certaines personnes a partir. Je me demande meme ou se situe la France en terme de force IT dans le monde. Roh qui a dit dans les derniers ?

Thomas

Ivanlef0u a dit…

Je vais aller dans ton cul Thomas !

neces a dit…

il reste encore Chaouki Beckrar et Vupen.com !!

newsoft a dit…

@neces: je me suis toujours demandé, est-ce que VUPEN ne serait pas qu'un simple revendeur Secunia ?

Matthieu a dit…

Ca me fait pense a un livre de 1982 appellé L'intelligence gaspillé -- L'Etat francais connait ce probleme depuis une 30aine d'année.

@Sid: Mais je pense que dans l'info (enfin les gens qui font des trucs) tout monde dira que c'est les conditions de travail qui sont le plus important, et de pouvoir bosser sur des trucs qu'ils aiment. Et comme @mxatone l'a dit le challenge et l'opportunité.
Contrairement a ce que certain voudrai faire croire:
http://www.lefigaro.fr/international/2009/05/07/01003-20090507ARTFIG00494-des-pirates-du-net-au-service-des-etats-.php
«c'est qu'ils finissent toujours par se vanter quelque part». Ou partir à l'étranger. Des nations comme les États-Unis mènent un actif recrutement des meilleurs, avec d'attractifs salaires… que la France ne peut ni n'entend offrir aujourd'hui.

@mxatone Pour le classement Force IT, ca depend de ce que tu definis par "France" :)

@Ivan: Ton temps est compté, MSFT défreeze les embauches en debut 2010. A moins que ... (jai un gros troll sur le bout de la langue.)

Mais d'un point de vue sociologique on peut poser la question suivante, un expat reste expat combien de temps?

mxatone a dit…

mouarf Ivan ... te presse pas alors :/

mr potatoe a dit…

Non mais vupen (frsirt), y sont obliger de spammer tlm pour dire qu'il ont changer de nom ( et pas la peine qu'il vienne nous sortir un vieille excuse genre un probleme de DB , meme si cet excuse passe avec les vendeurs de la fnac).

Et si les personnes competentes se barrent c'est aussi a cause de l'ingratitude de eur employeur :P

Anonyme a dit…

Newsoft : je me suis toujours demandé, est-ce que VUPEN ne serait pas qu'un simple revendeur Secunia ?

Ils font de l'exploit exchange aussi!

Julien Vanegue a dit…

Il ne faut pas exagerer : certaines equipes francaises sont parfaitement capable de retenir de tres bons experts. Due la nature de leur metier, on n'entend simplement pas parler d'eux... Il existe aussi plusieurs petites structures fondees par les francais qui sont tout autant tres discretes et tres efficaces. En fait, la grande difference entre les equipes americaines et les equipes francaises se trouve dans l'exposition aux media..

Pour equilibrer mon opinion, il faut aussi avouer que le marche international est beaucoup plus important que le marche national, il y a donc beaucoup d'opportunites a prendre outre-mer. Tout depend ensuite du gout aventuresque de chacun. Bien des talents n'ont pas envie de quitter l'hexagone pour des raisons personelles et ne s'engouffre pas dans l'industrie de la securite informatique.

newsoft a dit…

@anonyme: tu veux dire que VUPEN achèterait des exploits ? Ils ne s'en vantent pas sur leur site ...

@julien: on m'a effectivement reproché d'avoir une vision trop "people" de la sécurité. Mais j'ai l'impression que les gens qui travaillent dans leur coin et ne s'exposent jamais au monde réel finissent par s'étioler techniquement et s'enfermer dans leurs certitudes.

Il m'est effectivement arrivé de croiser en réunion des individus mutiques et narquois, très sûrs d'eux-mêmes (peut-être à juste titre). Mais au final, j'attends toujours d'être impressionné ...

Anonyme a dit…

@Newsoft: Non ils les vendent, ils n'achètent effectivement rien du tout puisque leur principal argument est :
"La qualité d'un exploit pour un pen-test est très importante"

Résultat : 4 indiens qui reversent Acrobat et les patchs Tuesday pour pondre des PoC qui marchent pas. En même temps pour monter un marché de l'exploit en France faut s'accrocher, on ne peut que saluer l'initiative :).

Reste leur exploit exchange (il parait).

Newsoft: Mais j'ai l'impression que les gens qui travaillent dans leur coin et ne s'exposent jamais au monde réel finissent par s'étioler techniquement et s'enfermer dans leurs certitudes.

Pilule bleue toi-même!

funkinessflavor a dit…

Je me permets donc de poser la question qui brûle les lèvres de tous les lecteurs de cet article:
combien êtes vous payé par votre employeur ? ;) [*]
La question est également valable pour vos collègues people ainsi que les autres moins exposés.
En tout cas j'espère (sans trop d'espoir malheureusement) que c'est bien plus qu'un consultant lambda.

[*] On est en France, il faut bien un smiley pour faire passer ce genre de message.

Julien a dit…

Malheureusement le problème va bien au delà du problème de la sécurité informatique.

En sécurité informatique, (et, j'imagine, dans beaucoup d'autres domaines techniques), le nombre de personnes compétentes en France est assez impressionant. Je suis chaque année un peu plus surpris de constater la qualité d'une conférence comme le SSTIC ainsi que le nombre de personnes qui sortent des trucs bluffants tranquilement sur leur blog, sans que personne de le remarque (souvent en Français en plus, ce qui n'aide pas).

Le problème c'est que en ce qui concerne les boulots techniques, la reconnaissance est dure. Pas étonnant que la plupart des élèves de grandes écoles veulent être chef de projet au bout de 2 ans, quand ce n'est pas à la sortie de l'école.

Dans la plupart des boîtes en France, faire de la technique signifie être en bas de l'échelle. Dans certaines grosses entreprises, il y a parfois une filière "expert", mais ce qu'on y qualifie de technique serait souvent appelé fonctionnel dans une société américaine. Dans une carrière typique, si à 35 ans vous faites encore de la technique, on considère qu'il y a un problème.

Cela est bien différent de ce que j'ai pu constater dans les grosses sociétés américaines travaillant dans les nouvelles technologies, où il y a souvent une 10aine d'échelons dans la filière technique et où un ingénieur logiciel avec 20 ans d'expérience, est bien souvent une des personnes les plus importantes de la société.

Il n'y a pas de secret, tout celà est dû au coeur de métier. Si vous êtes Apple, Cisco, Google, Yahoo ou Microsoft, vous avez besoin d'ingénieurs pour faire vos produits, car c'est l'innovation et le savoir faire technique qui comptent! Et bien souvent vous ne pouvez pas sous traiter.

Dans bien des boîtes Françaises au contraire, la techinque est considérée comme quelque chose qui évolue trop vite et qui doit être sous traité. Et si votre division R&D est rattachée au Marketing, que les développeurs sont tous externes, que l'activité de développement est considérée comme un travail qui ne nécessite pas de réflexion et que les ingénieurs ont du mal à avoir un deuxième écran ou une deuxième machine quand ils en ont besoin, "you're doing it wrong".

Si vous réfléchissez à aller travailler dans une société qui développe un quelconque produit, faites lui passer le Joel Test. C'est un bon moyen de savoir si vous allez vous arracher les cheveux ou non.

newsoft a dit…

@anonyme: c'est ce que j'appelle "le syndrôme des utilisateurs OpenBSD". 5 gus dans un garage qui attendent que tout le monde migre vers leur fabuleux système après s'être rendu à l'évidence de sa supériorité technique (PS. ils attendent toujours).

@funkinessflavor: j'empêche les avions de s'écraser et je gagne moins qu'un CISSP ou qu'un consultant ISO 27000.

newsoft a dit…

(suite du rant)

@julien: excellent ton lien. Il est clair que l'industrie logicielle n'invente plus rien en France (d'ailleurs il a failli ne pas y avoir de Prix de l'Innovation cette année aux Assises de la Sécurité).

Et ça n'est pas en distribuant de l'argent à droite et à gauche pour soutenir "l'innovation" qu'on va lutter contre l'incompétence et la médiocrité en haut de l'échelle, ainsi que l'incompétence et la démotivation en bas de l'échelle.

Tous les profs de lycée vous le diront: les jeunes ne veulent plus faire de carrières scientifiques, ils veulent faire du commerce pour gagner de l'argent rapidement (et pas forcément par le travail).

