vendredi 24 octobre 2014

Pitié.

J'ai suivi les 2ème Rencontres Parlementaires de la Cybersécurité via Twitter (hashtag #RPCyber). Initialement j'avais l'intention de commenter ou de re-tweeter les messages les plus pertinents ; finalement le volume m'a contraint à un billet de blog – format plus adapté à l'argumentation.

Bien que tout le monde se soit largement congratulé (au moins sur Twitter) pour la qualité de cet événement, j'étais de mon côté atterré par la vision "cyber" (comme on dit maintenant) de nos éminences grises. Florilège.

Le cyber, c'est la guerre

Premier constat: le cyber est aux mains des militaires. La première édition se déroulait au siège de la Gendarmerie, la deuxième édition à l'école militaire. Toute la fine fleur des industriels "de confiance" était là (Thales, Airbus ex-Cassidian, Sogeti, …) au côté des amiraux et des députés. Pas de représentants de la société civile, sauf les sponsors.

Quant au contenu des tables rondes: cyber-criminalité, cyber-guerre, cyber-espionnage (dit APT).

Bref, on n'était pas là pour faire de la philosophie comparée entre le Java et le OCaml, mais plutôt pour dézinguer du cyber-terroriste. Ca va filer droit et sécuriser sec. D'ailleurs …

https://twitter.com/echo_radar/status/525294388675903488

Autokiff

Le moins que l'ont puisse dire, c'est que tout le monde est extrêmement satisfait des progrès réalisés. L'ANSSI recrute, la DGA recrute, les lois sont votées, les décrets vont tomber … bref, on est bientôt "secure".

D'ailleurs, personne n'a encore réussi à m'expliquer ce qu'est le "cyber", mais on a déjà voté plus de lois à ce propos que tous les autres pays dans le monde ! Vive la France !
https://twitter.com/DefStrategie/status/525314242648743936
Et puis il y a déjà 7 thèses en cours sur le sujet, bientôt le bout du tunnel …
https://twitter.com/DefStrategie/status/525296121762304000
Il y a même 60% des gens (dans la salle) qui pensent que le niveau de sécurité s'est amélioré en France ces dernières années ! Bon travail, chef.
https://twitter.com/ISSA_France/status/525224359448031232

Et aussi …

Quelques annonces en vrac: l'Etat à décidé de rebondir après la fermeture de Surcouf. Mme Michu aura donc le droit à un CERT dédié pour nettoyer son PC, accélérer son navigateur et sauvegarder dans le Claude souverain.

https://twitter.com/ericfreyss/status/525264594944929792
Et aussi, une réserve opérationnelle.
https://twitter.com/comptoirsecu/status/525308543927595008
Mais à quoi vont servir ces réservistes ? A manger les bénéfices du principal sponsor de la journée – à savoir Microsoft – en allant réinstaller des Active Directory le week-end après une compromission ! (L'un des principaux gagne-pains de la branche "conseil" chez Microsoft)
https://twitter.com/echo_radar/status/525307690147676160

Le meilleur pour la fin

Alors celui là, je ne sais même pas quel commentaire y apporter. Alors que les instances de l'Etat n'arrivent pas à stimuler la production d'un système Android "souverain", ils veulent attaquer frontalement un marché hyper-fragmenté qui se renouvelle tous les 3 mois, dans lequel aucun industriel français n'est impliqué ?
https://twitter.com/AlexArchambault/status/525263148363055104

Mais en réalité …

https://twitter.com/echo_radar/status/525303357242888192
https://twitter.com/echo_radar/status/525301585334009857
https://twitter.com/lsamain/status/525300659827273728

Plus sérieusement

Trêve de plaisanterie, voici mon point de vue sur les thèmes abordés durant cette journée.

La cyberguerre: il sera temps de la faire quand elle arrivera.

Parce que pour le moment c'est un peu comme l'hiver dans Game of Thrones: on en parle beaucoup mais on ne la voit jamais. A côté de ça les problèmes concrets, moins gratifiants, plus durs, mais certainement beaucoup plus impactant, n'avancent pas. Voter une loi pour rendre illégal la possession d'une version Java pas à jour serait certainement bien plus profitable à l'écosystème que pénaliser la possession d'outils de sécurité, comme c'est le cas actuellement. (Vous rigolez peut-être, mais quand on voit les lois qui s'appliquent aux ascenseurs, la proposition n'est pas inimaginable).

