vendredi 24 octobre 2014

Pitié.

J'ai suivi les 2ème Rencontres Parlementaires de la Cybersécurité via Twitter (hashtag #RPCyber). Initialement j'avais l'intention de commenter ou de re-tweeter les messages les plus pertinents ; finalement le volume m'a contraint à un billet de blog – format plus adapté à l'argumentation.

Bien que tout le monde se soit largement congratulé (au moins sur Twitter) pour la qualité de cet événement, j'étais de mon côté atterré par la vision "cyber" (comme on dit maintenant) de nos éminences grises. Florilège.

Le cyber, c'est la guerre

Premier constat: le cyber est aux mains des militaires. La première édition se déroulait au siège de la Gendarmerie, la deuxième édition à l'école militaire. Toute la fine fleur des industriels "de confiance" était là (Thales, Airbus ex-Cassidian, Sogeti, …) au côté des amiraux et des députés. Pas de représentants de la société civile, sauf les sponsors.

Quant au contenu des tables rondes: cyber-criminalité, cyber-guerre, cyber-espionnage (dit APT).

Bref, on n'était pas là pour faire de la philosophie comparée entre le Java et le OCaml, mais plutôt pour dézinguer du cyber-terroriste. Ca va filer droit et sécuriser sec. D'ailleurs …

https://twitter.com/echo_radar/status/525294388675903488

Autokiff

Le moins que l'ont puisse dire, c'est que tout le monde est extrêmement satisfait des progrès réalisés. L'ANSSI recrute, la DGA recrute, les lois sont votées, les décrets vont tomber … bref, on est bientôt "secure".

D'ailleurs, personne n'a encore réussi à m'expliquer ce qu'est le "cyber", mais on a déjà voté plus de lois à ce propos que tous les autres pays dans le monde ! Vive la France !
https://twitter.com/DefStrategie/status/525314242648743936
Et puis il y a déjà 7 thèses en cours sur le sujet, bientôt le bout du tunnel …
https://twitter.com/DefStrategie/status/525296121762304000
Il y a même 60% des gens (dans la salle) qui pensent que le niveau de sécurité s'est amélioré en France ces dernières années ! Bon travail, chef.
https://twitter.com/ISSA_France/status/525224359448031232

Et aussi …

Quelques annonces en vrac: l'Etat à décidé de rebondir après la fermeture de Surcouf. Mme Michu aura donc le droit à un CERT dédié pour nettoyer son PC, accélérer son navigateur et sauvegarder dans le Claude souverain.

https://twitter.com/ericfreyss/status/525264594944929792
Et aussi, une réserve opérationnelle.
https://twitter.com/comptoirsecu/status/525308543927595008
Mais à quoi vont servir ces réservistes ? A manger les bénéfices du principal sponsor de la journée – à savoir Microsoft – en allant réinstaller des Active Directory le week-end après une compromission ! (L'un des principaux gagne-pains de la branche "conseil" chez Microsoft)
https://twitter.com/echo_radar/status/525307690147676160

Le meilleur pour la fin

Alors celui là, je ne sais même pas quel commentaire y apporter. Alors que les instances de l'Etat n'arrivent pas à stimuler la production d'un système Android "souverain", ils veulent attaquer frontalement un marché hyper-fragmenté qui se renouvelle tous les 3 mois, dans lequel aucun industriel français n'est impliqué ?
https://twitter.com/AlexArchambault/status/525263148363055104

Mais en réalité …

https://twitter.com/echo_radar/status/525303357242888192
https://twitter.com/echo_radar/status/525301585334009857
https://twitter.com/lsamain/status/525300659827273728

Plus sérieusement

Trêve de plaisanterie, voici mon point de vue sur les thèmes abordés durant cette journée.

La cyberguerre: il sera temps de la faire quand elle arrivera.

Parce que pour le moment c'est un peu comme l'hiver dans Game of Thrones: on en parle beaucoup mais on ne la voit jamais. A côté de ça les problèmes concrets, moins gratifiants, plus durs, mais certainement beaucoup plus impactant, n'avancent pas. Voter une loi pour rendre illégal la possession d'une version Java pas à jour serait certainement bien plus profitable à l'écosystème que pénaliser la possession d'outils de sécurité, comme c'est le cas actuellement. (Vous rigolez peut-être, mais quand on voit les lois qui s'appliquent aux ascenseurs, la proposition n'est pas inimaginable).

La sensibilisation: ça ne marche pas.

Ok, ça peut marcher si vous faites un épisode de Derrick (c'est quoi les trucs à la mode maintenant ?) sur l'usurpation d'identité. Mais un clip de 30 secondes, ça marchera à peu près aussi bien que les clips sur le tabac ou la sécurité routière. Il n'y a que les taxes et les radars qui peuvent forcer les gens à changer. Oh, il faudrait donc probablement infliger une amende aux gens qui vont sur impots.gouv.fr avec une version Java pas à jour (mais pas sur le site de vote des français à l'étranger, qui impose une version de Java antédiluvienne).

La formation: ça ne marche pas.

Certes il y a un effet d'inertie: les jeunes qui rentrent en cyber-formation maintenant ne seront disponibles que dans quelques années. Et encore, que peut-on attendre de quelqu'un qui n'a aucune expérience de terrain ?

Certes il y a un problème de compétences: comment trouver des professeurs pour former (correctement) les jeunes alors qu'il y a trop peu d'experts en sécurité actuellement ? (Qui l'eût cru d'ailleurs ?)

Mais le fond du problème, c'est que "la cyber" n'intéresse personne. Au lieu de se retrouver contractuel dans l'administration ou consultant en SSII/ESN/whatever à réinstaller des postes compromis pendant ses week-ends, le jeune qui maitrise un minimum son sujet va plutôt monter un réseau social ou un site de rencontres (c'est pareil) et le revendre dans la Silicon Valley.