@funkinessflavor: si on est obligé de mettre un smiley en France, c'est parce que salaire == grille (en sortie d'école) ou salaire précédent + 20% (au mieux). C'est totalement indépendant de la compétence ou de l'expérience du candidat, ce qui crée des inégalités énormes. Dans le monde anglo-saxon, le salaire est attaché au poste et tout le monde peut candidater (enfin je caricature, mais je pense que les lecteurs réguliers de ce troll-blog comprendront :).

bartavelle a dit…

Ce n'est pas parce qu'on n'est pas public que l'on ne se tient pas informé de ce qu'il se passe ou qu'on ne travaille pas dans la vraie vie !

Matthieu a dit…

@newsoft Le fait est que en France quand on ne fait pas ses etudes a Janson De Sailly avant de vouloir poursuivre une carriere precise, on doit faire face a une structure anthropologique du milieu scolaire qui remet les esperances de survis dans le milieu de l'education francaise a un niveau tres faible. Si tu compares le nombre d'enfants qui veullent devenir astronaute a 6 ans, puis le nombre d'ados qui veullent devenir commercial ou joueurs de foot -- ca resume le probleme.

Mais bon c'est un autre probleme :)
Apres, tout depend de si on considere le hacking comme une science dure ou pas.
Cf le papier de Jon Pincus (ex-inge Microsoft qui s'est fait racheter debut 2000 ses produits PREfix et PREfast qu'on retrouve dans la WDK/DDK.) http://www.achangeiscoming.net/docs/cssocsci.html

funkinessflavor a dit…

newsoft: c'est bien malheureux de se dire qu'il y a une palanquée de vos lecteurs qui gagne plus qu'un lead auditor et qui pourtant ne comprend peut-etre pas 50% des sujets que vous abordez (enfin surtout sur l'autre blog).
Il faudrait penser à ajouter un petit "donate" à base de paypal ;)

Un léger HS (quoique... en rapport avec le titre du billet) pour finir:
La DCSSI a enfin muté cette nuit:
http://www.anssi.gouv.fr/index.html

newsoft a dit…

@funkinessflavor: pas la peine, Google offre une option "Monetize" sur les blogs maintenant :)

newsoft a dit…

@bartavelle: le problème ça n'est pas vraiment de savoir qui est "public" et qui ne l'est pas. Je ne conteste pas qu'il existe plein de gens compétents et totalement inconnus.

Le problème c'est de savoir s'il est possible de trouver et de conserver un travail technique intéressant et valorisant en France ... ou si tout le monde est destiné à produire du slideware sur le long terme.

Julien a dit…

Je peux témoigner, pour en connaître pas mal, qu'il y a beaucoup de gens très compétents qui refusent de rentrer dans le "security circus" :)

Les boulot techniques en France se font rares, et quand ils existent ils ne sont malgré tout pas valorisés et souvent éloignés du coeur de métier.

Anonyme a dit…

Après avoir lu tous ces commentaires désabusés, que conseillez vous pour quelqu'un qui souhaite faire de la technique et pas du management[1]?

J'ai l'impression qu'hors du management qui est considéré (paye y compris), la technique est toujours laissée de côté, voire dévalorisée.

[1] A noter que cette question vient d'être posée sur slashdot:
http://developers.slashdot.org/story/09/07/07/2256206/Tech-Or-Management-Beyond-Age-39?art_pos=3

newsoft a dit…

@Anonyme: comme le dit très justement Julien, il faut choisir une société pour qui l'informatique et/ou la sécurité est au coeur du métier, et non une simple fonction support ...

En France la liste des sociétés qui vérifient ce critère doit être assez vite bouclée.

Sinon l'ANSSI recrute massivement en ce moment ... mais ce sont des contrats de 3 ans.

Anonyme a dit…

Certes, mais comme dit plus haut, on a beau être motivé par la sécurité, on se retrouve à faire de la VoIP dans une boîte qui fait du php...

Pour l'ANSSI, pourquoi pas, mais partir trois ans à Paris, ça fait réfléchir (et là, c'est clairement un pb de paye).

Pour les autres boîtes; quelles sont elles qui font de la sécurité? Pas dans le genre je vends mon procédé de chiffrement ou de firewall, mais qui fait _vraiment_ de la sécurité: recherche, veille techno, maquettage et PoC, etc? Pour en avoir parlé avec des collègues, même des boîtes estampillées "sécurité" comme une boite vendant du chiffrement n'offre finalement pas de place à la sécurité.. Le fondateur et le codeur principal sont au coeur de l'enjeu sécurité, le reste ne fait que du support/ dev d'IHM/ service pro classique comme n'importe quelle boite..

'fin, je suis un peu désabusé moi-même aussi :)

funkinessflavor a dit…

newsoft: le cdd de 3 ans n'est rien à côté des autres "mais" mon capitaine

newsoft a dit…

@anonyme: je te conseillerais bien quelques cabinets de conseil, mais on me reprocherait de faire de la pub :)

@funkinessflavor: si tu as un avis éclairé et circonstancié sur la question (i.e. la liste des "mais"), je suis preneur !

Je sais déjà que la plupart des postes vont être basés au Mt Valérien :)

Fred a dit…

Sans vouloir faire de la pub, dans ma boite on fait vraiment de la sécu et pas du dev d'IHM : pentests à la main, exploitation de failles réelles, dev de petits outils pour les pentests, veille, maquettes et PoC.
Cela étant dit et sans vouloir froisser quiconque, il faut savoir que dans une vraie boite qui fait de la sécu son coeur de métier, il n'y a pas de place pour des geeks/hackers qui placent dès qu'ils peuvent un bon "crosoft ? c de la merde, les boites devraient utiliser Debian". Les personnes, qui se considère comme des experts sécu, sont le plus souvent incapables de travailler en dehors d'un laboratoire, c'est à dire avec des clients. Elles ne sont pas très ouvertes, elles sont souvent frontales et ne peuvent ainsi pas comprendre les contraintes du business : faire des rapports, ne pas passer 3 jours à exploiter un XSS dont tout le monde se moque, vulgariser des résultats à des gens qui n'y comprennent pas forcément grand-chose, mais doivent décider, etc.

Bref, pour gagner sa vie en sécurité en France, c'est possible, mais faut savoir parler, présenter, hacker, se laver les cheveux, être ouvert et parfois se taire même.

Anonyme a dit…

Ok. Une adresse mail ou je peux te demander la liste de ces cabinets?

Je n'ai pas trouvé l'info sur le site blogspot (?)

Kostya a dit…

Concernant la Mere Patrie, je lui saurais gre de bien vouloir se rendre compte que tenter d'enculer a repetition ses citoyens n'est pas la meilleure des solutions pour les pousser a rester.

Si vous avez le choix entre un CDD de 3ans a 45kE (je ne connais pas les salaires mais j'imagine) ou un CDI-like Americain a 150k$ par an, je ne pense pas que vous tergiverserez longtemps.

Je suis extremement decu par l'inabilite francaise a s'adapter aux nouvelles contraintes d'une mobilite internationale accrue, ou plus simplement a evoluer.

Le jour ou le gouvernement francais se rendra compte qu'il faut faire des efforts (financiers et autres) pour concurrencer les autres pays, ce sera un grand pas en avant.

En attendant, cassez-vous, c'est mieux ailleurs.

vupenlover a dit…

@newsoft: tu veux dire que VUPEN achèterait des exploits ? Ils ne s'en vantent pas sur leur site ...

VUPEN n'achète AUCUN d'exploit, tout est fait en interne que vous le vouliez ou non ;-) les meilleurs chercheurs français sont recrutés par VUPEN, vous n'avez qu'a voir les failles qu'ils découvrent ...

http://www.vupen.com/english/research.php

s'ils ne vous ont pas recruté c'est que vous ne faites pas partie des meilleurs, c'est tout ;-) frustrés va !

newsoft a dit…

@fred: je suis d'accord avec toi dans la majorité des cas: il est impossible de travailler au quotidien avec des cas sociaux.

Il reste quand même le cas extrême du pentest "no limit" (certains appeleraient ça de la cyberguerre :) qui fait appel à de la compétence pure. Mais c'est marginal en volume d'activité.

@vupenlover: j'ai dit que j'avais cotoyé les meilleurs, je n'ai jamais prétendu en faire partie :)

Bilou a dit…

@Anonyme: "Résultat : 4 indiens qui reversent Acrobat et les patchs Tuesday pour pondre des PoC qui marchent pas. "

-> tu sors ça d'où?

@Kostya: tu nous fais bien envie avec tes histoires d'American dream. Tu garderais une petite place là bas pour un ancien Imagien =D?