La sensibilisation: ça ne marche pas.

Ok, ça peut marcher si vous faites un épisode de Derrick (c'est quoi les trucs à la mode maintenant ?) sur l'usurpation d'identité. Mais un clip de 30 secondes, ça marchera à peu près aussi bien que les clips sur le tabac ou la sécurité routière. Il n'y a que les taxes et les radars qui peuvent forcer les gens à changer. Oh, il faudrait donc probablement infliger une amende aux gens qui vont sur impots.gouv.fr avec une version Java pas à jour (mais pas sur le site de vote des français à l'étranger, qui impose une version de Java antédiluvienne).

La formation: ça ne marche pas.

Certes il y a un effet d'inertie: les jeunes qui rentrent en cyber-formation maintenant ne seront disponibles que dans quelques années. Et encore, que peut-on attendre de quelqu'un qui n'a aucune expérience de terrain ?

Certes il y a un problème de compétences: comment trouver des professeurs pour former (correctement) les jeunes alors qu'il y a trop peu d'experts en sécurité actuellement ? (Qui l'eût cru d'ailleurs ?)

Mais le fond du problème, c'est que "la cyber" n'intéresse personne. Au lieu de se retrouver contractuel dans l'administration ou consultant en SSII/ESN/whatever à réinstaller des postes compromis pendant ses week-ends, le jeune qui maitrise un minimum son sujet va plutôt monter un réseau social ou un site de rencontres (c'est pareil) et le revendre dans la Silicon Valley.

Le peu de gens qui se sont quand même lancés dans la cyber-aventure se sont vite lassés … absence de reconnaissance morale et financière, structures étouffantes, impact nul (refaire le même pentest année après année pour le même client, avec les mêmes résultats ?), absence de perspectives à moyen terme … certains de nos meilleurs experts ont fini dans des trous à rat d'où ils attendent la retraite, les autres sont partis faire autre chose.

Quelques-uns s'acharnent et continuent en freelance (lors de mon dernier pointage, il existait plus de 200 sociétés françaises qui réalisent de la prestation de services en sécurité informatique). Mais la labellisation des prestataires dans tous les domaines, imposée par l'ANSSI, va achever les quelques "anomalies" du secteur. Il ne restera bientôt plus que des mastodontes chez qui personne ne veut aller se vendre.

Pas étonnant que la plupart des sponsors de la journée aient autant de mal à recruter …

Les PME innovantes en cyber-sécurité: ça n'a aucun intérêt.

Il ne sert strictement à rien de continuer à stimuler l'innovation en cyber-sécurité, voire d'imposer des PME dans les achats publics. Une PME qui vit exclusivement d'un produit de sécurité informatique va mourir. Certes on pourra la maintenir sous perfusion un certain temps en forçant les ministères ou les grandes entreprises à payer une soulte, mais que d'argent dépensé en pure perte !

La clé du succès, c'est d'avoir un écosystème informatique performant (éditeurs de logiciels et de services en ligne). La sécurité ne représente que 3% à 5% d'un budget informatique, donc rien (surtout à l'échelle de la France). La stratégie des PME en sécurité informatique est de se diversifier, ou de se faire racheter par un éditeur qui dispose d'une gamme plus large dans laquelle il peut intégrer des outils de sécurité. On peut penser à Mandiant-FireEye, Intel-McAfee ou RSA-EMC.

C'est aussi la tendance en France avec les rachats annoncés ou à venir: il n'y aura bientôt plus de "Pure Player" de la sécurité en dehors des micro-cabinets de consulting. Sauf qu'il n'existe chez nous aucun éditeur logiciel sérieux (à quelques exceptions près, comme Dassault Systèmes – qui a dû se coltiner le rachat d'Exalead du coup).

Le fond du problème, c'est donc le statut du développeur logiciel: grouillot boutonneux en France, star dans la Silicon Valley. Une fois que le logiciel et les services en ligne fonctionneront sans subventions en France, l'intendance suivra.

Et pour cela, il faut que l'informatique trouve la place qu'elle mérite dans les entreprises … et dans le cœur des gens.
https://twitter.com/BoeufNoix/status/525212041284702208

Les problèmes: ils sont devant nous, et personne n'y a encore touché.

