lundi 23 juillet 2012

Puisqu’il faut bien en parler ...

Malgré les vacances, le microcosme de la sécurité informatique ne bruisse que de la récente publication du « Rapport Bockel » sobrement intitulé « La cyberdéfense : un enjeu mondial, une priorité nationale » (le titre « La sécurité informatique : un échec global » ayant probablement été jugé moins sexy ou non libre de droits).

Je ne vais pas parler de ce rapport, pour la bonne raison qu’il fait 158 pages et que je ne l’ai pas lu. Fort heureusement, une synthèse officielle de 4 pages est disponible en ligne, ainsi que de nombreuses analyses tierces - dont celles de Sysdream, SecurityVibes, HackersRepublic, Reflets.info, Le Mag IT, 01Net, et tous les médias traditionnels … « Analyse » étant un bien grand mot, la plupart se contentant de traduire la synthèse officielle dans une forme plus journalistique.

Rassurez-vous, j’écris trop peu souvent pour perdre mon temps à vous servir la soupe officielle. Car pour moi, ce rapport est une nième déclaration d’intention qui fera certainement bouger les lignes politiques, mais n’aura aucun effet sur le niveau d’insécurité actuel – même si toutes ses recommandations étaient mises en œuvre promptement.

De la représentativité du panel choisi

Sur la forme, on peut constater en Annexe que l’essentiel des personnes auditionnées sont des fonctionnaires français ou des militaires américains (et assimilés, comme les militaires anglais, et les penseurs de l’OTAN). On peut déjà s’attendre à une vision très américaine du monde, du type : « La cyberguerre est une chose trop sérieuse pour être confiée à des poilus (du menton ou du caillou) ». Certes ça va parler failles de sécurité, botnets, Anonymous, et autres fléaux de l’Internet moderne – mais après tout qui de mieux placé qu’un militaire pour cela ?

Quelques entreprises françaises ont néanmoins été auditionnées : AREVA, Cassidian, CEIS, SOGETI (par la voix de son PDG), SysDream et Thalès. Un panel pour le moins … éclectique. Sans compter les prestataires mentionnés dans le corps du document :

« On trouve également en France un tissu de PME-PMI innovantes, à l’image de Netasq et d’Arkoon en matière de logiciels et produits de sécurité ou de Sysdream, d’Atheos et de DevoTeam en matière de services. »

Comme me le glissait à l’oreille un concurrent qui préfère rester anonyme (ce sont toujours les mieux informés), on peut se demander en quoi ces entreprises sont plus innovantes que les dizaines d’autres prestataires existants sur le marché français. A part dans le choix de la Côte d’Azur pour organiser des séminaires clients, peut-être ?

Donc, après avoir interviewé l’ANSSI, le Ministère de la Défense, et des prestataires au service des précédents, la conclusion du rapport est que pour augmenter le niveau de sécurité … il faut augmenter les ressources de l’ANSSI et celles de la « Lutte Informatique Offensive ». Brillant ! Dommage que personne n’ait pensé à interviewer n’importe quel PDG d’une entreprise du CAC40 ou d’un OIV (dont il est tant question dans ce rapport), qui achètent des iPad à la cantonade et « cloudifient » leur informatique à coup de Google Apps. Autant dire qu’ils n’auraient pas tout à fait la même vision de l’avenir de l’informatique, et encore moins de sa sécurité.

Car aujourd’hui en entreprise, le DSI comme le RSSI sont priés d’arrêter de jouer les Cassandres, mais plutôt d’introduire plus « d’innovation » (comprendre : de gadgets technologiques et de services « grand public ») au sein d’une entreprise qui ne fonctionne plus qu’avec des sous-traitants interconnectés depuis les quatre coins du monde. Cela aura son importance dans la suite de cet article.

Des 10 priorités

Entrons dans le vif du sujet : les 10 priorités que tout le monde retiendra. Je vous fais la version courte :

1. Augmenter le budget de l’armée et de la LIO.

Je ne vais pas troller m’étendre longtemps sur le sujet de la « cyberguerre » : pour moi ce concept n’a tout simplement aucun sens. Certes une organisation déterminée à « mettre la grouille » dans les réseaux civils français n’aurait probablement aucun mal à désorganiser quelque peu l’activité du pays – par exemple en éteignant la téléphonie mobile :) Mais une telle action n’aurait aucun sens en dehors d’une « vraie » guerre d’invasion ou de destruction – et là, pouvoir accéder à Facebook sera probablement le dernier de nos soucis. Par ailleurs une action purement informatique serait probablement moins efficace qu’un embargo sur des produits clés, ou des attentats ciblés, pour paralyser le pays (mais là, j’avoue mon incompétence dans le domaine de la destruction de pays – même si je suis fan de Risk).