Anonyme a dit…

Je me lave les cheveux, plus que parler, je sais écouter et je trouve que debian ne fait rien d'autre que saborder des beaux outils comme openssl :)

Ceci dit, il est vrai qu'il existe un gap entre la sécurité, la vraie, celle qui empêche quasiment de se servir d'un système informatique et la sécurité que je qualifierai de pragmatique. Et effectivement il est parfois difficile de faire le pont entre ces deux mondes.

jme a dit…

Quel modeste ce newsoft. Il est un peu à la sécurité informatique ce que l'albatros de Baudelaire est au navire et c'est aussi pour ça qu'on l'aime.

Kevin a dit…

@Anonyme: Si tu cherches des boîtes de sécurité informatique, indépendantes, qui ne vendent pas de produit et qui ne font pas d'intégration, la liste de ce genre de boîtes en France doit se compter sur les doigts d'une main. Google est ton ami ;-) Quand on est dans la sécu depuis longtemps, on a forcément un nom en 3 lettres qui vient immédiatement à l'esprit mais bon, la sélection est plus que sélective pour y entrer...
Sinon, l'ANSSI devrait embaucher prochainement il me semble.
Après, comme l'a dit Fred plus haut pour sa boîte, être consultant pour ce genre de boîte nécessite de multiples facettes qui vont du barbu qui nerd comme un fou lors d'un pentest ou pour reverser une techno improbable, en passant d'auditeur (propre sur lui, rasé de prêt et qui sent bon) sur de multiples OS, équipements et archis réseaux, qui sache écrire pour les rapports, qui sache présenter les résultats des audits aux équipes techniques et/ou aux directions, voire faire des confs quand il a le temps ou l'envie, mais qui sache aussi se taire... par exemple pour ne pas divulguer les vulnérabilités des clients... ou leurs nouvelles technos...
Bref, l'ami Google devrait bien te sortir 4 ou 5 cabinets de consultants.

Anonyme a dit…

Pourquoi job en sécurité == consultant || pentest ?
A ma connaissance, il y a pas mal d'autres aspects et possibilités.

Blabla a dit…

@Kostya : il n'y a pas que le pognon dans la vie ! Lorsque je me suis engagé, je n'avais aucune idée de ce que je gagnerais mais je l'ai fait (j'avoue que je n'avais pas en charge d'une famille).
D'autre part, il n'y a pas que l'ANSSI. D'autres organismes gouvernementaux existent et peuvent offrir sans doute de bonnes conditions de travail (la France vient d'adopter une doctrine LIO). D'autres se sont bien amusés pendant 20 ans au service de la mère patrie. Demandez à Eric Filiol par exemple...

funkinessflavor a dit…

newsoft: réponse faite par mail.

Anonyme: tout à fait, sécurité = sysadmin également comme nous le montre le nouveau portail du gouvernement sur les métiers de l'internet avec l'expert sécu qui est classé dans... l'administration ;)

Un francais exile a dit…

@blabla: Eric Filiol n'est pas exactement considere comme une reference en securite informatique ni dans les domaines connexes ou l'on aurait attendu le reflet de son titre militaire dans la pratique.. j'oserais meme dire que c'est un exemple a ne pas suivre si on veut etre credible dans ce domaine. Mais nous ne sommes pas la pour polemiquer...

Quant au fait quil ny a pas le fric dans la vie, cest sans doute vrai a 20 ans mais a 30 les choses changent et il faut bien finir par gagner sa vie. On ne peut pas rester un rat de laboratoire pendant toute sa vie.. en tout cas je ne le ferais pas.

Sid a dit…

@Kevin: "Google est ton ami ;-)"

C'est pas top sympa de renvoyer à Google quelqu'un qui apparemment a déjà du mal à trouver l'adresse email de news0ft...

@Blabla: "la France vient d'adopter une doctrine LIO"

Changer le nom de la DCSSI ou publier un livre blanc, ce n'est pas ce qui va changer les choses dans la vraie vie. Et s'agissant de LIO, le changement, on l'attend encore....

Matthieu a dit…

@vupenlover: Desole mais je n'ai jamais entendu parle de VUPEN de ma vie avant d'avoir lu ce blogpost.

@Blabla: Je suis d'accord que l'argent ne donne pas un sens a la vie. Les castes academiques franciases dont l'elitisme est prone par notre president qui a echoue a l'IEP non plus. Pourtant... Donc le minimum quand on attend qu'un job donne du sens a ses actions ce que ce qui l'entoure est un sens.
D'autres organismes gouvernementaux existent et peuvent offrir sans doute de bonnes conditions de travail
Les promesses n'engagent que...

Bon en gros d'apres ce que j'ai lu pour devenir des vrais experts secu on doit passer par cours florent?

@Fred: Sans vouloir froisser ta chemise, je croyais que une des regles du hacking c'etait de ne pas se fier aux apparences. Je suis assez decu la.

!constructif a dit…

@un francais exile : tu n'es pas exactement considere comme une reference en courage, ni dans les domaines connexes ou l'on aurait attendu le reflet de ton honetete dans la pratique...

Bref, c'est la classe de balancer anonymement juste en nous donnant ton opinion et aucun argument.

Quant à la 2eme partie de ta reponse, j'espere que tu auras une rolex avant tes 50 ans...

Anonyme a dit…

@Matthieu et @news0ft:

A propos des formations, que pensez vous des Masters sépcialisés sécurité?
Je vois l'ESIEA (en plus Sid donne des cours la bas): MSSI&S
Le telecom Paristech (mastere SSIR)
et l'ENST Bretagne (Sécurité des systèmes d'information)
En voyez vous d'autres? Comment sont-ils cotés?

newsoft a dit…

Des master(e(s)) sécurité ou assimilé, il y en a plein: Cryptis à Limoges, UTC (Compiègne), IMAG (Grenoble), etc.

Maintenant comme je n'y donne pas (ou plus) de cours, je me garderai bien de donner un avis.

Ce qui est sûr c'est que même si tous les élèves ont suivi la même formation, tous ne se valent pas à la sortie !

Blabla a dit…

@Un francais exile : "son titre militaire" : je ne sais pas ce qu'est un "titre militaire". Quant à l'homme, ça n'est peut-etre pas le meilleur technicien sysadmin, mais il a d'autres compétences (je sais par exemple que lorsqu'il signe un papier dans MISC, je vais généralement être largué...Mais je ne suis même pas l'ombre d'une réference...)

D'autre part, conçernant l'argent, je suis d'accord. Mais Kostya "crache" sur 45K€ /an, ce qui est quand même une belle somme. Et quel que soit le pays, les fonctionnaires sont toujours moins bien rémunérés que dans le privé (mais il y a d'autres avantages). Après il y a un truc qu'on peut appeler vocation ou autre qui permet de se dire qu'on sert à autre chose qu'enrichir son patron et/ou ses actionnaires.

@Sid : je l'avoue. Mais les grosses structures ont toujours du mal à bouger. D'ailleurs, le moment de la mise en place d'un projet n'est il pas le plus intéressant ?

@Matthieu : le fait de servir certaines idées donne un sens à son action...

Julien a dit…

@blabla: En France, 45KE est actuellement un bon salaire d'embauche a bac+5 (bonus compris)
Pour quelqu'un de compétent avec de l'expérience, et une expertise, ce n'est pas super excitant, mais c'est effectivement un salaire que beaucoup vont accepter.

Les salaires ne montent pas également parce que les quelques (rares) employeurs qui cherchent des gens compétents en sécurité trouvent souvent quelqu'un à ce tarif, c'est la loi de l'offre et de la demande. N'oublions pas que la vraie demande elle est pour des CISSP qui vont faire des slides, pas pour des gens avec une compétence technique.
C'est pour cela aussi que certains s'énervent en voyant des gens plein de talents accepter ces salaires, car ils "tuent" le marché.

Alors évidemment, le dit marché est différent à l'étranger, mais il y a tellement de raisons pour rester en France que je ne pense pas qu'on voie une grosse vague d'émigration de si tôt:
- un célibataire vit *très* confortablement en France avec 45KE brut (~34 KE net), il fait partie des 10% les plus riches.
- pouvoir vivre a Paris (toutes les villes de la Silicon Valley s'apparentent à Pouillis-les-oies, ce qui peut être dur à supporter si vous venez de Paris)
- vivre dans un pays avec une sécurité de l'emploi, un confort de vie (vacances, culture, etc..)
- les problèmes de Visa, notamment aux USAs qui ont une politique atroce à ce sujet
- se faire embaucher, même si on est compétent, peut également être difficile. Combien de Français publient intégralement dans cette langue sur leur blog ou dans MISC et restent complètement inconnus à l'étranger? De plus je remarque que les Français sont souvent bien modestes en comparaison des américains, maîtres de la communication.