J'ai du mal à partager l'optimisme général sur les progrès fabuleux réalisés dans le domaine de la sécurité informatique, sans vouloir minorer le volontarisme de l'Etat.

Vu de l'extérieur de la cyber-bulle, rien n'a changé: les gens se font voler leur mot de passe et parfois même leur identité numérique, les fraudes sont de plus en plus nombreuses, les entreprises se font pirater et racketter en masse (la fraude au président connaît un succès qui ne se dément pas – tout comme les APT), le dépôt de plainte relève du chemin de croix, les enquêtes ne débouchent sur rien, personne n'est responsable de la situation.

Ah si, ce qui a changé c'est le rythme des catastrophes: failles #HeartBleed, Rosetta Flash, #ShellShock et POODLE ; vol de données bancaires en masse dans toutes les enseignes de grande distribution américaines ; piratage des banques américaines (J. P. Morgan et consorts) ; etc.

Bref, la situation est hors de contrôle, et la plupart des entreprises stratégiques continuent à dépendre de feuilles Excel 97. Malgré tous les cyber-séminaires et cyber-thèses consacrés au sujet.

Le cyber: ça n'existe pas.

Pour conclure, je crois qu'il faut arrêter avec le (ou la ? Peut-être The) cyber.

Utiliser un iPhone pour téléphoner à son pote le dealer n'est pas une cyber-attaque.

( Au passage, il me semble pas justifié d'invoquer des lois "anti-terroristes" pour casser les sécurités légitimement mises en place par les fabricants qui veulent protéger leurs utilisateurs du vol, de la perte ou du piratage de leur équipement.

Certes cela serait parfois bien pratique de tout backdoorer. Certes l'apparition de nouveaux moyens de communication pourrait permettre aux Etats d'espionner massivement leurs administrés et de traquer le Crime partout où il se cache. Mais comment faisait-on à l'époque des combinés en bakélite, quand les malfrats téléphonaient depuis une cabine ? On se débrouillait autrement. Et le crime n'était pas plus élevé qu'aujourd'hui.

La technologie ne doit pas servir de paravent à la baisse des crédits et/ou de la motivation de la police à réaliser des filatures et des enquêtes de terrain. Fin de la parenthèse. )

La "cybernétique", c'est la science du gouvernement, devenue la science des systèmes complexes. Un mot déjà désuet à l'époque d'Ampère.

Le reste c'est de la délinquance, de l'espionnage ou de la guerre - pratiqué avec des outils modernes.

Stop the Cyber. Par pitié.

lundi 12 mai 2014

Que vaut le CAC 40 ?

Pour être honnête, j’hésite entre “cyber” et “souverain”. Je ne sais pas laquelle de ces deux tartes à la crème a été la plus entendue en 2013. Mais qu’en est-il sur le terrain ? Y a-t-il une réalité derrière ces termes ?


Pour le savoir, menons une expérience assez simple: si j’écris à n’importe quel collègue travaillant dans une entreprise du CAC 40, où va arriver mon email ?


Cette expérience n’a rien de scientifique, mais au moins elle peut être menée sur la base de données publiques, et s’avère reproductible par tout un chacun.


La liste des entreprises du CAC 40 se trouve sur Wikipedia. Identifier le serveur de messagerie qui collecte tous les courriers entrants est très simple avec la commande nslookup sous Windows ; host ou dig MX <domaine> sous Unix et Mac OS X.


La partie la plus difficile (et la moins scientifique) de l’expérience consiste à identifier l’ensemble des domaines de messagerie utilisés par un groupe, ses filiales et ses acquisitions. Par exemple une filiale qui n’est pas détenue à 100% doit-elle rentrer dans le périmètre ? Dans le cadre du groupe Bouygues par exemple, faut-il considérer @bouygues.com, @bouygues-construction.com et/ou @bouyguestelecom.fr ? Dans le doute, j’ai fait au plus simple: je me suis limité aux sites Web “notoirement” identifiables, puis j’ai supposé que ces domaines étaient capables de recevoir du mail. Vous trouverez dans le tableau ci-dessous tous les domaines retenus, mais n’hésitez pas à compléter cette liste dans les commentaires !


