lundi 30 août 2010

Un compte-rendu à froid de SSTIC 2010 (2ème partie)

Est-ce qu'on est tous foutus ?

La conférence de clôture du SSTIC s'est aventurée sur de nombreux terrains, sans langue de bois (même si certains messages ont été délivrés à mots couverts). Difficile dans ces conditions de résumer, et surtout de produire une exégèse pertinente sur cette intervention, d'autant que je n'ai pas compris si les opinions personnelles de l'intervenant, ou la doctrine officielle de l'Etat français, y étaient exprimées. Je vais toutefois m'y essayer.

*
* *
Jetons un voile pudique sur l'idée que l'attaque est inutile à la défense. Cette idée a déjà été battue en brèche en séance, puis dans les compte-rendus ultérieurs publiés sur Internet. Je concède toutefois qu'il est inutile de chercher de nouvelles failles tant il en existe déjà. La faiblesse des mécanismes d'authentification dans les systèmes Windows est un problème déjà largement insoluble (attaque dite pass the hash, entre autres).
*
* *
Ce qui m'a le plus frappé, c'est d'entendre que face aux échecs flagrants et répétés de la sécurité informatique, l'une des solutions proposées consistait à déployer massivement des IDS.

Les IDS faisant partie des échecs les plus retentissants dans l'industrie de la sécurité, cette assertion a de quoi surprendre. Et pourtant elle est parfaitement justifiée, car son auteur ne cherche pas à protéger les systèmes, mais simplement à faire prendre conscience aux responsables de ces systèmes de l'étendue du désastre.

Je reste malgré tout circonspect. L'échec commercial des IDS, outre les limitations techniques des produits existants, s'explique aussi par la recherche de l'ataraxie. Pour exploiter un IDS, il faut engager des personnes compétentes dédiées au traitement des alertes, mettre en place des procédures, éventuellement impacter la production par du forensics, et toutes sortes de choses désagréables du même acabit. Dans ces conditions, ne rien voir est beaucoup plus confortable ^H^H^H beaucoup moins cher.

Dans le cas contraire, et comme le rappelle Michal Zalewski dans un billet original, quelques astuces permettent de réaliser un IDS du pauvre, pour peu que l'emplacement des "pièges" ne soit pas divulgué. Le plus cher dans la détection d'intrusion reste le traitement de l'incident, pas sa remontée. Déployer des IDS n'est que la première étape, que beaucoup n'ont jamais franchie. Wait and see.
*
* *
L'impasse dans laquelle se trouvent actuellement toutes les personnes en charge de la protection des systèmes s'explique par quelques fondamentaux déjà rappelés sur ce blog.

Le principal problème est que l'informatique grand public (ce qui couvre le matériel - ordinateurs personnels et téléphones mobiles, le logiciel, et les contenus/services disponibles) a complètement échappé à toute forme de contrôle par les clients finaux, y compris l'Etat.

Outre les exemples d'Apple et Google qui n'en font qu'à leur tête dans tous les domaines (ex. interopérabilité pour le premier et contenus numériques pour le deuxième), on peut également rappeler que :
  • La loi est tout simplement bafouée par les CLUF. Toutes les protections basiques du consommateur (ex. vices cachés) ne sont jamais appliquées aux logiciels.
  • Le budget de l'ANSSI est de 90 millions d'euros, alors que les simples revenus publicitaires de Google étaient de l'ordre de 10 milliards de dollars ... en 2006.
  • Comme le déplore l'intervenant, notre dépendance aux technologies étrangères est totale.
Par ailleurs, les technologies de l'information sont devenues une commodité, ce qui entretient dans l'esprit du grand public (j'entends par là toute personne dont l'informatique n'est pas le métier - ce qui s'étend jusqu'au plus haut niveau de l'Etat ...) que "ça marche tout seul" et "les constructeurs font plutôt bien leur boulot".
*
* *
Légiférer est l'un de seuls pouvoirs de l'Etat qui pourrait le distinguer d'un client ordinaire.

Mais force est de constater que le droit ne s'applique pas aux technologies de l'information – ou du moins pas de la même manière. Et que l'inflation des lois applicables aux nouvelles technologies s'effectue souvent en dépit du bon sens (HADOPI, LOPPSI et autres ayant déjà été largement traitées par ailleurs).

Sur Internet, le seul pouvoir est médiatique (effet de buzz). La CNIL avec ses contrôles en use habilement. Mais il me semble que les institutions étrangères restent meilleures que les nôtres dans ce domaine.

Il suffit de comparer les prises de position très claires du BSI allemand sur BlackBerry (un serpent de mer de la sécurité des Etats s'il en est). En France j'ai vaguement l'impression que chacun cherche au contraire à obtenir et à contrôler l'information – pour assurer sa supériorité sur son voisin ? – ce qui ne sert pas l'intérêt général mais alimente au contraire la rumeur, jusqu'à effacer les arguments techniques.