Par ailleurs les militaires vivent en vase clos et n’ont aucune incidence sur le niveau de sécurité informatique du pays dans son ensemble, qui repose essentiellement sur les technologies civiles utilisées par les entreprises (matériels, logiciels, réseaux de communication, etc.). Certes ils pourront monter sur les remparts avec leurs fusils le jour où l’ennemi débarquera, mais ils pourront difficilement empêcher les plans de toutes leurs casernes d’être volés dans les réseaux informatiques des entreprises de BTP (note : j’ai choisi un exemple – normalement – fictif afin de ne froisser personne).

Etre capable d’aller attaquer « les autres » (LIO) procure probablement une satisfaction intellectuelle, mais ne les dissuadera pas de nous attaquer eux aussi.

2. Augmenter (encore) les capacités de l’ANSSI, de la DGA, et autres « services ».

Bon travail de lobbying de leur part. Mais il ne faut pas oublier « qu’en face », ils sont environ vingt fois plus nombreux. Et qu’avec le mode de fonctionnement actuel – dit « mode pompier » – on ne peut pas la gagner, cette « cyberguerre » (qui n’est actuellement qu’une vaste opération d’espionnage et de pillage technologique par les puissances adverses).

S’il l’on se reporte au corps du document pour en savoir plus, on y trouve cette perle :

« (…) il paraît nécessaire d'introduire, dans le code de la défense, des modifications législatives visant à donner les moyens à l'ANSSI, aux armées et aux services spécialisés d'exercer leurs missions. Cela concerne notamment les domaines suivants :

- l'autorisation de la rétroconception, c'est-à-dire la possibilité de « démonter », pour des motifs de sécurité, un logiciel ou un système ayant servi à une attaque informatique ;

- la possibilité de procéder à l'analyse de comportement des codes malveillants, de façon à suivre leur évolution, détecter leurs cibles d'attaque et anticiper leur mutation ; (…) »

Le CERTA va enfin pouvoir analyser des virus et des chevaux de Troie sans les transmettre à des éditeurs étrangers ! ;)

Blague à part, ce paragraphe est tout à fait symptomatique de l’échec de la pensée militaire appliquée à la SSI. Tout commence par une idée simple telle que : « interdisons la possession de chars Leclerc au grand public ; formons des pilotes de chars en interne ; nous aurons un avantage tactique certain en cas de guerre civile ».

Ce qui se traduit ensuite par : « interdisons la connaissance de l’assembleur x86 ; formons quelques conscrits à OllyDbg ; nous aurons un avantage certain sur Anonymous ».

Sauf que dans le cas n°1, l’effet dissuasif de la loi est assez faible, mais il reste effectivement assez difficile de se procurer, d’entretenir et de manier un char Leclerc. Alors que dans le cas n°2, la connaissance est libre et abondante – une loi de restriction des connaissances ne peut fonctionner que si les « ennemis » décident de la respecter …

Accessoirement, on peut se demander quel instructeur va former au reverse engineering. Car il y a bien un problème de poule et d’œuf : à force d’avoir voté des lois essentiellement destinées à protéger l’industrie du divertissement (cinéma, musique et jeux vidéo en tête), la « scène » française qui était pourtant si performante s’étiole, et les compétences en reverse engineering s’amenuisent … heureusement qu’il reste l’irréductible village de l’ANSSI pour les héberger :)

Sans parler du mythe : « le reverse engineering est une compétence comme une autre ». Encore une déformation militaire : ça n’est pas parce que tout le monde peut tenir un fusil après quelques heures d’entrainement (avec toutefois une habileté variable selon les gens) que tout le monde peut lutter contre les codes « ennemis », même après quelques années d’instruction … L’informatique est une compétence, la sécurité un talent.

La seule bonne nouvelle dans cette priorité, c’est la volonté de développer une véritable politique de gestion des ressources humaines au sein de l’ANSSI. Les contractuels de trois ans qui constituent le gros des « troupes » aujourd’hui apprécieront. Reste à voir ce qu’en pensent les syndicats et les fonctionnaires en place. D’ailleurs si quelqu’un a des nouvelles de la « Fondation » dont parlait Patrick Pailloux l’année dernière, qu’il se manifeste dans les commentaires …

3. Donner l’ANSSI un pouvoir de régulation et de sanction.

Voyons, l’ANSSI n’a toujours pas réussi à mettre au point un programme de labellisation des prestataires de sécurité (car sauf erreur de ma part, l’initiative actuelle est au point mort). Est-ce le pouvoir réglementaire qui lui manquait ? Ou est-ce que l’initiative est tombée dans le fossé qui existe entre les délires sécuritaires du RGS et la réalité du terrain ?