Par contre, si je ne pense pas que les salaires soient vraiment un facteur important dans l'exode, ils empêcheront peut être le retour de certains si les autres facteurs qui génèrent l'exode changent un jour.
Même si on est pas obnubilé par l'argent, diviser son salaire par 2 sans avoir l'impression de se faire avoir, ça n'est pas facile.

funkinessflavor a dit…

Il est possible d'être payé bien plus de 45k... en ssii...
Un mec vendu à 450 euros / jour peut être payé 60k (fixe only) sans problème.

@Julien:
"un célibataire vit *très* confortablement en France avec 45KE brut (~34 KE net), il fait partie des 10% les plus riches."

Une célibataire plutôt, non ? ;)
Le dernier décile est > 40 306 nets pour les hommes.

Sinon il y a le calcul du niveau de vie qui ne se limite pas aux célibataires.

Matthieu a dit…

@Anonyme: Je ne connais pas du tout les programmes mais selon moi la securite/hacking reste un domaine non academique. C'est en partie impossible pour des raisons juridiques, et de l'autre cote (IMHO) ca tue la curiosite intellectuelle. Un systeme educatif c'est avant tout travailler avec une methodologie etc etc. Mais ca ne reste que mon avis personnel. Mais bon le simple fait que EPITECH reste la formation la plus populaire est une reponse suffisante a ta question (IMHO again)

@Blabla Servir des idees comme l'Amendement 42:
« Projet de loi tendant à préserver le patrimoine des artistes redevables de l’impôt de solidarité sur la fortune et à leur faciliter l’accumulation du capital ».
http://www.assemblee-nationale.fr/13/amendements/1841/184100042.asp
Je ne trouve pas que ceci est un argument convainquant. Mais bon si vivre dans l'hypocrisie politique t'exite pourquoi pas.

La France n'offre que tres tres tres peu de challenge intellectuel pour une personne ayant de l'interet dans la securite informatique et une volonte de faire des choses constructives avec un sens. Se voir reduire a faire du pentest pour des gens qui insupportable dont la hierarchie social est plus importante que lui alors que leurs competances globales (pas seulement en info) donnent tout simplement envie de se couper les veines du coude au poignet. Depuis debut 2009 la masturbation politique autour de la securite informatique fait que tout le monde pense que les 0days c'est cool alors que ces gens qui s'exitent autour ne se comprennent meme pas entre eux. Il y a (IMHO) une partie des gens qui pensent que leurs travaillent sera enfin valorise et reconnu a sa juste valeur (*LOL*) alors on voit de plus en plus de labo dedie a l'offensif se creer, mais derriere encore une fois les raisons sont et resteront economique. On vit dans une societe narcissique ou les dirigeants sont obcede par le fait d'avoir de plus en plus de profit meme si cela veut dire licencier des centaines de personnes qui ont une famille quand les grilles excel deviennent rouge.

Prenons cette annonce typiquement francaise, C'est tout simplement a mourrir de rire, la moitie de nos ministres n'ont meme pas la moitie des qualites requises. Voir meme ce niveau d'etude.

!constructif Va dire ca a ton employeur, il va bien rire a ton nez.

Le vrai probleme reste que les challenges sont mediocre, et qu'on sert des gens mediocres. MISC, les exploits offensifs et l'ANSSI tout le monde en a rien a foutre et personne dans la rue ne sait que ca existe, que la plus part des hackers finissent depressif car ils trouvent que leurs jobs n'ont aucun sens, et qu'il a rien de passionnant quand ils en parlent a une nana. Le coeur meme de metier de consultant est aussi deprimant que trader, sauf qu'un trader leve plus de chicks a l'annee.

Donc forcement, il est normal que certain prenne la fuite en esperant moins pire ailleur.

Blabla a dit…

@Julien : je suis globalement d'accord avec toi. Dans le salaire à l'étranger, il faut bien intégrer que les couts ne sont pas forcément les mêmes. Par exemple aux Etats-Unis j'ai appris que les frais de scolarité pour les enfants (je suppose en université), atteignaient plus de 20.000 $ ! Et les loyers à Londres (même si c'est généralement du meublé) sont bien plus chers qu'à Paris. Il ne faut donc pas se lancer à la légère dans l'expat.

Mais il ne faut pas croire, conceptuellement, je n'ai absolument rien contre ceux qui s'expatrient.

Anonyme (mais un autre) a dit…

@Matthieu:
EPITECH propose deux mastere.
"Audit et risques bancaires". Bon. Compétences: "Programmation C++ et VBA pour Excel et Access". Mouais :)
Puis des math fi, puis des audits fi.
Rien de bien passionnant, mais ça doit faire tripper le recruteur à la BNP (?) ou à chez xmcopartners.

Le second mastere est au même niveau (en gros, c'est du pondeur de slideware estampillée ISO27001 pour les décideurs RSSI des banques..).

Je pense que ça plaît pas mal, mais je chercherais plutôt un mastere sécurité généraliste qu'orienté bancaire.

Ceci dit, si c'est une formation côtée, pourquoi pas.
Il doit bien y avoir quelques recruteurs qui nous lisent, donc quel est leur avis la dessus?
Qu'est ce qui compte le plus dans une candidature: le diplôme, l'école, le blog du candidat ou bien l'entretien _technique_ qu'il passe avec l'équipe _technique_?

@Matthieu, encore:
pour l'annonce que tu cites, je ne vois pas en quoi le fait qu'un ministre qui n'y connaisse rien soit problématique.
Un ministre ne peut pas tout connaître, encore moins ce genre de détails techniques. Va lui parler de la dernière faille trouvée par Julien Tinnes, il risque de virer au verdâtre. D'un autre côté ce n'est pas son boulot.
Le boulot du gars qui sera recruté par cette annonce sera de faire de la recherche pour donner des systèmes sécurisés.
A ce sujet, quelqu'un à une idée des salaires pour ce genre d'offres? 45kE ? plus ? moins?

newsoft a dit…

@matthieu: le fond est intéressant, mais ton ortographe dessert ton propos :)

@l'autre anonyme: aucune idée des salaires proposés. Mais je ne vois pas quel expert avec 10 ans d'expérience va accepter un CDD de 3 ans dans l'administration, sans aucun des avantages afférents au statut (cf. discussion ci-dessus).

Et sinon, quel que soit le recrutement, je me base essentiellement sur les recommandations tierces et sur les travaux antérieurs.

Un message posté sur un forum ou dans un blog prouvant que le candidat ne comprend rien est rédhibitoire.

Par contre un candidat qui a écrit un système d'exploitation sur son temps libre a des chances de passer, même s'il ne reconnait pas une implémentation MD5 en assembleur MIPS ;)

"Dans la vraie vie", le recrutement est presque toujours externalisé chez des sociétés spécialisées, donc le premier entretien est souvent uniquement basé sur du papier (diplôme, expérience, aspect général du candidat). Sad but true ...

Matthieu a dit…

@newsoft Mon orthographe n'est qu'une emorragie externe de l'echec du systeme educatif. Et Henri Gu41n0 ne veut pas ecrire mes commentaires sur ton blog :(

@"Anonyme (mais un autre)": @newsoft a deja repondu a la premiere partie de ton message. Pour l'autre partie, relis mon message je parle de qualites requises pas des competances techniques (qui n'interesse personne). (mais j'aurai pu prendre Anglais technique, écrit et oral, courant)

Sid a dit…

De toute manière, "on" sait depuis longtemps que le seul but du consultant en sécurité est de frimer en BMW pour cruiser de la chicks ;)

Fred a dit…

@ Anonyme (mais un autre) : je te rassure de suite, nous n'embauchons pas de gens l'Epitech.

Sid a dit…

@Fred: n'est-ce pas un poil sectaire comme approche ? Aucune école n'a le monopole de la compétence, mais aucune n'a celui de la médiocrité non plus...

itd a dit…

@tous le diplôme est une chose, passer l'entretien technique en est une autre...

newsoft a dit…

Hmmm ... je crois que je n'ai jamais passé un entretien "technique" de ma vie :)

J'ai eu le droit au test PAPI, à des négociations de salaire, aux cabinets de recrutement externes ...

Mais on m'a posé une seule fois la question "donnez moi la liste des drapeaux TCP" - et finalement j'ai dit "non" à ce job :)

billybob a dit…

@Tous:
A relire ces posts tous instructifs, j'en viens à me poser une question.