J’ai ensuite extrait l’enregistrement DNS MX pour chaque domaine. Dans certains cas, il est nécessaire de géolocaliser l’adresse IP correspondante: pour cela j’ai utilisé la base MaxMind. Dans d’autres cas, le suffixe DNS est suffisant pour conclure, selon le guide de lecture suivant (un éditeur de services sera considéré selon sa nationalité d’origine, pas l’emplacement géographique de ses serveurs):
  • pphosted.com = ProofPoint (américain)
  • outlook.com = Microsoft
  • gmessaging.net = Orange (cocorico)
  • frontbridge.com = Microsoft Exchange Online
  • psmtp.com = Postini (racheté par Google)
  • messagelabs.com = Symantec


Je ne dispose malheureusement pas de compte chez DomainTools, mais il serait probablement intéressant d’étudier l’historique de ces enregistrements (gardons celà pour un deuxième temps).


Bien entendu les résultats sont potentiellement incomplets, à cause des techniques DNS Round Robin ou Anycast par exemple. Mais au moins elle ne produit pas de faux positifs.


La conclusion est la suivante: dans seulement 12 cas sur 40, il est certain que le message arrivera sur un serveur hébergé en France. Dans les autres cas, le message est susceptible d’arriver à l’étranger. Il ne s’agit pas de détournement BGP ou d’intrusion sur des câbles sous-marin: l’entreprise du CAC 40 paie effectivement pour recevoir son mail à l’étranger.


J’en arrive donc à la conclusion que la notion de souveraineté qui agite beaucoup les cyber-penseurs se heurte au principe de réalité suivant: les coûts et la qualité de service offerts par les opérateurs spécialisés (généralement étrangers) est imbattable. Même en injectant beaucoup d’argent public pour essayer de rattraper le retard.


Pour conclure, je vous laisse méditer sur ces perles:


$ dig MX bouygues-immobilier.fr
;; ANSWER SECTION:
bouygues-immobilier.fr. 3600    IN      MX      30 charybde.wolfbusiness.com.
bouygues-immobilier.fr. 3600    IN      MX      10 mail.wolfbusiness.com.


$ dig MX bouygues.fr
;; ANSWER SECTION:
bouygues.fr.            600     IN      MX      5 mailhub.bouygues.fr.
bouygues.fr.            600     IN      MX      30 mxcache.te-dns.net.


La blague ici, c’est que wolfbusiness.com et te-dns.net sont des domaines appartenant à Iliad Entreprises, donc à Free.


Et pour finir:


$ dig MX bouyguestelecom.fr
;; ANSWER SECTION:
bouyguestelecom.fr.     86400   IN      MX      1 mail.messaging.microsoft.com.