La CNIL, qui dispose elle d’un pouvoir de sanction depuis bien longtemps, ne semble pas avoir réussi à inquiéter les RSSI – et encore moins les entités extranationales (tels que Google, Facebook, LinkedIn et consorts) – du moins pas au point de les inciter à mettre en place une véritable politique de protection des données personnelles conforme à la loi.

Quant au défaut de sécurité informatique, il est déjà couvert par de nombreux textes – on attend toujours les premières jurisprudences sérieuses.

4. Faire de la sécurité informatique dans les ministères (grâce à la sensibilisation et aux IDS).

C’est une bonne idée. Bon courage. Notons quand même qu’on n’a pas vu de faille exploitable à distance sur Windows 98 depuis longtemps, preuve que le niveau de sécurité s’améliore.

5. Rendre obligatoire la déclaration des « incidents de sécurité » à l’ANSSI (et « encourager les mesures de protection par des mesures incitatives »).

Problème déjà traité par ailleurs dans le cadre des discussions européennes sur le sujet : il est impossible de définir ce qu’est un « incident de sécurité », et la mesure n’aura probablement aucun effet tangible sur les politiques de sécurité des entreprises.

Ca n’est pas en obligeant les entreprises à déclarer les incidents de sécurité qu’elles vont se réveiller un matin et réaliser que leurs politiques et leurs architectures de sécurité doivent être entièrement reconsidérées. Ou pour le dire autrement : ça n’est pas en jetant quelqu’un à la mer qu’on lui apprend à nager.

Quant à l’incitation aux mesures de protection, de quoi s’agit-il exactement ? D’une réduction d’impôts pour ceux qui appliquent les correctifs de sécurité ? Mais aucune entreprise du CAC40 ne paie d’impôts en France …

6. Faire de la sécurité informatique chez les OIV (grâce aux IDS).

Très bien. Quel OIV s’y colle en premier ? Est-ce qu’Orange est prêt à voir débarquer un « bataillon » de l’Agence qui va lui expliquer comment faire du BGP et du LTE correctement ? Ou placer des sondes aux quatre coins de son réseau pour inspecter tout le trafic des clients ? (Aux dernières nouvelles, non).

Et accessoirement : qui va payer la détection et le traitement des « incidents » ?

7. Financer les entreprises de sécurité françaises.

De loin ma mesure préférée. A peu près tous les financements publics alloués à des entreprises dites « innovantes » se sont avérés être du détournement de fonds. Dans tous les cas, aucune entreprise « soutenue » n’a vécu plus de 5 ans (vous pouvez livrer des contre-exemples dans les commentaires s’il vous en vient à l’esprit). Voir à ce sujet l’avis du PDG de Gandi sur le projet « Andromède », parmi les exemples récents.

Un produit de sécurité ne peut vivre que s’il est internationalement reconnu comme techniquement bon, pas parce qu’il a des marchés « réservés » au niveau de l’Etat et des entreprises sous tutelle. D’autant qu’il est parfois difficile pour ces acteurs d’acheter les produits issus de PME qu’ils ont soutenues, pour des raisons obscures de marchés publics ou de politiques d’achat …

Notez que je suis tout à fait pour « renforcer la coopération entre l'Etat et le secteur privé », cité dans la même phrase. Il paraît même que l’ANSSI publie des outils Open Source désormais.

8. Former des ingénieurs, faire de la recherche et du conseil, sensibiliser le public.

Rien à ajouter à ce pot-pourri. Il reste à trouver des jeunes qui veuillent devenir ingénieurs en SSI. Pas sûr qu’avec la considération qu’on ait pour eux en entreprise (sans parler de carrière), les candidats se bousculent. Car selon des chiffres présentés récemment par l’ARJEL, la quasi-totalité des auditeurs/consultants/experts en SSI sur le marché ont entre 0 et 3 ans d’expérience. Et aucun n’a plus de 10 ans.

9. Négocier avec les USA, la Russie et la Chine pour qu’ils arrêtent de nous attaquer.

Ca mérite d’être tenté. Toujours essayer la diplomatie en premier :)

10. Interdire l’achat de routeurs chinois (Huawei et ZTE).

Le meilleur pour la fin. Bien que le rapport cite nommément la Chine, il reste suffisamment évasif dans sa formulation pour laisser planer le doute sur Cisco (américain) et Checkpoint (israélien). Et voilà encore un beau « marché réservé » qui se profile pour Alcatel-Lucent, malgré ses déboires récents.