Le même phénomène s'est également produit avec Skype. Je porte d'ailleurs de grands espoirs sur la prochaine conférence CCC, où des révélations sur Skype pourraient avoir lieu, tout comme ce fût le cas pour BlackBerry lors d'une édition antérieure. La vérité vient toujours d'ailleurs ...
*
* *
Au final, culture de l'ambiguïté, contrôle de l'information et évangélisation de niveau zéro auprès des administrations ne font pas rêver les hackers.

Mes seuls rapports avec l'Etat 2.0 se limitent au paiement des impôts et des amendes (en attendant les emails d'avertissement HADOPI). Mais je sens s'éloigner le jour où je surferai sur l'Internet mondial (le vrai, pas celui des sites "autorisés") avec les résultats du projet SECSI. Le projet Qubes aura probablement été industrialisé avant, malgré son inutilité fondamentale.

Ajouté au fait que les carrières proposées sont médiocres (CDD 3 ans), et que les perspectives offertes à long terme sont du réseautage plus ou moins obscur, on peut comprendre les difficultés de recrutement de l'Etat dans le domaine de la SSI. Ainsi que le problème du maintien des compétences en France, comme le déplore régulièrement Fred Raynal dans ses éditos.
*
* *
Afin de ne pas être taxé de nihiliste invétéré, voici deux idées qui peuvent réellement changer la face de la sécurité informatique.

1. Appliquer les règles.

Le problème est qu'en France, on cherche à contourner les règles plutôt qu'à les adapter. Or si une règle est inapplicable, c'est qu'elle ne sert à rien ... Cela va du très ancien "tous les supports amovibles introduits dans la société doivent être scannés par le sas antivirus" jusqu'au très récent "l'usage des réseaux sociaux est interdit".

En ce sens, la lecture des avis du CERTA me procure toujours le même plaisir qu'à Kostya.

Que penser de ces délicieuses méthodes de contournement (workarounds) pour une faille dans Adobe Reader exploitée en "0day" dans la nature :
  • (...)
  • convertir les fichiers suspects au format PS puis de nouveau au format PDF sur une machine sas ;
  • n'ouvrir que des fichiers provenant de sources vérifiées et sûres.
Sachant qu'il existe à tout instant au moins une faille connue et exploitée en "0day" dans Adobe Reader (VUPEN ayant décidé de ne plus informer les éditeurs ;), je vous laisse le soin de trouver un outil de conversion PDF vers PostScript qui ne soit pas lui-même vulnérable ... et de déployer cette préconisation de manière permanente à l'échelle d'une entreprise.

Le seul moyen de produire des règles applicables ... c'est de se les appliquer à soi-même. Car on ne devrait pas être plus exigeant avec les autres qu'on ne l'est avec soi-même. Et là encore, la France est championne de "l'exception VIP" (tout en restant dans le domaine de la sécurité informatique et pas celui de la fraude fiscale).

2. Mettre en place un contrôle sanitaire sur les logiciels.

J'approuve complètement le principe du CSPN. Mais à l'heure où j'écris ces lignes, seule une poignée de logiciels totalement inexistants en entreprise a été certifiée. Certifier 10 logiciels en 3 ans, c'est tenter d'éponger l'océan de l'industrie logicielle avec un coton-tige.

On objectera que les ressources nécessaires seraient titanesques. Mais dans ce cas, pourquoi ne pas mutualiser les travaux réalisés de manière indépendante et en doublon par tous les acteurs du marché ?

Il suffirait pour cela de réglementer la profession d'auditeur en sécurité, et de déposer tous les rapports d'audit dans un "pot commun" accessible à tous. Ainsi un auditeur pourrait faire bénéficier ses clients de l'expertise antérieure de ses pairs. Voilà qui éviterait de refaire auditer cent fois le même produit, avec des résultats très aléatoires selon l'intervenant ... Et au final, profiter de l'effet de buzz pour obliger les éditeurs à s'améliorer.

Bien sûr, on peut aussi suspecter que la quasi-totalité des logiciels commerciaux échoueraient à une certification sécurité, même de "premier niveau". Et c'est bien là le drame.

Dans le registre des idées plus farfelues, après avoir dépensé 1 milliard d'euros pour vacciner contre la grippe A, ne serait-il pas judicieux de mettre en place des centres de vaccination pour clés USB ? Cela permettrait de protéger la population (et les entreprises) contre le vecteur d'infection n°1 aujourd'hui ...