Annexe: données brutes



Entreprise
Site(s) Web "notoires"
Enregistrement(s) MX
Nationalité(s)
de l’adresse IP
Accor
accor.fr (redirection)
accor.com
accorhotels.com
mail1.accor.com
FR
Airbus Group
airbus.fr
airbus.com
airbus-group.com
eads.net
eads.com
cassidian.fr (redirection)
cassidian.com
airbushelicopters.fr (redirection)
airbushelicopters.com
mbda-systems.com
relay.gharelay.gmessaging.net
vip-smtp.airbus.gmessaging.net
mail-dotnet1.eads.net
mail-dotnet2.eads.net
mail-dotnet3.eads.net
mail-dotnet4.eads.net
mail-dotcom1.eads.com
mail-dotcom2.eads.com
mail-dotcom3.eads.com
mail-dotcom4.eads.com
mail.airbushelicopters.fr
cluster5.eu.messagelabs.com
FR
DE
US
Air Liquide
airliquide.fr
airliquide.com
airliquide-com.mail.protection.outlook.com
US
Alcatel-Lucent
alcatel-lucent.fr
alcatel-lucent.com
smtp-mx2.alcatel.fr
smtp-mx3.alcatel.fr
smtp-mx5.alcatel.fr
ihemail1.lucent.com
ihemail2.lucent.com
ihemail3.lucent.com
ihemail4.lucent.com
hoemail1.alcatel.com
hoemail2.alcatel.com
FR
US
Alstom
alstom.fr (redirection)
alstom.com
relay.alstom.gmessaging.net
vip-smtp.alstom.gmessaging.net
vip-smtp.alstom.com
FR
NL
ArcelorMittal
arcelormittal.fr (redirection)
arcelormittal.com
mx1.arcelormittal.com
mx2.arcelormittal.com
mx3.arcelormittal.com
mx1-us.arcelormittal.com
mx2-us.arcelormittal.com
US
UK
AXA
axa.fr
axa.com
mrelay2.axa.com
FR
BNP Paribas
bnpparibas.net
bnpparibas.com
bnpparibas.fr
parmail7.bnpparibas.fr
parmail8.bnpparibas.fr
parmail15.bnpparibas.fr
parmail19.bnpparibas.fr
parmail21.bnpparibas.fr
FR
Bouygues
bouygues.fr (redirection)
bouygues.com
bouygues-construction.fr
bouygues-construction.com
bouygues-immobilier.fr (redirection)
bouygues-immobilier.com
bouyguestelecom.fr
mxcache.te-dns.net
mailhub.bouygues.fr
bouygues-com.mail.protection.outlook.com
mx.dial.oleane.com
secours.bouygues-construction.com
mailhub.bouygues-construction.com
concentrateur.bouygues-construction.com
mail.wolfbusiness.com
charybde.wolfbusiness.com
mx.bouygues-immobilier.com
mx2.bouygues-immobilier.com
mail.messaging.microsoft.com
FR
US
Capgemini
capgemini.fr (redirection)
capgemini.com
MX1.capgemini.com
MX2.capgemini.com
FR
DE
Carrefour
carrefour.fr
carrefour.eu
carrefour.com
mxa-00150901.gslb.pphosted.com
mxb-00150901.gslb.pphosted.com
mx1.carrefour.com (alias pphosted.com)
mx2.carrefour.com (alias pphosted.com)
US
Crédit Agricole
credit-agricole.fr
credit-agricole.com
phil.credit-agricole.fr
FR
Danone
danone.fr (site clients)
danone.com
mx.dnsassurance.com (alias melbourneit.com)
cluster5.eu.messagelabs.com
cluster5a.eu.messagelabs.com
AU
US
EDF
edf.fr (redirection)
edf.com
mtagate1.edf.fr
mtagate2.edf.fr
mtagate3.edf.fr
mtagate4.edf.fr
FR
Essilor
essilor.fr
essilor.com
essilor.fr.s7a1.psmtp.com
essilor.fr.s7a2.psmtp.com
essilor.fr.s7b1.psmtp.com
essilor.fr.s7b2.psmtp.com
essilor.com.s7a1.psmtp.com
essilor.com.s7a2.psmtp.com
essilor.com.s7b1.psmtp.com
essilor.com.s7b2.psmtp.com
US
GDF Suez
gdfsuez.fr
gdfsuez.com
mail.gdfsuez.fr
mx2.gdfsuez.com
BE
(Electrabel)
Gemalto
gemalto.fr
gemalto.com
smtp1.gemalto.com
smtp2.gemalto.com
FR
(Atos Origin)
Kering
kering.fr (redirection)
pprgroup.net
kering.com
mail.kering.fr
mail1.kering.net
mail2.kering.net
mail.pprgroup.net
FR
Lafarge SA
lafarge.fr
lafarge.com (redirection)
mail.lafarge.fr
lafarge.com.s200a1.psmtp.com
lafarge.com.s200a2.psmtp.com
lafarge.com.s200b1.psmtp.com
lafarge.com.s200b2.psmtp.com
US
Legrand
legrand.fr
legrand.com
relayim.fr.grpleg.com
