lundi 22 octobre 2012

L’échec du e-commerce français

J'ai envie d'un Google Galaxy Nexus. C'est quand même pratique pour tester Android 4.1 ou webOS 1.0. Pas de problème, puisque la page officielle de Google France me donne la liste des revendeurs: des opérateurs, mais également des sites connus comme RueDuCommerce. J'opte pour ce dernier. Je paie en ligne sur leur site (mais que font-ils de mon numéro de carte bleue ? La même chose que la FNAC ?). Il n'y a que deux options de livraisons: deux jours après pour 8 euros, ou le lendemain pour 9 euros. Soit.
Le lendemain, pas de livraison. Je consulte mon compte client, et là, c'est le drame:
Afin de valider votre commande et vous permettre de recevoir votre colis au plus vite, nous avons besoin de pièces justificatives.
* QUELLES PIECES JUSTIFICATIVES FAUT-IL ENVOYER ?
Nous vous demandons de nous adresser, pour valider votre commande :
- une copie de votre pièce d'identité (carte nationale d'identité, passeport ou permis de conduire)
- une copie recto verso de la carte bancaire ayant servi au règlement de votre commande en prenant soin de ne laisser apparaitre que les 4 premiers et 2 derniers chiffres du numéro sur l'avant et en masquant sur l'arrière de la carte :
- le cryptogramme (ce qui garantit la sécurité totale de votre envoi et empêche toute utilisation de la carte)
- le numéro complet de la carte bancaire qui peut apparaitre en creux.
* POURQUOI CES PIECES JUSTIFICATIVES ?
Pour vous protéger ! Afin de vous garantir une parfaite sécurité de paiement et vous défendre contre toute tentative d'utilisation frauduleuse de votre moyen de paiement, nous devons nous assurer que la personne débitée est bien celle qui a commandé sur notre site.
* COMMENT ADRESSER CES PIECES JUSTIFICATIVES ?
Vous pouvez nous adresser les documents en indiquant impérativement votre numéro de commande :
> Par e-mail : verifications2.rdc@sc.rueducommerce.com (photographie ou scan lisible)
> Par courrier : Mais attention au délai : les produits en stock vous sont réservés pendant 4 jours seulement !
RueDuCommerce - Service vérification
44-50 avenue du Capitaine Glarner
93585 Saint Ouen Cedex
> Par fax (non recommandé - et si utilisé, veillez à paramétrer un mode de scan ultra-fin) : 01 72 93 14 01
SRSLY. Envoyer mon numéro de carte bleue et mon CVV par email (en clair) ou par fax ? En 2012 ? C'est ça le e-commerce ? Est-ce que ces gens ont entendu parler de PCI/DSS, de 3D Secure, d'assurance contre la fraude bancaire ?

Notez le: "pour vous protéger". Cela protège éventuellement le vendeur (et encore cela reste à démontrer – car je ne vois pas en quoi cela protège contre quelqu'un qui aurait volé physiquement mon portefeuille), mais en ce qui me concerne, j'ai plutôt l'impression que ça contribue à diminuer le niveau de protection de ma carte bancaire …

Effectivement, je suis un peu couillon: j'aurais pu me renseigner, car RueDuCommerce pratique cette politique depuis bien longtemps semble-t-il. Du coup j'ai rapidement fait le tour des critiques concernant les autres revendeurs français proposés par Google (comme Expansys): elles sont toutes mauvaises.
Bref, je vais sur Amazon Marketplace, je trouve un revendeur allemand totalement inconnu qui dispose de 92% d'évaluations positives, j'achète en un clic, j'ai une protection contre la fraude, et je suis livré … un jour plus tôt que prévu !


Je ne sais pas où on est du redressement productif et de la création de valeur dans le numérique, mais si le e-commerce français a pour seul modèle Père-Noël.fr, pas étonnant que Amazon, Apple iTunes et autre Google Play récupèrent la plus grosse part du gâteau …

PS. Le Galaxy Nexus est un excellent téléphone par ailleurs, et l'un des rares à supporter le NFC. Cerise sur le gâteau, la ROM Google intègre nativement Google Music, alors que l'application n'est pas disponible sur le Market français :)

jeudi 4 octobre 2012

L'obligation morale de dire: WAT?

Je ne suis pas aux Assises de la Sécurité. Je travaille (dur, et tard). Mais il faut bien dire que le discours d'ouverture de Patrick Pailloux (directeur de l'ANSSI) sur le thème "le courage de dire non" était quand même très attendu … et déjà très largement commenté ici ou .
Commençons par les détails (je vous réserve le meilleur pour la fin).