Travailler dans la sécurité informatique, c'est quoi exactement?

-Se palucher tous les advisories Microsoft pour trouver le successeur de MS08-67?
-Imaginer quel sera le futur de la sécurité en imaginant un monde dépérimétrisé et/ou in the cloud?
-Chercher une faille protocolaire dans TCP?
-Faire de la tech-evangelisation à des décideurs pressés?
-Faire du pentest et de l'analyse ISO 27001?
-Réécrire une implémentation de MD5 en assembleur MIPS (nan, j'rigole, de toute façon MD5 c'est mort aujourd'hui)
-Faire des maths à très haut niveau et trouver la manière de réduire d'un facteur 2^x la factorisation de RSA?
-Aller faire de l'intrusion de botnets?
-Ecrire du slideware pour que les développeurs sachent écrire du code correctement (non, utiliser sprintf, c'est _MAL_ ).
-C'est être abonné à X mailing listes pour aller tirer la sonnette d'alarme dans l'équipe de production à chaque alerte?
-Aller désérialiser java pour savoir s'il n'y a pas moyen de sortir des sandbox?
-Assister aux grands-messes de sécurité (SSTIC, Black-hat etc) et faire des compte-rendus?
-Manipuler l'EBP pour contourner une protection?
-Limer consciencieusement une carte à puce pour lui envoyer des rayons ultraviolet?
-Chercher des moyens de passer root/admin sur une machine?

Je regarde les blogs des personnes en liens dans les liens de Newsoft et dans les liens de Sid et je vois qu'il n'y a finalement pas deux jobs qui se ressemblent j'en ai l'impression...

Sid a dit…

@news0ft: tu as indubitablement loupé une grande expérience.

Le dernier entretien technique dont je me souvienne remonte à la fin de Cartel. Il a débuté avec une question sur Netfilter, genre "combien y'a de chaînes ?", ce à quoi j'ai dû rétorquer un truc genre "dans quelle table ?". L'air un peu perdu de mon interlocuteur a marqué la fin des questions techniques.

Mais bon, je lui ai quand même expliqué deux ou trois trucs, et conseillé une saine lecture sur le sujet. Comme quoi l'un de nous deux n'a pas perdu son temps ce soir là...

Ceci dit, dans les année 2000, on avait généralement droit à des questions techniques aux entretiens, parfois d'un niveau assez pointu. Et puis je ne sais pas si c'est le CV qui a fait qu'on ne m'en a plus posé, ou si ce genre de pratique relève désormais d'un autre age, mais il est clair que ça fait un bail qu'on ne m'en a plus posées...

Matthieu a dit…

@Sid: bien resume la situation.
@newsoft: Les "drapeaux" excellent.
@Fred: Tu as entierement raison on sait tous que la maîtrise des normes ISO 17799/27001 > EPITECH. Bref.

Voila conclusion, la securite (francaise) est un echec. Et je donne raison encore une fois de plus a @newsoft.

newsoft a dit…

@billybob: "dans la vraie vie", le vigile, le policier et le pompier font tous les trois de la "sécurité". Le sniper caché dans les montagnes afghanes est-il plus proche du parangon sécuritaire que le videur de boite de nuit ? Difficile à dire ...

@sid: alors comme ça tu passes souvent des entretiens ? ;) Blague à part, j'ai l'impression qu'on te pose des questions techniques dans les 5 premières années de carrière. Après tu es jaugé à ta maitrise du noeud Windsor.

jme a dit…

Concernant la recherche de vulnérabilités, il faut remettre les choses à leur place : corriger une faute d’orthographe dans les fleurs du mal n’a jamais fait de personne Baudelaire : au mieux un technicien de la langue, au pire un emmerdeur.

Un des premiers anonymes a dit…

billybob Travailler dans la sécurité informatique, c'est quoi exactement? [...]

Tu veux travailler dans la "sécurité informatique" ou tu es intéressé à faire une des choses que tu listes ?


Fred je te rassure de suite, nous n'embauchons pas de gens l'Epitech.

Je pense que ça convient à tout le monde. :)


News0ft Blague à part, j'ai l'impression qu'on te pose des questions techniques dans les 5 premières années de carrière. Après tu es jaugé à ta maitrise du noeud Windsor.

SUIT UP!


Matthieu Voila conclusion, la securite (francaise) est un echec. Et je donne raison encore une fois de plus a @newsoft.

Tant mieux pour les gens qui ont compris.


Cordialjack.

Jacques.

billybob a dit…

@Anonyme (l'autre)

Lorsque l'on parle de sécurité informatique et de son échec, je pense que cela s'adresse à la fois à l'écosystème (boîtes qui proposent du boulot, politiques publique, communautés) et à la fois aux gens qui travaillent dans le domaine.
D'où ma liste à la prévert (quoique j'ai oublié le consultant qui cruise les chicks à coup de BMW si et seulement si le noeud Windsor est parfaitement réalisé ;) ) pour essayer de mieux cibler le sujet dont il est question dans ce post.


Pour le quart d'heure 'rant gratuit', lorsque je lis le blog de l'esec et d'origami, je me demande combien de temps ils vont continuer avec ça. On a eu droit à l'article dans MISC, la conf, on a tous les 3 jours un nouveau truc qui casse la baraque genre '4 nouvelles méthodes pour utiliser la faille', mais bon, globalement, quoi de neuf?
Le problème de base repose sur la séparation des documents et des programmes. Une fois qu'on a dit ça (et il existe des très bons papiers sur le sujet), bah oui on peut jouer avec le format pdf, mais ça ne va pas plus loin.

Dans un autre ordre d'idée, lorsque je lis la présentation de Loic Duflot, je reste scotché. Ce gars à 10 ans d'avance sur la recherche en sécurité. Réfléchir sur le concept de base matérielle fiable sur un PC, c'est absolument génial. Dans 10 ans on verra peut être un noyau linux 4.2 qui sera capable d'être fiabilisé sur une architecture matérielle. Et ça, c'est _fort_. Il est capable de faire des démos sur le 'owned via ACPI', mais ce n'est finalement qu'un détail en regard du but final: qu'est ce qui est de confiance sur une machine, qu'est ce qui ne l'est pas et comment compartimenter tout ça pour obtenir une zone secure.

Enfin, si je regarde bien la liste des personnes listées ici, j'observe que seuls des 'hardcore programmeurs' sont finalement partis ou se plaignent; ceux qui savent coder une zone d'échange mémoire dans un buffer video en reversant les advisories microsoft au petit déjeuner ou ceux qui savent désérialiser java.
Serait-ce là, l'échec de la sécurité? Ceci dit, jme indique que ce n'est pas en trouvant une faille dans un programme que l'on est bon pour autant.
Alors qu'est ce que "la sécurité" ?

Sid a dit…

@jme: de même que se voir corriger l'orthographe de ses vers n'a jamais fait de Baudelaire un écrivain de hall de gare...

Maintenant, il ne faut pas non plus perdre de vue que les analogies, ça pue...

newsoft a dit…

@billybob: argh! PDF c'était mon prochain troll! Heureusement que j'en ai gardé sous le capot :)

Quant à Loic, il est très fort. Mais il n'a pas 10 ans d'avance, Joanna et plein d'autres inconnus "réfléchissent" depuis longtemps (ICEBP anyone?) sur les "astuces" matérielles. Et l'architecture PC, avec toutes ses particularités (ex. ligne A20, reboot par le contrôleur clavier, etc.) laisse encore du champ à l'exploration.

C'est l'industrie du PC qui a 10 ans de retard. Une plate-forme "sûre" ça n'intéresse pas le client final, qui veut juste jouer à Duke Nukem Forever avec un maximum de FPS.

Quant on compare les hyperviseurs d'Intel/AMD avec celui du processeur Cell (qui équipe les PlayStation 3), c'est un autre monde. Intel/AMD en sont déjà à la révision N des spécifications (ex. IOMMU, "tainting" des entrées de TLB) alors que la PS3 n'a toujours pas été "craquée" à ma connaissance.

Ceux qui sont prêts à investir sont les fournisseurs de DRM. Mais personne ne veut être "sécurisé" par un vendeur de DRM, surtout après l'affaire "Amazon/Kindle".

Et sinon ma définition de la "vraie sécurité" dans le monde virtuel ... c'est tout ce qui peut faire perdre (ou gagner) de l'argent à un individu ou une société dans le monde réel. Le reste n'est qu'un divertissement de l'esprit :)

jme a dit…

@sid : je n'ai pas dit le contraire. Après tout, faire 0 faute à la dictée de Pivot n'est pas donné à tout le monde.

