lundi 30 août 2010

Un compte-rendu à froid de SSTIC 2010 (2ème partie)

Est-ce qu'on est tous foutus ?

La conférence de clôture du SSTIC s'est aventurée sur de nombreux terrains, sans langue de bois (même si certains messages ont été délivrés à mots couverts). Difficile dans ces conditions de résumer, et surtout de produire une exégèse pertinente sur cette intervention, d'autant que je n'ai pas compris si les opinions personnelles de l'intervenant, ou la doctrine officielle de l'Etat français, y étaient exprimées. Je vais toutefois m'y essayer.

*
* *
Jetons un voile pudique sur l'idée que l'attaque est inutile à la défense. Cette idée a déjà été battue en brèche en séance, puis dans les compte-rendus ultérieurs publiés sur Internet. Je concède toutefois qu'il est inutile de chercher de nouvelles failles tant il en existe déjà. La faiblesse des mécanismes d'authentification dans les systèmes Windows est un problème déjà largement insoluble (attaque dite pass the hash, entre autres).
*
* *
Ce qui m'a le plus frappé, c'est d'entendre que face aux échecs flagrants et répétés de la sécurité informatique, l'une des solutions proposées consistait à déployer massivement des IDS.

Les IDS faisant partie des échecs les plus retentissants dans l'industrie de la sécurité, cette assertion a de quoi surprendre. Et pourtant elle est parfaitement justifiée, car son auteur ne cherche pas à protéger les systèmes, mais simplement à faire prendre conscience aux responsables de ces systèmes de l'étendue du désastre.

Je reste malgré tout circonspect. L'échec commercial des IDS, outre les limitations techniques des produits existants, s'explique aussi par la recherche de l'ataraxie. Pour exploiter un IDS, il faut engager des personnes compétentes dédiées au traitement des alertes, mettre en place des procédures, éventuellement impacter la production par du forensics, et toutes sortes de choses désagréables du même acabit. Dans ces conditions, ne rien voir est beaucoup plus confortable ^H^H^H beaucoup moins cher.

Dans le cas contraire, et comme le rappelle Michal Zalewski dans un billet original, quelques astuces permettent de réaliser un IDS du pauvre, pour peu que l'emplacement des "pièges" ne soit pas divulgué. Le plus cher dans la détection d'intrusion reste le traitement de l'incident, pas sa remontée. Déployer des IDS n'est que la première étape, que beaucoup n'ont jamais franchie. Wait and see.
*
* *
L'impasse dans laquelle se trouvent actuellement toutes les personnes en charge de la protection des systèmes s'explique par quelques fondamentaux déjà rappelés sur ce blog.

Le principal problème est que l'informatique grand public (ce qui couvre le matériel - ordinateurs personnels et téléphones mobiles, le logiciel, et les contenus/services disponibles) a complètement échappé à toute forme de contrôle par les clients finaux, y compris l'Etat.

Outre les exemples d'Apple et Google qui n'en font qu'à leur tête dans tous les domaines (ex. interopérabilité pour le premier et contenus numériques pour le deuxième), on peut également rappeler que :
  • La loi est tout simplement bafouée par les CLUF. Toutes les protections basiques du consommateur (ex. vices cachés) ne sont jamais appliquées aux logiciels.
  • Le budget de l'ANSSI est de 90 millions d'euros, alors que les simples revenus publicitaires de Google étaient de l'ordre de 10 milliards de dollars ... en 2006.
  • Comme le déplore l'intervenant, notre dépendance aux technologies étrangères est totale.
Par ailleurs, les technologies de l'information sont devenues une commodité, ce qui entretient dans l'esprit du grand public (j'entends par là toute personne dont l'informatique n'est pas le métier - ce qui s'étend jusqu'au plus haut niveau de l'Etat ...) que "ça marche tout seul" et "les constructeurs font plutôt bien leur boulot".
*
* *
Légiférer est l'un de seuls pouvoirs de l'Etat qui pourrait le distinguer d'un client ordinaire.

Mais force est de constater que le droit ne s'applique pas aux technologies de l'information – ou du moins pas de la même manière. Et que l'inflation des lois applicables aux nouvelles technologies s'effectue souvent en dépit du bon sens (HADOPI, LOPPSI et autres ayant déjà été largement traitées par ailleurs).

Sur Internet, le seul pouvoir est médiatique (effet de buzz). La CNIL avec ses contrôles en use habilement. Mais il me semble que les institutions étrangères restent meilleures que les nôtres dans ce domaine.