Les sanctions

Voilà un point sur lequel je suis entièrement d'accord: une règle n'est suivie d'effet que s'il existe des sanctions … appliquées (donc édifiantes). N'importe quel parent aura appris "à la dure" cette leçon de terrain.
Le problème ? Après avoir écrit des politiques de sécurité (mais aussi des chartes d'accès Internet et autres documents opposables) en tant que consultant pendant des années, je n'en ai jamais vu aucune appliquée (et encore moins sanctionnée). Le document ne sert que de parapluie juridique. D'ailleurs personne (en dehors de la sécurité) ne l'a jamais lu.
Quelle surprise lorsque je suis amené à travailler avec des partenaires allemands ou anglo-saxons du domaine de la défense, et qu'ils me demandent effectivement de poser une bandelette sur l'objectif de mon téléphone portable (les photographies étant interdites sur à peu près n'importe quel site sensible dans le monde) …
L'autre problème du bâton, c'est qu'il ne fonctionne bien qu'avec la carotte. Or la sécurité "défensive" est actuellement perçue comme essentiellement vexatoire: le RSSI "saute" s'il y a un problème, l'utilisateur doit changer son mot de passe tous les X jours (ce qui est totalement inutile dans les faits), etc. Elle ne procure aucune récompense. A contrario les attaquants n'ont que la pure satisfaction du succès, et ne sont pour ainsi dire jamais punis (puisque jamais attrapés). Dans ces conditions, on comprend qu'ils mettent plus d'ardeur à nous attaquer que nous à nous défendre …

La maturité

Je vous livre cette citation telle quelle: "Pendant longtemps j'ai dit qu'il ne doit pas y avoir de sanction dans le domaine de la sécurité car le niveau de maturité est tel que cela ne sert à rien. Je pense qu'on est en train d'élever ce niveau et cela commence à se savoir qu'il faut faire de la sécurité informatique !".
Voilà enfin une bonne nouvelle ! Les autorités de certification ne font plus n'importe quoi, les prestataires labellisés ont été notifiés, l'algorithme SHA-3 a été sélectionné, bref: que des motifs de satisfaction pour le RSSI qui va enfin pouvoir se consacrer à des tâches plus nobles que de convaincre ses utilisateurs de ne pas tout mettre dans Dropbox, et sa direction générale de ne pas faire suivre leurs emails professionnels sur une adresse @icloud.com !

Les analogies

Un piège classique pourtant: celui de l'analogie. Mais qui a relu ce discours ?
"Quand vous sortez de chez vous, vous fermez les portes à clé": certes, mais vous changez les serrures tous les 30 jours ? Vous achetez des serrures complexes, en prenant soin de mélanger serrure à goupille, serrure à pompe, et serrure à gorge ? Vous prenez soin de ne pas racheter la même serrure que les 24 modèles précédents quand vous en changez ? Et surtout, à quoi cela sert-il, puisqu'un expert met quelques minutes pour crocheter n'importe quelle serrure ?
La serrurerie est à l'image des mots de passe: un échec. Les gens ferment essentiellement leur porte parce que l'assurance leur impose une serrure certifiée A2P avec au moins 3 points d'ancrage. Mais dès qu'on s'éloigne des grandes villes, les maisons restent ouvertes d'une manière ou d'une autre - le chien de garde étant souvent beaucoup plus efficace qu'une serrure sur un périmètre indéfendable. C'est le bon sens paysan.
"Vos papiers sont triés": bien sûr, mais comment faire lorsque la lettre laisse une trace dans l'enveloppe (le répertoire temporaire) et la poubelle qui l'a contenue ? Et comment faire lorsque le papier doit être photocopié quotidiennement de manière incrémentale, et transporté sur 2 ou 3 autres sites de stockage physique ?
J'arrête là. Il ne faut pas utiliser d'analogie entre le monde "physique" et le monde "numérique". C'est comme imaginer que les anges s'ennuient et voudraient avoir Facebook.