Je dis juste que les deux savoir sont séparés et l'un n'est pas forcément "mieux" que l'autre. Ils sont simplement différents.

Julien a dit…

@newsoft: je pense que l'absence de tests techniques après 5 ans d'XP est surtout due au fait que les personnes qui te donnent un entretien quand tu as 5 ans d'XP ne s'attendent pas à ce que tu fasses encore de la technique.

Ce qui nous ramène au cœur de notre discussion: je suis sûr que si tu postules, avec 10 ans d'expérience, pour un poste technique à Microsoft, Google ou Cisco, tu auras des questions techniques.

Par contre, dans mon expérience, ce n'est pas des questions idiots comme mentionner des options Nmap ou des flags TCP, ou maîtriser Perl. Ce sont des questions plus ouvertes pour montrer que tu maîtrises quelque chose d'utile pour ton poste, techniquement parlant.

billybob a dit…

@Newsoft:
Effectivement, ce n'est pas Loic Duflot qui a 10 ans d'avance, mais son domaine de recherche. Et oui, un PC, c'est une architecture moisie, mais c'est ce qui est le plus utilisé.
Le but consiste donc à partir d'une architecture moisie de savoir si l'on peut bâtir un système qui in fine, deviendra sur. Et ça, c'est une question très intéressante dont les retombées viendront d'ici quelques années, peut-être dans un OS..

Concernant les hyperviseurs matériels, oui ça avance. Mais pas forcément pour des questions de sécurité. IOMMU, c'est clairement une histoire de performances. Lorsque les premiers Ring -1 sur les CPU sont arrivés, Vmware signalait que leur techno de traduction dynamique fonctionnait bien plus rapidement. Puis l'IOMMU est arrivée, puis elle s'est stabilisée.
On pourrait plutôt parler aussi du PCI pass-through qui est censé augmenter encore les perfs, mais qui lui, pose des _vrais_ problèmes de sécurité; quoique je ne sais pas si quelqu'un a fait du own de guest ou host via PCI passthrough.
Pour l'architecture cell, ça n'a pas été cassé, mais qui travaille dessus? C'est comme RIPEMD-160. Tout le monde a bossé sur MD5, c'est cassé. Puis SHA-1, qui l'est 'virtuellement', mais RIPEMD, bah on sait pas trop, sauf que comme personne n'a travaillé dessus, il est sûr, mais bon on ne l'utilise pas.


La "vraie" sécurité c'est ce qui fait gagner ou perdre de l'argent? Alors la "fausse" aussi :)
Ou la R&D. Ou encore la sous traitance du dev d'IHM. Ou la méthode de programmation agile, ou encore... Non, c'est quoi la sécurité informatique?

newsoft a dit…

@julien: quand j'ai passé le test PAPI lors d'un entretien, je suis resté seul 30 minutes sur un PC connecté au LAN, avec un compte administrateur local (l'application ne pouvant pas tourner avec un compte standard).

J'ai fait des trucs très utiles techniquement pour mon poste, mais ça n'a pas du tout impressionné la RH ...

Anonyme a dit…

@Newsoft: D'après mon xp de plusieurs années de pentest pour des clients censés avoir un gros besoin en sécurité, je suis bien d'accord avec l'article quand tu dis que les 0days ne servent a rien dans 99,99% des cas. Des techniques plus simples, plus stables pour la cible et tout aussi efficace existent (comme le démontre encore le travail de Carsten).

Matthieu a dit…

@newsoft Au mieux tu aurai eu un pwnie award. C'est la seule reconnaissance qui existe dans le monde de la securite. Et ceux qui n'en font pas parti ne veullent pas s'y attarder ou la reinvente a leur image.

Au final c'est peut etre tout simplement un milieu non adapte aux gens avec des besoins creatifs ou qui y ressemble.

http://www.korben.info/extelia-hadopi.html La realite c'est ca. Personne a conscience des vrais besoins, ou ils sont banalise car incompris. Et c'est La Poste (Exelia) qui reinvente la securite d'Internet. C'est juste de plus en plus vexant et irritant.

b0l0k a dit…

Ah, je vois que ce post n'a pas fait réagir que moi ! Je suis rassuré de ne pas être le seul à ne pas être enthousiaste sur la sécurité informatique en France, surtout au niveau carrière...

Je veux rester en France, donc je finirais surement développeur .NET si la situation ne change pas. Au sujet de VUPEN, je me pose également beaucoup de questions sur leurs statuts...

Encore merci d'avoir résumé et évalué aussi bien la situation à travers ton post...

@ivan: Go au pôle sud, rejoindre les manchots !

blah a dit…

On peut aussi partir par curiosité, voir comment les choses sont faites dans d'autres pays.

Un autre probleme en France : la sécurité informatique se fait quasiment exclusivement sur Paris (conseil, siéges sociaux, bullshit blabla). Et c'est beaucoup plus agréable de vivre pres de la mer dans des villes où les gens sont plus détendus et où il fait beau.

newsoft a dit…

@billybob: l'architecture PC sera morte dans 10 ans. Tout le monde utilisera un téléphone connecté à des services en ligne. Seules les entreprises auront encore des vieux terminaux sous un système propriétaire obscur (Windows XP) utilisant des protocoles exotiques (IPv4).

Personnellement, il y a 15 ans, je me connectais à Internet sur un VAX avec VMS 6.2 et un réseau DecNet. Ca aide à relativiser.

Les problèmes de sécurité existent maintenant (et même hier). Il faut trouver des solutions pour aujourd'hui. Ou pas.

En ce qui concerne la PS3, comme toutes les consoles, j'ai la conviction qu'elle est attaquée. Par jeu (cf. attaque de la XBox par le MIT) ou à cause du marché énorme du modchip et de la contrefaçon logicielle. Mais bien sûr c'est invérifiable ...

Sid a dit…

@billybob: la seule chose qui est sûre, c'est que vraie comme fausse, la sécurité ne fait gagner de l'argent qu'à ceux qui en vivent.

La vraie est censée prévenir des pertes lourdes. Le problème, c'est que c'est trop difficile à quantifier. Il n'y a qu'à voir l'échec cuisant des théories sur le ROSI (Return On security Investment) qui mériteraient à elles seules de figurer parmi les nominés pour le pwnie du best bullshit of the century.

Quant à savoir ce qu'est la sécurité informatique, je pense que Newsoft a très bien répondu : ça dépend (et souvent ça dépasse)... En tout cas, pour revenir tes propositions, ce n'est certainement pas en lisant la "presse people" que tu t'en fera une meilleure idée :)

billybob a dit…

@News0ft:
Dans 10 ans l'architecture PC sera morte. Sans doute. Ou pas.
Quoi qu'il en soit, la question posée sera la même: Comment avoir confiance dans le système qui est chargé sur mon téléphone? J'ai beau avoir installé le système sur le disque du téléphone, quid du (des) firmwares, de la puce du téléphone, etc, etc.. Est il possible malgré ces inconnues de monter une base de confiance?

Pour ma part, il y a 15 ans, j'en étais au SneakerNet. La latence se comptait quelquefois en mois, mais le débit y était confortable. On y connaissait les DoS, mais au moins les buffers overflow n'avaient aucune conséquence :)

@Blah:
Oui, en france, tout se fait à Paris. C'est effectivement un problème, mais ça n'est pas lié qu'à l'informatique. Concernant l'informatique, c'est d'autant plus dommage que c'est typiquement le genre d'activité qui se prêterait bien au télétravail. Une ou deux journées par semaine au siège, puis hop, le reste du temps chez toi, là ou il fait beau. Mais les recruteurs n'aiment pas l'idée..

Vlad a dit…

Bonjour à tous,
je ne vais pas trop polémiquer sur les salaires mais 150K$ = 105ke (change du jour à 1,42).
Les charges ne sont pas du tout les mêmes en France et aux us, donc les 105ke deviennent en gros 80ke (avec 33%).
Ca fait un beau salaire brut mais après pour la différence nous avons le système français (loin de moi l'idée le défendre) avec : les assedic (et ses abus), la sécu (ses abus et son trou), les écoles pas cher (ENSI, X, fac, ...), ...
Par opposition au système US sans assedic, sans sécu (au moins 10k$/an aux US pour une bonne couverture), avec des écoles à 50k$ l'année, ...
Il est donc difficile de comparer "simplement" les salaires juste en se limitant aux chiffres.