Mais dans un pays encore à la pointe en matière de chiffrement, la sécurité du cœur de réseau est-elle vraiment un problème ? ;)

Et faut-il interdire l’achat de marques chinoises, ou de marques intégrant des éléments fabriqués en Chine (et donc potentiellement compromis) ? Dans le deuxième cas, on frise la science-fiction.

Le vrai problème avec Huawei, ça n’est pas une hypothétique backdoor matérielle, mais plutôt les contrats d’infogérance qu’ils proposent. Et faire administrer ses routeurs par un prestataire situé au bout du monde pour réduire les coûts, ça peut arriver avec n’importe quel constructeur.

Conclusion (constructive)

Le rapport Bockel : du pur jacobinisme à la française, que d’autres ont résumé par ce titre : « L’ANSSI va sauver le monde » (alors qu’elle n’existe que depuis le 7 juillet 2009).

Mais puisque les vacances m’ont détendues, et qu’avec l’âge on devient constructif, voici mes recommandations pour que ça change. Gratuites et prises sur mon temps libre, les auditions ayant été réalisées autour d’une bière (bien française comme il se doit).

  1. Supprimer le statut de fonctionnaire. Cela aurait le double effet positif de valoriser les carrières au sein de l’ANSSI, et d’augmenter les passerelles entre le privé et le public par le biais de parcours croisés (comme cela se voit aux USA). Ainsi les gens qui auditeraient ou qui formuleraient des recommandations auraient eux-mêmes une expérience de la production.
  2. Supprimer toute loi réprimant une connaissance. Ainsi les compétences en reverse engineering pourraient librement s’épanouir dès le plus jeune âge – seule l’utilisation malhonnête de ces compétences serait pénalisée.
  3. Remettre l’Etat au service de la Nation (et donc des entreprises). Au lieu de construire une machine administrative qui n’est là que pour distribuer l’argent public ou les mauvais points, on pourrait envisager que la connaissance et les outils des « services » (ANSSI en tête) servent à « sécuriser » les affaires des entreprises françaises à l’étranger, comme c’est le cas aux USA. Ca n’est pas comme si l’ANSSI aurait pu vous dire depuis 10 ans qu’il fallait supprimer « WDIGEST.DLL » des Logon Providers par défaut.
  4. Verser à la Documentation Française les rapports d’inspection de l’ANSSI et les rapports d’incident du CERTA (en version éventuellement anonymisée). Il n’existe pas de raison valable pour que l’obligation de notification soit asymétrique, d’autant que l’analyse des techniques et outils employés par les attaquants pourrait permettre d’immuniser l’écosystème informatique (principe de la vaccination).
  5. Faire appliquer les lois existantes (ou les abroger), au lieu de créer des constructions juridiques toujours plus complexes. Si la première loi n’a effrayé personne car elle n’a jamais été appliquée, les dix suivantes n’auront aucun effet. Par exemple, Anonymous se gausse de la récente loi qui pénalise encore plus fortement l’atteinte aux systèmes de l’Etat.
  6. Arrêter de financer directement l’industrie de la sécurité (ou alors contrôler beaucoup plus efficacement, et dans la durée, l’utilisation des fonds). Toute politique industrielle qui se résume à verser un gros chèque après le montage d’un dossier kafkaïen ne peut se terminer que dans la corruption et le détournement. Un produit de sécurité ne peut marcher que s’il est reconnu internationalement comme techniquement bon.
  7. Développer un véritable statut légal de l’expert en sécurité, sur le modèle des médecins ou de toute autre profession réglementée. Ce qui conduirait de facto à la création de cursus longs (plus adaptés à la masse de connaissances qu’il est nécessaire d’acquérir pour devenir réellement « expert ») et à un plus grand poids dans les entreprises (à l’image d’un commissaire aux comptes). La sécurité informatique est aux technologies grand public ce qu’est la chirurgie cardiaque aux cours de premiers soins délivrés par la Croix Rouge.
  8. Obliger les entreprises françaises à innover. Bon là j’avoue, je n’ai pas de solution miracle. Les entreprises gagnent plus aujourd’hui en spéculant avec leur trésorerie qu’en fabriquant des produits. Les têtes pensantes durent rarement plus de cinq ans, et ne sont jamais mises en face de leurs échecs. Dans ces conditions, difficile d’imaginer qu’ils puissent insuffler le goût de l’innovation et la passion créatrice …
  9. Développer un antivirus français en plus des IDS existants. Ah non, ça c’est seulement pour 2014 :)

Remerciements : tous ceux qui ont participé à la rédaction de ce billet en me faisant part de leurs avis circonstanciés. Ils se reconnaitront ;)