Le guide d'hygiène informatique

Il est ici (ou en version simplifiée sur laquelle je base mon analyse). Mon Dieu! Et je ne parle pas de la mise en page digne de Word 97 (le document a pourtant été produit avec Excel 2010), mais bien du fond.
Dès le 1.1, ça part assez mal: "établir la liste des briques matérielles et logicielles utilisées". Tout simplement impossible: aucun éditeur ne fournit cette information. C'est en passant des semaines à auditer un logiciel qu'on réalise la quantité de frameworks Java imbriqués, ou l'utilisation cachée de toutes les librairies Open Source "classiques": ZLib, OpenSSL, LibPNG, LibFreeType … sans parler des appliances qui sont conçues pour être des boites noires.
"Brique" signifie peut-être de réaliser un inventaire de haut niveau sans rentrer dans ces détails techniques scabreux. Et c'est ainsi qu'on se retrouve avec un Cisco Call Manager 4 vulnérable au ver Blaster, des produits qui sont tous vulnérables à la même faille XML, ou du FCKEditor dans à peu près n'importe quelle application Web … mais du point de vue du vendeur, son produit n'a pas de faille de sécurité (connue).
Je passe rapidement sur le reste du document qui est à l'avenant ("12 caractères minimum pour les mots de passe", "changer les mots de passe tous les 90 jours", "privilégier une authentification par carte à puce", etc.) pour me concentrer sur l'essentiel: on retrouve dans ce document les principes stratosphériques que tous les consultants refilaient à leurs clients dans les années 90 tout en se gardant bien de proposer une implémentation. Je vous laisse en juger:
4.3. "Surveiller les accès de manière centralisée et permanente."
4.4. "Pour chaque accès Internet, utiliser des passerelles d'interconnexion sécurisée."
15.1. "Désactiver les services applicatifs inutiles."
15.2. "Restreindre les privilèges utilisateurs."
24.6. "Diversifier les technologies utilisées dans la passerelle dans la limite de la maintenabilité du parc."
26. "Eviter l'usage de technologies sans fil (Wifi)."
30. "Ne pas donner aux utilisateurs de privilèges d'administration. Ne faire aucune exception."
34.1. "Ne pas laisser des imprimantes ou photocopieurs multifonctions connectés au réseau dans un couloir."
Si vous voulez un bon conseil de consultant repenti, ne touchez à rien et changez de version de Windows. C'est beaucoup plus efficace que d'essayer de "désactiver les services applicatifs inutiles" ou de "restreindre les privilèges utilisateurs" sur votre Windows XP.
Quant à "surveiller les accès", c'est à peu près ce que tout le monde fait depuis 10 ans. Mais c'est un peu comme la vidéosurveillanceprotection: tant qu'on ne sait pas ce qu'on cherche, on a un peu du mal à trouver. Enfin on sait déjà que lequipe.fr est un watering hole de premier choix pour compromettre la majorité des entreprises françaises entre 9h00 et 11h00: j'attends maintenant le RSSI qui va dire "non".
Je passe pudiquement sur le "utiliser des passerelles sécurisées". Je ne me rappelle pas avoir vu un vendeur de passerelle non "sécurisé par la technologie AES 256 bits approuvée par le NIST" ces dernières années, donc on est tranquille.

Le fond du problème

Bref, ce discours est du pain béni pour un trollblog.
Mais pour identifier le vrai problème de fond, il ne faut pas chercher plus loin que le titre: on ne demande pas au RSSI de dire oui ou non.
Il peut donner son avis éventuellement, voire dissiper beaucoup d'énergie pour retarder un projet, mais la sécurité n'a pour ainsi dire jamais le dernier mot. Sinon la carte vitale 1, le vote par Internet, ou les impôts sans certificat n'existeraient pas.
Le RSSI (dans le privé) a un rôle de conseil, d'évaluation des risques, de préconisation. Il est parfois CIL ou responsable du PCA/PRA. Mais je n'en ai vu aucun pouvoir interdire à quiconque d'utiliser un iPad. Surtout dans une entreprise moderne, où la mobilité est un atout pour compresser le temps (et donc les coûts), et où la majorité des intervenants sont des sous-traitants dont la cuisine interne échappe complètement au RSSI "maison" - en dehors du traditionnel contrat, qui indique parfois que l'intervenant doit être "sécurisé" (sans fixer aucune exigence ni aucune sanction d'ailleurs).
Comme "il n'est pas de problème qu'une absence de solution ne puisse résoudre", la messe est dite: le RSSI ne dira pas non. Ca n'est pas une question d'oser. C'est qu'on ne lui pose pas la question.

Conclusion (TL;DR)

La conclusion du discours est toujours la même: l'ANSSI recrute ("des candidats de valeur qui n'ont pas trop besoin de sommeil" - si si c'est marqué dans le discours officiel). D'ailleurs c'est le bon moment pour ceux qui veulent se planquer pendant la crise: j'ai entendu dire que les critères d'acceptation avaient baissé.
En ce qui concerne le challenge (dont le discours parle également), je crois que tout le monde a arrêté. Bien sûr, quand on prend 1 an pour rédiger un rapport en LaTeX, on peut bien trouver 6 mois pour faire des challenges (défis en français). Mais après il faut trouver des copains qui veulent bien jouer.
Sur ce, j'aurais aimé conclure proprement, mais il est tard donc je laisse le mot de la fin à Twitter (source).

Mise à jour du 4 octobre 13:15: correction de typos (merci aux relecteurs)

lundi 23 juillet 2012

Puisqu’il faut bien en parler ...