Il suffit de comparer les prises de position très claires du BSI allemand sur BlackBerry (un serpent de mer de la sécurité des Etats s'il en est). En France j'ai vaguement l'impression que chacun cherche au contraire à obtenir et à contrôler l'information – pour assurer sa supériorité sur son voisin ? – ce qui ne sert pas l'intérêt général mais alimente au contraire la rumeur, jusqu'à effacer les arguments techniques.

Le même phénomène s'est également produit avec Skype. Je porte d'ailleurs de grands espoirs sur la prochaine conférence CCC, où des révélations sur Skype pourraient avoir lieu, tout comme ce fût le cas pour BlackBerry lors d'une édition antérieure. La vérité vient toujours d'ailleurs ...
*
* *
Au final, culture de l'ambiguïté, contrôle de l'information et évangélisation de niveau zéro auprès des administrations ne font pas rêver les hackers.

Mes seuls rapports avec l'Etat 2.0 se limitent au paiement des impôts et des amendes (en attendant les emails d'avertissement HADOPI). Mais je sens s'éloigner le jour où je surferai sur l'Internet mondial (le vrai, pas celui des sites "autorisés") avec les résultats du projet SECSI. Le projet Qubes aura probablement été industrialisé avant, malgré son inutilité fondamentale.

Ajouté au fait que les carrières proposées sont médiocres (CDD 3 ans), et que les perspectives offertes à long terme sont du réseautage plus ou moins obscur, on peut comprendre les difficultés de recrutement de l'Etat dans le domaine de la SSI. Ainsi que le problème du maintien des compétences en France, comme le déplore régulièrement Fred Raynal dans ses éditos.
*
* *
Afin de ne pas être taxé de nihiliste invétéré, voici deux idées qui peuvent réellement changer la face de la sécurité informatique.

1. Appliquer les règles.

Le problème est qu'en France, on cherche à contourner les règles plutôt qu'à les adapter. Or si une règle est inapplicable, c'est qu'elle ne sert à rien ... Cela va du très ancien "tous les supports amovibles introduits dans la société doivent être scannés par le sas antivirus" jusqu'au très récent "l'usage des réseaux sociaux est interdit".

En ce sens, la lecture des avis du CERTA me procure toujours le même plaisir qu'à Kostya.

Que penser de ces délicieuses méthodes de contournement (workarounds) pour une faille dans Adobe Reader exploitée en "0day" dans la nature :
  • (...)
  • convertir les fichiers suspects au format PS puis de nouveau au format PDF sur une machine sas ;
  • n'ouvrir que des fichiers provenant de sources vérifiées et sûres.
Sachant qu'il existe à tout instant au moins une faille connue et exploitée en "0day" dans Adobe Reader (VUPEN ayant décidé de ne plus informer les éditeurs ;), je vous laisse le soin de trouver un outil de conversion PDF vers PostScript qui ne soit pas lui-même vulnérable ... et de déployer cette préconisation de manière permanente à l'échelle d'une entreprise.

Le seul moyen de produire des règles applicables ... c'est de se les appliquer à soi-même. Car on ne devrait pas être plus exigeant avec les autres qu'on ne l'est avec soi-même. Et là encore, la France est championne de "l'exception VIP" (tout en restant dans le domaine de la sécurité informatique et pas celui de la fraude fiscale).

2. Mettre en place un contrôle sanitaire sur les logiciels.

J'approuve complètement le principe du CSPN. Mais à l'heure où j'écris ces lignes, seule une poignée de logiciels totalement inexistants en entreprise a été certifiée. Certifier 10 logiciels en 3 ans, c'est tenter d'éponger l'océan de l'industrie logicielle avec un coton-tige.

On objectera que les ressources nécessaires seraient titanesques. Mais dans ce cas, pourquoi ne pas mutualiser les travaux réalisés de manière indépendante et en doublon par tous les acteurs du marché ?

Il suffirait pour cela de réglementer la profession d'auditeur en sécurité, et de déposer tous les rapports d'audit dans un "pot commun" accessible à tous. Ainsi un auditeur pourrait faire bénéficier ses clients de l'expertise antérieure de ses pairs. Voilà qui éviterait de refaire auditer cent fois le même produit, avec des résultats très aléatoires selon l'intervenant ... Et au final, profiter de l'effet de buzz pour obliger les éditeurs à s'améliorer.

Bien sûr, on peut aussi suspecter que la quasi-totalité des logiciels commerciaux échoueraient à une certification sécurité, même de "premier niveau". Et c'est bien là le drame.