Enfin pour le niveau de Kostya, je pense que 80ke, en france, ca n'est pas choquant :)

newsoft a dit…

@billybob: l'architecture des téléphones actuels me semble quand même plus simple et plus sûre que l'architecture PC. Et ça va en s'améliorant avec les signatures de code obligatoires (iPhone, Symbian 9, ...), chose qui reste un doux rêve dans le monde PC.

Quelques explications possibles:
* Utilisation de processeurs ARM, plus "simples" que les x86 (pas de modes et d'instructions exotiques).
* Maitrise de l'ensemble du hardware par les fabriquants (même si les pièces détachées sont fabriquées par des sous-traitants bien sûr).
* Last but not least, les opérateurs gagnent de l'argent avec les logos/sonneries et la vente d'applications en ligne, donc il y a un véritable enjeu économique.

Pour résumer, les DRM sont la meilleure chose qui soit arrivée à la sécurité depuis longtemps :)

Les constructeurs et les opérateurs se livrant une guerre interne, il reste un "trou" dans la base de confiance: c'est la carte SIM qui peut désormais interagir avec le téléphone de sa propre autorité (SIM ToolKit).

newsoft a dit…

Un article en lien avec le sujet: 1 professionnel de la sécurité sur 2 n'est pas content de son boulot.

Nato a dit…

Bonjour à tous!

@Sid: Je me demande encore sur quelle logique je t'ai recruté du temps de Cartel ? : ) tout comme Nicolas Brulez d'ailleurs ... Bon pour jme, je sais, c'est parce qu'il était incolable sur Audiard et les Tontons flingueurs!

Plus sérieusement, si vous pensiez avoir tout vu au sein d'une SSII, testez donc la vraie vie au sein d'une entreprise, peu importe qu'elle soit dans l'agro, la pharma, l'industrie aéro ou auto.. vous serez alors confronter au plus beau des challenges.. prévenir, faire face avec souvent peu de moyens.. et donc beaucoup d'huile de coude, de ténacité et d'imagination. La seule façon d'y réussir ? La recherche de l'excellence et rallier le maximum de métiers à votre vision de la sécurité, démontrer que le risque existe de façon simple et que seule une sécurité pensée très en amont et une sensibilisation des utilisateurs limitera les dégats.. et pour ceux qui ne partagent pas votre point de vue, faites au mieux! N'oubliez pas que les journées sont longues (parfois les nuits aussi surtout en prod), alors autant tomber avec une hiérarchie et des collègues avec qui le courant passe plutôt que quelques KEuros de plus!!!

Pour un peu que vous décrochiez un poste à responsabilité, n'oubliez pas que la sécurité est ce que nous en faisons ou voulons en faire, que c'est un combat de tous les jours! Combien de métiers peuvent se vanter d'avoir un tel renouvellement? Vous devez garder cette passion qui vous a poussé à vous dépasser et dépasser les limites.. être un hacker au sens noble pour certains.. (ou un éleveur de champions donnant leur chance à des jeunes tout fiers avec un regard malicieux qui en dit long sur ce qu'il pense des 35H et le réglement intérieur), contituez votre équipe et gardez vous un jardin d'excellence ou alors .. changez de métier!!!

Il n'y a pas d'échec de la sécurité française .. si ce n'est dans votre tête.

Jacques a dit…

News0ft: l'architecture des téléphones actuels me semble quand même plus simple et plus sûre que l'architecture PC. Et ça va en s'améliorant avec les signatures de code obligatoires (iPhone, Symbian 9, ...), chose qui reste un doux rêve dans le monde PC.

Ouais enfin je veux pas spoiler la fin mais pour l'iphone le jailbreak est une feature pour certains softs.
De plus rien ne m'empeche de signer mon appli tamagotshi (celle avec un petit chiot tout mignon qui jappe a chaque fois qu'il envoie une tarball avec tous mes mails).

newsoft a dit…

@anonyme (il se reconnaitra): et oui, il y a des gens qui surfent sans JavaScript, mais (presque) personne ne surfe sans les images ;)


@nato: je ne nie pas les efforts héroïques de tous les RSSI isolés dans des sociétés ne voyant l'informatique que comme une "fonction support". Certains font des merveilles à la force du poignet.

Mais la sécurité reste globalement un échec: il n'y a jamais eu autant d'attaques réussies, alors que les dépenses en sécurité augmentent d'année en année. La sécurité n'ayant pas été intégrée en phase de conception (il y a 10+ ans), on n'en verra pas le bout en colmatant les failles au coup par coup.

Et la sécurité française est un échec encore plus flagrant car elle est essentiellement discursive. Le problème avec Kostya ça n'est pas les 80 K€ qu'il faudrait pour le retenir. Le problème c'est de l'occuper tous les jours sur des choses intéressantes. Parce que je n'ai toujours pas compris le business-model de VUPEN en France (si un client veut témoigner je suis preneur).


@jacques: je ne dis pas que la signature est *la* solution (il existe des malwares signés sous Symbian 9). Je dis que si on activait le même système sur PC (pour info, les Software Restriction Policies ont été implémentées dans Windows 2000), l'antivirus se limiterait à une liste de révocation. Ce qui est quand même plus simple que de gérer tous les packers de la terre.

Anonyme a dit…

La seule qui m'étonne c'est de ne pas etre cité parmi tes experts ;-)))
Pico.

Sid a dit…

@Nato: effectivement, je me le demande encore considérant l'épaisseur du test technique :)

Pour en revenir à ce que tu dis, personne, et surtout pas moi, ne conteste les efforts réalisés par les RSSI. N'empêche que... Comme le dit Newsoft plus haut, ça fait peur.

Comme je le dis dans le billet que j'ai publié suite à celui-ci, il faut distinguer deux choses amha:

1. La sécurité est encore un échec, mais ce n'est pas un problème franco-français. C'est un problème global, accentué par les réductions de coût, la sous-traitance et l'asymétrie informationnelle.
2. La France a des spécificités, parmi lesquelles la survalorisation du management par rapport à la technique, et ce dès l'enseignement. Ce qui fait que les gens techniques qui n'en veulent ont du mal à se sentir dans leur monde. Et on ne parle pas de pépettes, on parle de se sentir à sa place.

Cartel, ça remonte quand même à l'époque de la bulle, pendant laquelle les recrutements étaient plus faciles. Ça remonte aussi à un temps où j'étais un jeuno sur le marché. Et si tu regardes cette expérience sur sa globalité, je ne crois pas qu'elle démente le fait qu'au bout d'un moment, dans pas mal de boîtes, les gens techniques se demandent pourquoi ils sont là. Non ? :))))

funkinessflavor a dit…

Une étude intéressante qui met en avant les difficultés pour le gouvernement américain a recruter de grosses pointures (techniques mais pas seulement) en sécu.

Newsoft, Sid et les autres: allez-y, svp, comme ça vous laissez la place aux autres (moins bons) ici en France :o

Tom a dit…

@newsoft : la sécu est effectivement une fonction support pour l’industrie informatique comme les fabricants de freins sont une fonction support des constructeurs automobiles. Le grand public achète une voiture pour aller du point A au point B et se fout pas mal des specs de ses freins tant que la petit famille arrive entière à destination. Toutes les boîtes qui ont un RSSI le font pour protéger leur business, pas pour le développer. Comme quoi le netwizz est peut être le seul RSSI français à faire de la sécu hardcore comme il nous l'a encore prouvé à la Blackhat.
Pour le constat d’échec de la profession, ça me va bien mais on va quand même laisser les traders se flageoler un peu plus avant d’en remettre trois couches...

@Sid : yes pour la liste « problème global, accentué par les réductions de coût, la sous-traitance et l'asymétrie informationnelle ». Je rajouterais le problème de la complexité puisque l’industrie informatique tire la croissance et pousse à l’innovation. Si on avait attendu de tout sécuriser avant de foncer vers le web 2.0 on aurait beaucoup moins de hacks 2.0 mais aussi beaucoup moins d’applications innovantes. Pour le point 2, les consultants sécurité du pays de l’oncle Sam n’ont pas forcément mieux lotis comme l'a déjà remonté ni^Wewsoft.
Pour en revenir aux US, on n'a pas la même taille de marché, pas une langue aussi universelle et plus un seul constructeur informatique digne de ce nom. Et pourtant on est loin d'être ridicule sur le sujet.