Malgré les vacances, le microcosme de la sécurité informatique ne bruisse que de la récente publication du « Rapport Bockel » sobrement intitulé « La cyberdéfense : un enjeu mondial, une priorité nationale » (le titre « La sécurité informatique : un échec global » ayant probablement été jugé moins sexy ou non libre de droits).

Je ne vais pas parler de ce rapport, pour la bonne raison qu’il fait 158 pages et que je ne l’ai pas lu. Fort heureusement, une synthèse officielle de 4 pages est disponible en ligne, ainsi que de nombreuses analyses tierces - dont celles de Sysdream, SecurityVibes, HackersRepublic, Reflets.info, Le Mag IT, 01Net, et tous les médias traditionnels … « Analyse » étant un bien grand mot, la plupart se contentant de traduire la synthèse officielle dans une forme plus journalistique.

Rassurez-vous, j’écris trop peu souvent pour perdre mon temps à vous servir la soupe officielle. Car pour moi, ce rapport est une nième déclaration d’intention qui fera certainement bouger les lignes politiques, mais n’aura aucun effet sur le niveau d’insécurité actuel – même si toutes ses recommandations étaient mises en œuvre promptement.

De la représentativité du panel choisi

Sur la forme, on peut constater en Annexe que l’essentiel des personnes auditionnées sont des fonctionnaires français ou des militaires américains (et assimilés, comme les militaires anglais, et les penseurs de l’OTAN). On peut déjà s’attendre à une vision très américaine du monde, du type : « La cyberguerre est une chose trop sérieuse pour être confiée à des poilus (du menton ou du caillou) ». Certes ça va parler failles de sécurité, botnets, Anonymous, et autres fléaux de l’Internet moderne – mais après tout qui de mieux placé qu’un militaire pour cela ?

Quelques entreprises françaises ont néanmoins été auditionnées : AREVA, Cassidian, CEIS, SOGETI (par la voix de son PDG), SysDream et Thalès. Un panel pour le moins … éclectique. Sans compter les prestataires mentionnés dans le corps du document :

« On trouve également en France un tissu de PME-PMI innovantes, à l’image de Netasq et d’Arkoon en matière de logiciels et produits de sécurité ou de Sysdream, d’Atheos et de DevoTeam en matière de services. »

Comme me le glissait à l’oreille un concurrent qui préfère rester anonyme (ce sont toujours les mieux informés), on peut se demander en quoi ces entreprises sont plus innovantes que les dizaines d’autres prestataires existants sur le marché français. A part dans le choix de la Côte d’Azur pour organiser des séminaires clients, peut-être ?

Donc, après avoir interviewé l’ANSSI, le Ministère de la Défense, et des prestataires au service des précédents, la conclusion du rapport est que pour augmenter le niveau de sécurité … il faut augmenter les ressources de l’ANSSI et celles de la « Lutte Informatique Offensive ». Brillant ! Dommage que personne n’ait pensé à interviewer n’importe quel PDG d’une entreprise du CAC40 ou d’un OIV (dont il est tant question dans ce rapport), qui achètent des iPad à la cantonade et « cloudifient » leur informatique à coup de Google Apps. Autant dire qu’ils n’auraient pas tout à fait la même vision de l’avenir de l’informatique, et encore moins de sa sécurité.

Car aujourd’hui en entreprise, le DSI comme le RSSI sont priés d’arrêter de jouer les Cassandres, mais plutôt d’introduire plus « d’innovation » (comprendre : de gadgets technologiques et de services « grand public ») au sein d’une entreprise qui ne fonctionne plus qu’avec des sous-traitants interconnectés depuis les quatre coins du monde. Cela aura son importance dans la suite de cet article.

Des 10 priorités

Entrons dans le vif du sujet : les 10 priorités que tout le monde retiendra. Je vous fais la version courte :

1. Augmenter le budget de l’armée et de la LIO.

Je ne vais pas troller m’étendre longtemps sur le sujet de la « cyberguerre » : pour moi ce concept n’a tout simplement aucun sens. Certes une organisation déterminée à « mettre la grouille » dans les réseaux civils français n’aurait probablement aucun mal à désorganiser quelque peu l’activité du pays – par exemple en éteignant la téléphonie mobile :) Mais une telle action n’aurait aucun sens en dehors d’une « vraie » guerre d’invasion ou de destruction – et là, pouvoir accéder à Facebook sera probablement le dernier de nos soucis. Par ailleurs une action purement informatique serait probablement moins efficace qu’un embargo sur des produits clés, ou des attentats ciblés, pour paralyser le pays (mais là, j’avoue mon incompétence dans le domaine de la destruction de pays – même si je suis fan de Risk).