Dans le registre des idées plus farfelues, après avoir dépensé 1 milliard d'euros pour vacciner contre la grippe A, ne serait-il pas judicieux de mettre en place des centres de vaccination pour clés USB ? Cela permettrait de protéger la population (et les entreprises) contre le vecteur d'infection n°1 aujourd'hui ...

Autre idée: interdire complètement l'utilisation de tout langage de programmation non sûr (qui a dit PHP ? ;), y compris dans les écoles. Vous pensez que je vais trop loin ? C'est pourtant ce que les américains s'apprêtent à voter.
*
* *
Enfin, pour conclure sur une note positive, et contrairement à ce que j'ai pu lire ailleurs, je sais de source sûre que l'Etat recrute d'anciens hackers en dehors des écoles dites "groupe A". Du moins si par "hacker" on entend "personne compétences en informatique qui maitrise tous les aspects de son art, y compris les plus obscurs". C'est toujours ça de pris.

Les commentaires sont ouverts ! :)

8 commentaires:

Anonyme a dit…

Il suffirait pour cela de réglementer la profession d'auditeur en sécurité, et de déposer tous les rapports d'audit dans un "pot commun" accessible à tous. Ainsi un auditeur pourrait faire bénéficier ses clients de l'expertise antérieure de ses pairs. Voilà qui éviterait de refaire auditer cent fois le même produit, avec des résultats très aléatoires selon l'intervenant ... Et au final, profiter de l'effet de buzz pour obliger les éditeurs à s'améliorer.

Le gros problème c'est qu'aucun cabinet d'audit n'acceptera, pour la bonne et simple raison que si un audit est fait une fois au lieu de 100, c'est autant d'argent de perdue. Il faut bien faire vivre les pentesters :)

newsoft a dit…

@Anonyme: c'est pour cela qu'il faut légiférer.

D'ailleurs les américains parlent de réglementer la profession de pentester et la compare à celle de médecin.

Et puis le partage c'est le principe de l'Open Source, dont sont si friandes les sociétés de service, non ? ;)

oldsoft a dit…

Open Source Open Source, je dirai plutôt joomla ;-) De plus vu les positions prises par le gouvernement (HADOPI, ARJEL & co) je pense qu'on va bien attendre la régulation de la profession d'auditeur ;-)

corbax a dit…

Réglementer les pentesters c'est bien. Mais réglementer la profession c'est mieux. Nombre de société qui font soit disant des tests d'intrusions font en réalité du scan "type nessus", tout comme les vendeurs d'appliance... Le marché de la sécurité à bien besoin d'être démystifié auprès du grand public et de ses partenaires. Mais qui à les compétences de réglementer la profession ??? Je pense que le problème qui touche nos métiers est plus large que ça. Il touche en grande partie tous les métiers de l'informatique. Ou les compétences sont mise au second plan. De nombreux experts autoproclamés pourrissent le métier.

mr potatoe a dit…

Et comment ils vont reglementer ca :/ un diplome/license/certif????

Suffit de deja regarder le marche actuel avec tous ceux qui en ont et pourtant ca leur confirme en rien la competence qu'il pretende avoir(tellement facile de bachoter).

tiens ca me rappel beaucoup les "experts" en forensics tout ca :)

Ca a beau etre reglementer et pourtant...

totoiste a dit…

La prise de conscience de l'importance de la sécurité informatique devra passer par le feu des projecteurs. La loi Hadopi aurait pu être un formidable vecteur. Certains d'ailleurs se sont retrouvés face au micro à cette époque mais malheureusement pour conforter auprès de tous (Mme Michu, dirigeant d'entreprise, élu, ...) que le monde de la sécurité était affaire de spécialistes ou plutôt geek adulescent.
Pour ma part, cette prise de conscience nécessaire pourrait passer par l'"hacktivisme".
Que diriez vous de monter un audit de tous les serveurs de nos partis politiques francais en vue de la publication d'un article ? Double usage : Renforcer la sécurité de ceux ci (ca améliorera l'image de la France) et cela pourrait faire une belle action coup de poing ?

Merci pour tes posts de grande qualité.

totoiste from dareyourmind

newsoft a dit…

@totoiste: tu es libre de faire ce que tu veux, mais je ne pense pas que pirater le site Web de quelqu'un augmente de manière quelconque son niveau en sécurité informatique ... surtout lorsque ce site Web est sous-sous-traité à des stagiaires de prestataires ...

Kevin a dit…

@totoiste:
Ca risque surtout d'avoir comme conséquence de mettre de la 'snakeoil security':
http://ha.ckers.org/blog/20100904/the-effect-of-snakeoil-security/

Post très intéressant.