mx3.fr.grpleg.com
mx4.fr.grpleg.com
relayit.bticino.it
mx1.bticino.it
mx2.bticino.it
legrand-fr.mail.protection.outlook.com
legrand-com.mail.protection.outlook.com
FR
US
IT
L’Oréal
loreal.fr
loreal.com
loreal-paris.fr
loreal-paris.com
ora-webmail.int-hosting.net
mailhub.btfrance.fr
smtp1.loreal.com
smtp7.loreal.com
smtp3.us.loreal.com
smtp4.us.loreal.com
FR
US
LVMH
lvmh.fr
lvmh.com
smtp-chev.acacia.lvmh.com
smtp-sin.acacia.lvmh.com
FR
SG
Michelin
michelin.fr
michelin.com
gk-us1.michelin.com
gk-us2.michelin.com
gk-fr1.michelin.com
gk-fr2.michelin.com
gk-fr3.michelin.com
FR
US
Orange
orange.fr
orange.com
smtp-in.orange.fr
relais-ias241.francetelecom.com
relais-ias89.francetelecom.com
FR
Pernod-Ricard
pernod-ricard.fr
pernod-ricard.com
mxa-0012cd01.gslb.pphosted.com
mxb-0012cd01.gslb.pphosted.com
US
Publicis
publicisgroupe.com
hkgmail1.hk.publicisgroupe.net
parmail1.fr.publicisgroupe.net
chimail1.us.publicisgroupe.net
FR
US
CN
Renault
renault.fr
renault.com
smtp.renault.fr
smtp2.renault.fr
FR
Safran
safran-group.fr
safran-group.com
mail.safran-group.fr
ns.aixia.net
FR
Saint Gobain
saint-gobain.fr
saint-gobain.com
saint-gobain-glass.fr (redirection)
saint-gobain-glass.com
mail.saint-gobain.com
mail2.saint-gobain.com
mail3.saint-gobain.com
mail4.saint-gobain.com
mail5.saint-gobain.com
mail6.saint-gobain.com
smtp.pictime.fr
bow.rain.fr
mx1.linkbymail.fr
mx2.linkbymail.fr
mx3.linkbymail.fr
mx4.linkbymail.fr
FR
Sanofi
sanofi.fr
sanofi.com
frasldsuext11.aventis.com
XSPZ10P120B.sanofi.com
xspz10p851w.sanofi.com
xspz10p852b.sanofi.com
xspz10k428f.sanofi.com
xspz10k458s.sanofi.com
XSPZ10F562B.sanofi.com
XSPZ10F564T.sanofi.com
XSPZ10P119T.sanofi.com
FR
DE
US
Schneider Electric
schneider-electric.fr (redirection)
schneider-electric.com
smtp.pictime.fr
bow.rain.fr
cluster3.eu.messagelabs.com
cluster3a.eu.messagelabs.com
FR
US
Société Générale
societegenerale.fr
societegenerale.com
mail.iap.socgen.com
nycmail.iap.socgen.com
FR
US
Solvay
solvay.fr
solvay.com
fr.mail1.psmtp.com
solvay.com.s200b1.psmtp.com
solvay.com.s200b2.psmtp.com
solvay.com.s200a1.psmtp.com
solvay.com.s200a2.psmtp.com
US
Technip
technip.fr (redirection)
technip.com
smtp3.technip.com
smtp12.technip.com
smtp23.technip.com
FR
US
Total
total.fr
total.com
smtp1.totalfinaelf.net
mail01.par.totalfinaelf.net
mail02.par.totalfinaelf.net
FR
Unibail-Rodamco
unibail-rodamco.fr
unibail-rodamco.com
relay1.netnames.net
relay2.netnames.net
mail.unibail.fr
mail2.unibail.fr
mail3.unibail.fr
mail4.unibail.fr
mail6.unibail.fr
FR
UK
Vallourec
vallourec.fr
vallourec.com
mxa-00163401.gslb.pphosted.com
mxb-00163401.gslb.pphosted.com
mx07-00163401.pphosted.com
mx08-00163401.pphosted.com
US
Veolia Environnement
veolia.fr
veolia.com
defaultmx.iptwins.fr
aspmx.l.google.com
alt1.aspmx.l.google.com
alt2.aspmx.l.google.com
aspmx2.googlemail.com
aspmx3.googlemail.com
mailve1.generale-des-eaux.net
FR
US
Vinci
vinci.fr
vinci.com
vinci-autoroutes.com
vinci-construction.com
vinci-immobilier.com
vincipark.com
vinci-energies.com
mx1.vinci.fr
mx2.vinci.fr
smtp1.vinci.com
smtp2.vinci.com
mail.global.frontbridge.com
vinciautoroutes-com01c.mail.protection.outlook.com
mx1.vinci-construction.com
mx2.vinci-construction.com
mx1.vinci-immobilier.com
mx2.vinci-immobilier.com
vincipark-com.mail.eo.outlook.com
vincienergies-com01c.mail.eo.outlook.com
FR
US
Vivendi Media
vivendi.fr
vivendi.com
mail-gw.vivendi.net
mail-bk.vivendi.net
mail.vivendi.net
FR
US