Par ailleurs les militaires vivent en vase clos et n’ont aucune incidence sur le niveau de sécurité informatique du pays dans son ensemble, qui repose essentiellement sur les technologies civiles utilisées par les entreprises (matériels, logiciels, réseaux de communication, etc.). Certes ils pourront monter sur les remparts avec leurs fusils le jour où l’ennemi débarquera, mais ils pourront difficilement empêcher les plans de toutes leurs casernes d’être volés dans les réseaux informatiques des entreprises de BTP (note : j’ai choisi un exemple – normalement – fictif afin de ne froisser personne).

Etre capable d’aller attaquer « les autres » (LIO) procure probablement une satisfaction intellectuelle, mais ne les dissuadera pas de nous attaquer eux aussi.

2. Augmenter (encore) les capacités de l’ANSSI, de la DGA, et autres « services ».

Bon travail de lobbying de leur part. Mais il ne faut pas oublier « qu’en face », ils sont environ vingt fois plus nombreux. Et qu’avec le mode de fonctionnement actuel – dit « mode pompier » – on ne peut pas la gagner, cette « cyberguerre » (qui n’est actuellement qu’une vaste opération d’espionnage et de pillage technologique par les puissances adverses).

S’il l’on se reporte au corps du document pour en savoir plus, on y trouve cette perle :

« (…) il paraît nécessaire d'introduire, dans le code de la défense, des modifications législatives visant à donner les moyens à l'ANSSI, aux armées et aux services spécialisés d'exercer leurs missions. Cela concerne notamment les domaines suivants :

- l'autorisation de la rétroconception, c'est-à-dire la possibilité de « démonter », pour des motifs de sécurité, un logiciel ou un système ayant servi à une attaque informatique ;

- la possibilité de procéder à l'analyse de comportement des codes malveillants, de façon à suivre leur évolution, détecter leurs cibles d'attaque et anticiper leur mutation ; (…) »

Le CERTA va enfin pouvoir analyser des virus et des chevaux de Troie sans les transmettre à des éditeurs étrangers ! ;)

Blague à part, ce paragraphe est tout à fait symptomatique de l’échec de la pensée militaire appliquée à la SSI. Tout commence par une idée simple telle que : « interdisons la possession de chars Leclerc au grand public ; formons des pilotes de chars en interne ; nous aurons un avantage tactique certain en cas de guerre civile ».

Ce qui se traduit ensuite par : « interdisons la connaissance de l’assembleur x86 ; formons quelques conscrits à OllyDbg ; nous aurons un avantage certain sur Anonymous ».

Sauf que dans le cas n°1, l’effet dissuasif de la loi est assez faible, mais il reste effectivement assez difficile de se procurer, d’entretenir et de manier un char Leclerc. Alors que dans le cas n°2, la connaissance est libre et abondante – une loi de restriction des connaissances ne peut fonctionner que si les « ennemis » décident de la respecter …

Accessoirement, on peut se demander quel instructeur va former au reverse engineering. Car il y a bien un problème de poule et d’œuf : à force d’avoir voté des lois essentiellement destinées à protéger l’industrie du divertissement (cinéma, musique et jeux vidéo en tête), la « scène » française qui était pourtant si performante s’étiole, et les compétences en reverse engineering s’amenuisent … heureusement qu’il reste l’irréductible village de l’ANSSI pour les héberger :)

Sans parler du mythe : « le reverse engineering est une compétence comme une autre ». Encore une déformation militaire : ça n’est pas parce que tout le monde peut tenir un fusil après quelques heures d’entrainement (avec toutefois une habileté variable selon les gens) que tout le monde peut lutter contre les codes « ennemis », même après quelques années d’instruction … L’informatique est une compétence, la sécurité un talent.

La seule bonne nouvelle dans cette priorité, c’est la volonté de développer une véritable politique de gestion des ressources humaines au sein de l’ANSSI. Les contractuels de trois ans qui constituent le gros des « troupes » aujourd’hui apprécieront. Reste à voir ce qu’en pensent les syndicats et les fonctionnaires en place. D’ailleurs si quelqu’un a des nouvelles de la « Fondation » dont parlait Patrick Pailloux l’année dernière, qu’il se manifeste dans les commentaires …

3. Donner l’ANSSI un pouvoir de régulation et de sanction.

Voyons, l’ANSSI n’a toujours pas réussi à mettre au point un programme de labellisation des prestataires de sécurité (car sauf erreur de ma part, l’initiative actuelle est au point mort). Est-ce le pouvoir réglementaire qui lui manquait ? Ou est-ce que l’initiative est tombée dans le fossé qui existe entre les délires sécuritaires du RGS et la réalité du terrain ?

La CNIL, qui dispose elle d’un pouvoir de sanction depuis bien longtemps, ne semble pas avoir réussi à inquiéter les RSSI – et encore moins les entités extranationales (tels que Google, Facebook, LinkedIn et consorts) – du moins pas au point de les inciter à mettre en place une véritable politique de protection des données personnelles conforme à la loi.