Autre idée: interdire complètement l'utilisation de tout langage de programmation non sûr (qui a dit PHP ? ;), y compris dans les écoles. Vous pensez que je vais trop loin ? C'est pourtant ce que les américains s'apprêtent à voter.
*
* *
Enfin, pour conclure sur une note positive, et contrairement à ce que j'ai pu lire ailleurs, je sais de source sûre que l'Etat recrute d'anciens hackers en dehors des écoles dites "groupe A". Du moins si par "hacker" on entend "personne compétences en informatique qui maitrise tous les aspects de son art, y compris les plus obscurs". C'est toujours ça de pris.

Les commentaires sont ouverts ! :)

jeudi 12 août 2010

Interlude d'actualité

"Un peuple qui a quarante mille lois n'a pas de loi."
– Honoré de Balzac

En attendant la deuxième partie de mon compte-rendu du SSTIC, je ne peux pas m'empêcher de commenter l'actualité récente. Et je ne parle pas de la faillite du site Jiwa (dont Sid s'est très bien fait l'écho), même si mon sujet est connexe : il s'agit du cahier des charges afférent aux Mesures Techniques de Protection, censées protéger l'internaute des foudres d'HADOPI.

Bien que ce document soit marqué "confidentiel - ne pas diffuser" et distribué au compte-gouttes, Numerama s'est néanmoins permis de le publier en accès libre – ce qui permet de le commenter. Espérons que chaque copie ait été "watermakée" :)

Comme prévu, les solutions envisagées sont :

  • soit l'installation d'un logiciel sur le poste de l'utilisateur ;
  • soit l'installation d'un logiciel dans la Box du client.
Et comme cela était malheureusement prévisible, il n'est pas fait mention de la sécurité des processus de développement, ni des méthodes de vérification/certification applicables. On s'oriente donc à nouveau vers des logiciels développés en C (ou en PHP) par des stagiaires, avec tous les risques (démontrés) que cela comporte. Cela promet néanmoins des développements juridiques intéressants.

Mais compte-tenu du fait que les premiers emails seront envoyés bien avant la disponibilité de ces fameux outils de protection, on peut compter sur le fait que l'ensemble des internautes concernés feront profil bas … gratuitement et sans risque !

La mise à disposition d'un logiciel destiné aux postes Windows est de toute façon inutile : il restera possible de regarder du streaming sur son iPad, et Apple refusera de signer et/ou diffuser l'application HADOPI, conformément à sa politique. Il restera donc à légaliser le jailbreaking en France et à diffuser l'application HADOPI sur Cydia :)

L'intégration à la Box du client est une solution plus intéressante. Elle est toutefois trivialement contournable, puisque rien n'oblige le client à utiliser la Box de son FAI. Ni à utiliser le logiciel fourni par son FAI, le logiciel de la NeufBox 4 étant par exemple recompilable presque entièrement à partir des sources. Sauf à placer un TPM dans chaque Box, il sera donc impossible de contrôler l'équipement de connexion utilisé par les clients.

*
* *

Une autre actualité intéressante est la décision de justice obtenue par l'ARJEL, qui impose aux FAI de filtrer le site de paris en ligne www.stanjames.com. Notez que l'ARJEL a invoqué la protection des mineurs et la lutte contre le financement du terrorisme pour arriver à ce résultat. Ça marche à tous les coups (ou presque).

A titre personnel, il me semble extrêmement hasardeux de jouer sur un site qui n'a pas été agréé par l'ARJEL. L'ARJEL compte d'excellents techniciens. Les exigences de sécurité produites sont sérieuses et vérifiées avec soin, ce qui permet d'éviter de nombreuses fraudes.

Néanmoins cette décision relance encore une fois le débat sur la neutralité du Net. Il est évident que si l'ARJEL crée un précédent juridique, toutes les personnes ayant connu des déboires en ligne (éditeurs de contenus, hommes politiques, scientologues, et autres) vont s'abattre sur Internet comme la vérole sur le bas-clergé.

Accessoirement, en fonction des mesures effectivement mises en place par les FAI (ou pas), je vous laisserai vous exprimer dans les commentaires pour suggérer les méthodes de contournement les plus élégantes. Mais le fond du débat n'est pas technique. D'ailleurs il semblerait que cette fois-ci, l'éditeur du site se soit sabordé de lui-même.


*
* *


Ces deux actualités laissent à penser qu'on s'oriente vers la nécessité de disposer d'un équipement de connexion "approuvé" pour pouvoir accéder à un Internet dont le contenu est soigneusement contrôlé. Ça ne vous rappelle rien ? Ça n'est sans doute pas pour rien que le pôle Sytem@tic a donné des sous à Archos pour construire le Minitel 2.0 !

"Corruptissima republica plurimae leges"

Promis j'arrête les citations :)