Et en vrac pour rebondir sur d'autres sujets du billet :
- les chicks en C1 de loc ça le fait aussi. Le sex appeal c'est comme la sécurité, ça se vend ! Et puis un bon geek bien propre, ça fait craquer bien des filles.
- la communication c'est essentiel pour faire passer un message et c'est notamment à ce niveau que les RSSI ont un levier énorme auprès de leur direction.
- à chacun son métier : le client produit/vend, le marketeux markette, l'auditeur audite, le consultant conseille et le chercheur trouve (ou pas).

Sid a dit…

@tom: "l'industrie informatique tire la croissance et pousse à l’innovation"

Les clients ne sont pas obligés, un flingue sur le tempe, d'acheter toute la merde qu'on leur vend. Comme tu l'as dis avant, l'informatique, c'est fait pour aller d'un point A à un point B... Mais manifestement, on prête plus d'attention au choix de sa voiture qu'à celui de son infrastructure informatique.

Ou plutôt, on se repose sur un environnement existant qui nous assure qu'un certain nombre de critères, au rang desquels figurent la sécurité, ont été vérifiés parce que contraints par une réglementation...

"la sécu est effectivement une fonction support pour l’industrie informatique comme les fabricants de freins sont une fonction support des constructeurs automobiles"

Euh oui, mais quand on le dit comme ça, ça tend fortement à en diminuer l'importance. Comme les freins sont une partie essentielle de la voiture (on imagine pas une voiture sans freins), la sécurité est une composant essentielle de l'informatique. J'irais même jusqu'à dire que sans sécurité, il n'y a pas d'informatique. D'ailleurs, la sécurité en tant d'activité, n'existe que parce qu'on ne sait pas faire d'informatique proprement. Parce que la sécurité, ça ne s'arrête pas au XSS et autre h4x0r bimbo people. La sécurité, ça veut dire que le système fait ce quil est censé faire. Point.

"Le grand public [...] se fout pas mal des specs de ses freins tant que la petit famille arrive entière à destination"

Et pas le syndrôme de l'analogie foireuse (TM) :))))

M.Lambda se contre-fout des spécs de ses freins. True. Mais M.Lambda sait que la voiture qu'il achète répond à une réglementation et des normes qui font que, sauf défaut de fabrication engageant la responsabilité du constructeur, elle est équipée de freins efficaces. Bref, que quelqu'un a fait l'audit de conformité.

Maintenant, si M.Lambda n'avait pas de réglementation, pas de norme, bref un marché comme celui de l'informatique, pour lui assurer la capacité de sa voiture à freiner, est-ce qu'il n'aurait pas envie que ce soit vérifié de manière un peu sérieuse ? Genre par un technicien qui comprend comment marche un système de freinage, une voiture, et pas un soit-disant spécialiste, certifié par je-ne-sais-qui à faire faire je-ne-sais-quoi à part passer des roues de Deming sous PPT ? Histoire que sa "petite famille arrive entière à destination" ?...

Les analogies, ça pue, j'arrête pas de vous le dire :)

billybob a dit…

@Sid: sans sécurité, il n'y a pas d'informatique.

Je ne suis pas forcément d'accord. Sans sécurité, il y a de l'informatique (j'englobe l'électronique, l'embarqué, etc..)
L'informatique, c'est le traitement de données. Le traitement de données, ça peut être de la compta à domicile ou du dessin industriel ou tout autre chose. Et là, (même si c'est de moins en moins le cas, je te l'accorde), on se retrouve avec un poste isolé et un utilisateur isolé.

La sécurité, ça veut dire que le système fait ce qu'il est censé faire.

Je suis en désaccord également. Nous sommes en plein dans la dichotomie MAC/DAC.
Je dirais justement à ce sujet pour ma part que la sécurité, ça veut dire que le système ne fait que strictement ce qu'il est censé faire. Mais encore une fois, ça laisse le champ libre à pleins de failles de sécurité de conception[1]

La sécurité, ce serait donc un système qui ne fasse que strictement ce qu'il est censé faire, mais qui peut prévoir l'ensemble des actions que ce système est censé faire?

Alors la sécurité serait de prévenir les débordements non prévu lors de la conception des systèmes. Cette définition me paraît plus sympathique, mais ouvre un champ beaucoup plus large :-)


[1]: imaginons une webapp qui permette de voter pour des photos soumises par les internautes. La photo ayant le meilleur ratio beau/moche gagne un prix (une brosse à dents, p.ex.)
L'appli est sécurisée. Comment gagner à coup sûr?

Il est simple de gagner en insérant une photo à la dernière seconde du concours et de voter pour elle. 100% de vote beau. 0% de vote laid --> Profit.
Et pourtant, mon appli rentre bien dans la définition donnée...

Sid a dit…

@billybob: tu vas me reprendre parce que je n'ai pas mis un "et uniquement ce qu'elle doit faire" derrière ? Grummpf. Mais globalement, tu fais bien de le préciser. Comme le dis souvent P.Andrei, la différence entre la sûreté et la sécurité, c'est qu'un application sûre fait ce qu'elle doit faire, et que l'application sécurisée ne fait rien d'autre.

Pour l'informatique sans sécurité, c'est justement le fait de l'avoir cru qui nous a mis dans la situation dans laquelle on est aujourd'hui. L'électronique exposée a besoin d'être conçue sécurisée, l'embarqué aussi. Les systèmes non exposés, ça n'existe pas, ne serait-ce que par leur utilisateur est souvent la première menace qui pèse sur eux. Et ça existe d'autant moins qu'on n'est pas capable d'envisager tous les détournements qui peuvent en être faits et les motivations pour le faire.

Ensuite, un système qui permettrait de contenir les débordements non prévus, supposerait qu'on les ai prévus pour les prévenir. Ça se mord un peu la queue, non ? :)

Enfin, pour ton exemple, ton implémentation répond parfaitement à la définition fonctionnelle de l'application. Il ne faut pas non plus faire de la sécurité la poubelle intellectuelle à tous les problèmes de l'informatique. Tu peux avoir une application qui fait exactement ce que tu veux, comme tu le veux et rien d'autres, si tu a smal posé ton problème au départ, ton application ne répondra pas à ton besoin.

Anonyme a dit…

@Sid:
a la relecture, mon message pouvait sembler agressif, il n'en est pas le cas, je m'en excuse.

Pour la definition d'une methode censee contenir les debordements non prevus, je pense entre autre a ce qui a mene au firewall.
Normalement, un firewall est inutile.
Dans la pratique...
Je pense aussi a la randomisation de la pile. En theorie encore, ca devrait etre inutile. En pratique encore...

(desole pour les qccents je poste depuis un poste au clavier anglais)

mr potatoe a dit…

conclusion faites faire un test euroNcap a votre SI et vous dormirez tranquille :)


from vupenlovers'ils ne vous ont pas recruté c'est que vous ne faites pas partie des meilleurs, c'est tout ;-) frustrés va !

ah!ah!ah! c'est sur pour aller owned une becane chez colt et ensuite gribouiller canada-dry faut etre un ouf et ne parlons pas du clic and clic de patchdiff oups pardon bindiff (ouais ils ont de l'argent maintenant ;) )

Sid a dit…

@potato: réglementation != EuroNCap

Unknown a dit…

Whaouh...la discussion m'a fatigué!
Prenez des vacances moi j'en reviens des fois cela fait du bien de décompresser!

Anonyme a dit…

arriverons nous à 100 commentaires? :)

newsoft a dit…

@anonyme (le dernier): probablement pas, j'ai plus ou moins tué la thread en postant de nouveaux billets ...

Cédric Pernet a dit…

J'ai pas grand chose à dire, je voulais juste être le 100ème à poster ;-p

RR a dit…

Je me permet de déterrer, pour completer avec mon ressenti.

Je suis futur diplomé d'une grande école Française.

J'aime bien la sécu (enfin, j'ai bien aimé le peu que j'en ai fait). J'aime bien le dev, la modélisation, etc. je trouve ça interessant et plein de challenges.

Malgrès tout, actuellement je recherche du boulot dans des postes fonctionnels.

Pourquoi ?

Essentiellement car, en France, la technicité n'est reconnue ni au niveau salarial ni au niveau social.
Ensuite, car ça semble être des sacrés silos. On ne fait que ça; si on en sort c'est qu'on est suffisement bon pour être Chef de Projet au quel cas, on arrète la technique.


Voilà, ça résume ce que j'ai pu lire dans ces commentaires bien instructifs.

Ce sont les illusions d'un jeune diplomé.

Anonyme a dit…

hey, nice weblog and good publish

Anonyme a dit…


Your writing style has been amazed me. Thanks, very nice post.