Quant au défaut de sécurité informatique, il est déjà couvert par de nombreux textes – on attend toujours les premières jurisprudences sérieuses.

4. Faire de la sécurité informatique dans les ministères (grâce à la sensibilisation et aux IDS).

C’est une bonne idée. Bon courage. Notons quand même qu’on n’a pas vu de faille exploitable à distance sur Windows 98 depuis longtemps, preuve que le niveau de sécurité s’améliore.

5. Rendre obligatoire la déclaration des « incidents de sécurité » à l’ANSSI (et « encourager les mesures de protection par des mesures incitatives »).

Problème déjà traité par ailleurs dans le cadre des discussions européennes sur le sujet : il est impossible de définir ce qu’est un « incident de sécurité », et la mesure n’aura probablement aucun effet tangible sur les politiques de sécurité des entreprises.

Ca n’est pas en obligeant les entreprises à déclarer les incidents de sécurité qu’elles vont se réveiller un matin et réaliser que leurs politiques et leurs architectures de sécurité doivent être entièrement reconsidérées. Ou pour le dire autrement : ça n’est pas en jetant quelqu’un à la mer qu’on lui apprend à nager.

Quant à l’incitation aux mesures de protection, de quoi s’agit-il exactement ? D’une réduction d’impôts pour ceux qui appliquent les correctifs de sécurité ? Mais aucune entreprise du CAC40 ne paie d’impôts en France …

6. Faire de la sécurité informatique chez les OIV (grâce aux IDS).

Très bien. Quel OIV s’y colle en premier ? Est-ce qu’Orange est prêt à voir débarquer un « bataillon » de l’Agence qui va lui expliquer comment faire du BGP et du LTE correctement ? Ou placer des sondes aux quatre coins de son réseau pour inspecter tout le trafic des clients ? (Aux dernières nouvelles, non).

Et accessoirement : qui va payer la détection et le traitement des « incidents » ?

7. Financer les entreprises de sécurité françaises.

De loin ma mesure préférée. A peu près tous les financements publics alloués à des entreprises dites « innovantes » se sont avérés être du détournement de fonds. Dans tous les cas, aucune entreprise « soutenue » n’a vécu plus de 5 ans (vous pouvez livrer des contre-exemples dans les commentaires s’il vous en vient à l’esprit). Voir à ce sujet l’avis du PDG de Gandi sur le projet « Andromède », parmi les exemples récents.

Un produit de sécurité ne peut vivre que s’il est internationalement reconnu comme techniquement bon, pas parce qu’il a des marchés « réservés » au niveau de l’Etat et des entreprises sous tutelle. D’autant qu’il est parfois difficile pour ces acteurs d’acheter les produits issus de PME qu’ils ont soutenues, pour des raisons obscures de marchés publics ou de politiques d’achat …

Notez que je suis tout à fait pour « renforcer la coopération entre l'Etat et le secteur privé », cité dans la même phrase. Il paraît même que l’ANSSI publie des outils Open Source désormais.

8. Former des ingénieurs, faire de la recherche et du conseil, sensibiliser le public.

Rien à ajouter à ce pot-pourri. Il reste à trouver des jeunes qui veuillent devenir ingénieurs en SSI. Pas sûr qu’avec la considération qu’on ait pour eux en entreprise (sans parler de carrière), les candidats se bousculent. Car selon des chiffres présentés récemment par l’ARJEL, la quasi-totalité des auditeurs/consultants/experts en SSI sur le marché ont entre 0 et 3 ans d’expérience. Et aucun n’a plus de 10 ans.

9. Négocier avec les USA, la Russie et la Chine pour qu’ils arrêtent de nous attaquer.

Ca mérite d’être tenté. Toujours essayer la diplomatie en premier :)

10. Interdire l’achat de routeurs chinois (Huawei et ZTE).

Le meilleur pour la fin. Bien que le rapport cite nommément la Chine, il reste suffisamment évasif dans sa formulation pour laisser planer le doute sur Cisco (américain) et Checkpoint (israélien). Et voilà encore un beau « marché réservé » qui se profile pour Alcatel-Lucent, malgré ses déboires récents.

Mais dans un pays encore à la pointe en matière de chiffrement, la sécurité du cœur de réseau est-elle vraiment un problème ? ;)

Et faut-il interdire l’achat de marques chinoises, ou de marques intégrant des éléments fabriqués en Chine (et donc potentiellement compromis) ? Dans le deuxième cas, on frise la science-fiction.

Le vrai problème avec Huawei, ça n’est pas une hypothétique backdoor matérielle, mais plutôt les contrats d’infogérance qu’ils proposent. Et faire administrer ses routeurs par un prestataire situé au bout du monde pour réduire les coûts, ça peut arriver avec n’importe quel constructeur.

Conclusion (constructive)

Le rapport Bockel : du pur jacobinisme à la française, que d’autres ont résumé par ce titre : « L’ANSSI va sauver le monde » (alors qu’elle n’existe que depuis le 7 juillet 2009).

Mais puisque les vacances m’ont détendues, et qu’avec l’âge on devient constructif, voici mes recommandations pour que ça change. Gratuites et prises sur mon temps libre, les auditions ayant été réalisées autour d’une bière (bien française comme il se doit).

  1. Supprimer le statut de fonctionnaire. Cela aurait le double effet positif de valoriser les carrières au sein de l’ANSSI, et d’augmenter les passerelles entre le privé et le public par le biais de parcours croisés (comme cela se voit aux USA). Ainsi les gens qui auditeraient ou qui formuleraient des recommandations auraient eux-mêmes une expérience de la production.
  2. Supprimer toute loi réprimant une connaissance. Ainsi les compétences en reverse engineering pourraient librement s’épanouir dès le plus jeune âge – seule l’utilisation malhonnête de ces compétences serait pénalisée.
  3. Remettre l’Etat au service de la Nation (et donc des entreprises). Au lieu de construire une machine administrative qui n’est là que pour distribuer l’argent public ou les mauvais points, on pourrait envisager que la connaissance et les outils des « services » (ANSSI en tête) servent à « sécuriser » les affaires des entreprises françaises à l’étranger, comme c’est le cas aux USA. Ca n’est pas comme si l’ANSSI aurait pu vous dire depuis 10 ans qu’il fallait supprimer « WDIGEST.DLL » des Logon Providers par défaut.
  4. Verser à la Documentation Française les rapports d’inspection de l’ANSSI et les rapports d’incident du CERTA (en version éventuellement anonymisée). Il n’existe pas de raison valable pour que l’obligation de notification soit asymétrique, d’autant que l’analyse des techniques et outils employés par les attaquants pourrait permettre d’immuniser l’écosystème informatique (principe de la vaccination).
  5. Faire appliquer les lois existantes (ou les abroger), au lieu de créer des constructions juridiques toujours plus complexes. Si la première loi n’a effrayé personne car elle n’a jamais été appliquée, les dix suivantes n’auront aucun effet. Par exemple, Anonymous se gausse de la récente loi qui pénalise encore plus fortement l’atteinte aux systèmes de l’Etat.
  6. Arrêter de financer directement l’industrie de la sécurité (ou alors contrôler beaucoup plus efficacement, et dans la durée, l’utilisation des fonds). Toute politique industrielle qui se résume à verser un gros chèque après le montage d’un dossier kafkaïen ne peut se terminer que dans la corruption et le détournement. Un produit de sécurité ne peut marcher que s’il est reconnu internationalement comme techniquement bon.
  7. Développer un véritable statut légal de l’expert en sécurité, sur le modèle des médecins ou de toute autre profession réglementée. Ce qui conduirait de facto à la création de cursus longs (plus adaptés à la masse de connaissances qu’il est nécessaire d’acquérir pour devenir réellement « expert ») et à un plus grand poids dans les entreprises (à l’image d’un commissaire aux comptes). La sécurité informatique est aux technologies grand public ce qu’est la chirurgie cardiaque aux cours de premiers soins délivrés par la Croix Rouge.
  8. Obliger les entreprises françaises à innover. Bon là j’avoue, je n’ai pas de solution miracle. Les entreprises gagnent plus aujourd’hui en spéculant avec leur trésorerie qu’en fabriquant des produits. Les têtes pensantes durent rarement plus de cinq ans, et ne sont jamais mises en face de leurs échecs. Dans ces conditions, difficile d’imaginer qu’ils puissent insuffler le goût de l’innovation et la passion créatrice …
  9. Développer un antivirus français en plus des IDS existants. Ah non, ça c’est seulement pour 2014 :)

Remerciements : tous ceux qui ont participé à la rédaction de ce billet en me faisant part de leurs avis circonstanciés. Ils se reconnaitront ;)

mardi 6 mars 2012

Que vous réserve SSTIC cette année ?


Comme prévu, le programme de la conférence SSTIC 2012 a été publié aujourd’hui (hors conférences invitées). Cet événement n’est pas guetté avec autant de fébrilité que l’ouverture des inscriptions, mais permet néanmoins de prendre le pouls de la recherche française en sécurité informatique.

Et comme disent souvent les vieux (dont je crains de faire partie) : « c’était mieux avant » …

Car s’il a pu exister une vieille rivalité entre les quelques laboratoires de recherche privés en SSI (tels que Sogeti/ESEC, Orange R&D, LEXSI et EADS Innovation Works), c’est désormais bien fini.

Si vous avez aimé DNS-SEC par l’ANSSI en 2011, alors vous adorerez ce cru 2012, à base de :
Ajoutez 3 personnes de l’ANSSI au Comité d’Organisation, 4 au Comité de Programme. Mâtinez le tout de quelques universitaires qui « tournent » dans le circuit depuis longtemps, et vous obtenez un programme parfaitement équilibré … ou pas.

On pourrait se féliciter d’une telle efficacité de l’Agence à sécuriser l’Internet français … et à le faire savoir.

On pourrait aussi déplorer qu’après avoir asséché les compétences disponibles sur le marché, concurrencé de manière déloyale les prestataires de services (au moins dans les domaines de l’audit, de la formation continue et de la réponse aux incidents), et réglementé le secteur de la prestation de services au risque de voir les petits cabinets disparaître, l’Agence jette désormais son dévolu sur les conférences de sécurité.

Est-ce un bien ou un mal ? Pour avoir assisté à toutes les éditions de SSTIC depuis la première, je crains que l’esprit « hacker » (désolé pour ce mot vulgaire) des origines, déjà bien amoché par l’obligation d’envoyer un article LaTeX de 20+ pages, ne succombe à la pesanteur conjuguée de l’administration et de la recherche universitaire. On s’éloigne d’un CCC à la française, où l’on puisse parler librement de protocole GSM, de sécurité des cartes bancaires, ou du site « impots.gouv.fr ». Fini la révérence du groupe Rstack sur scène en guise de conférence de clôture (pour ceux qui s’en souviennent). On se dirige plutôt vers un monde où OCaml nous sauvera des XSS (ou pas) grâce à des anciens de l’Agence. Voire à une migration de Rennes vers le Mont Valérien - après tout les RMLL ont bien quitté Bordeaux pour aller à Strasbourg (et maintenant Genève).

Au fait !

Si vous m’avez lu jusque là, vous commencez à vous douter qu’une telle diatribe n’est pas le fruit du hasard. Levons le suspens : ma soumission à SSTIC a effectivement été rejetée :)

Vous me direz : « c’est le jeu », et je vous l’accorde. D’ailleurs j’avais déjà été refusé deux fois à SSTIC : l’année où les *Box étaient accessibles en Telnet côté Internet, et l’année où nous avions inventé le forensics du fichier d’hibernation avec Matthieu Suiche (ça n’est pas moi qui le dit, mais Harlan Carvey).

Mais cette fois-ci c’est différent. Comment ne pas penser que « quelquechose » s’est cassé quand on lit une revue telle que celle-là (authentique) :
« Et quid de la légalité d'une conférence qui ne fait que le reverse engineering d'un produit commercial ? »

Sachant que la première conférence de l’édition 2012 concerne le reverse engineering d’un firmware Qualcomm, cela prête à sourire. Sans compter que les éditions précédentes ont abordé le reverse engineering de Microsoft Bitlocker (par … l’ANSSI !), de cartes réseau Broadcom (par … devinez qui :), etc.

Les revues sont bien évidemment anonymes, mais je suis prêt à parier une bière que ce commentaire émane de l’ANSSI, et plus précisément du CERTA. Vous savez, ceux qu’on ne voit jamais chez les clients victimes d’APT : ils font faire le sale boulot d’ouverture de binaires par le bureau inspection, Microsoft Services, ou des prestataires de service. Car « l’administration se doit d’être irréprochable » (authentique également). Bien sûr, je peux me tromper :)

Le reste des relectures sont à l’avenant, je vous en fais grâce ici.

Pour conclure sur SSTIC : inutile de remplir le sondage. Non seulement les résultats restent secrets (même les auteurs n’ont pas accès aux informations sur leur propre prestation), mais de plus ça n’éclaire en rien le Comité de Programme dans ses choix ultérieurs.

Existe-t-il un horizon ?

Bien entendu, cette situation ne convient pas à tout le monde. Et comme la nature a horreur du vide, d’autres conférences françaises d’excellente tenue ont vu le jour : Hack In Paris et Hackito Ergo Sum par exemple.

Si vous voulez discuter amicalement autour d’une bière avec des talents (et non pas des stars) de la sécurité tels que Fyodor Yarochkin, Marc Van Hauser, Dmitry Sklyarov, Cesar Cerrudo ou Travis Goodspeed, n’hésitez pas : les inscriptions sont ouvertes ! Et en plus, il y en aura pour tout le monde.


PS. Message personnel pour Arno (de l’ANSSI, mais qui ne l’est pas aujourd’hui ?) : désolé pour tes 5 euros, mais il n’y aura pas de démo technique cette année. Si tu as lu ce billet et que tu as bien rigolé, puis-je les garder en dédommagement ? Merci.