Le peu de gens qui se sont quand même lancés dans la cyber-aventure se sont vite lassés … absence de reconnaissance morale et financière, structures étouffantes, impact nul (refaire le même pentest année après année pour le même client, avec les mêmes résultats ?), absence de perspectives à moyen terme … certains de nos meilleurs experts ont fini dans des trous à rat d'où ils attendent la retraite, les autres sont partis faire autre chose.

Quelques-uns s'acharnent et continuent en freelance (lors de mon dernier pointage, il existait plus de 200 sociétés françaises qui réalisent de la prestation de services en sécurité informatique). Mais la labellisation des prestataires dans tous les domaines, imposée par l'ANSSI, va achever les quelques "anomalies" du secteur. Il ne restera bientôt plus que des mastodontes chez qui personne ne veut aller se vendre.

Pas étonnant que la plupart des sponsors de la journée aient autant de mal à recruter …

Les PME innovantes en cyber-sécurité: ça n'a aucun intérêt.

Il ne sert strictement à rien de continuer à stimuler l'innovation en cyber-sécurité, voire d'imposer des PME dans les achats publics. Une PME qui vit exclusivement d'un produit de sécurité informatique va mourir. Certes on pourra la maintenir sous perfusion un certain temps en forçant les ministères ou les grandes entreprises à payer une soulte, mais que d'argent dépensé en pure perte !

La clé du succès, c'est d'avoir un écosystème informatique performant (éditeurs de logiciels et de services en ligne). La sécurité ne représente que 3% à 5% d'un budget informatique, donc rien (surtout à l'échelle de la France). La stratégie des PME en sécurité informatique est de se diversifier, ou de se faire racheter par un éditeur qui dispose d'une gamme plus large dans laquelle il peut intégrer des outils de sécurité. On peut penser à Mandiant-FireEye, Intel-McAfee ou RSA-EMC.

C'est aussi la tendance en France avec les rachats annoncés ou à venir: il n'y aura bientôt plus de "Pure Player" de la sécurité en dehors des micro-cabinets de consulting. Sauf qu'il n'existe chez nous aucun éditeur logiciel sérieux (à quelques exceptions près, comme Dassault Systèmes – qui a dû se coltiner le rachat d'Exalead du coup).

Le fond du problème, c'est donc le statut du développeur logiciel: grouillot boutonneux en France, star dans la Silicon Valley. Une fois que le logiciel et les services en ligne fonctionneront sans subventions en France, l'intendance suivra.

Et pour cela, il faut que l'informatique trouve la place qu'elle mérite dans les entreprises … et dans le cœur des gens.
https://twitter.com/BoeufNoix/status/525212041284702208

Les problèmes: ils sont devant nous, et personne n'y a encore touché.

J'ai du mal à partager l'optimisme général sur les progrès fabuleux réalisés dans le domaine de la sécurité informatique, sans vouloir minorer le volontarisme de l'Etat.

Vu de l'extérieur de la cyber-bulle, rien n'a changé: les gens se font voler leur mot de passe et parfois même leur identité numérique, les fraudes sont de plus en plus nombreuses, les entreprises se font pirater et racketter en masse (la fraude au président connaît un succès qui ne se dément pas – tout comme les APT), le dépôt de plainte relève du chemin de croix, les enquêtes ne débouchent sur rien, personne n'est responsable de la situation.

Ah si, ce qui a changé c'est le rythme des catastrophes: failles #HeartBleed, Rosetta Flash, #ShellShock et POODLE ; vol de données bancaires en masse dans toutes les enseignes de grande distribution américaines ; piratage des banques américaines (J. P. Morgan et consorts) ; etc.

Bref, la situation est hors de contrôle, et la plupart des entreprises stratégiques continuent à dépendre de feuilles Excel 97. Malgré tous les cyber-séminaires et cyber-thèses consacrés au sujet.

Le cyber: ça n'existe pas.

Pour conclure, je crois qu'il faut arrêter avec le (ou la ? Peut-être The) cyber.

Utiliser un iPhone pour téléphoner à son pote le dealer n'est pas une cyber-attaque.

( Au passage, il me semble pas justifié d'invoquer des lois "anti-terroristes" pour casser les sécurités légitimement mises en place par les fabricants qui veulent protéger leurs utilisateurs du vol, de la perte ou du piratage de leur équipement.

Certes cela serait parfois bien pratique de tout backdoorer. Certes l'apparition de nouveaux moyens de communication pourrait permettre aux Etats d'espionner massivement leurs administrés et de traquer le Crime partout où il se cache. Mais comment faisait-on à l'époque des combinés en bakélite, quand les malfrats téléphonaient depuis une cabine ? On se débrouillait autrement. Et le crime n'était pas plus élevé qu'aujourd'hui.

La technologie ne doit pas servir de paravent à la baisse des crédits et/ou de la motivation de la police à réaliser des filatures et des enquêtes de terrain. Fin de la parenthèse. )

La "cybernétique", c'est la science du gouvernement, devenue la science des systèmes complexes. Un mot déjà désuet à l'époque d'Ampère.

Le reste c'est de la délinquance, de l'espionnage ou de la guerre - pratiqué avec des outils modernes.

Stop the Cyber. Par pitié.

16 commentaires:

Kevin a dit…

Concernant le marché de l'emploi, j'avais fait un post de blog. J'ai récupéré 1000 offres d'emploi contenant les mots "sécurité" et "informatique", puis j'avais filtré le tout.
Le résultat ne fait pas rêver: http://exploitability.blogspot.fr/2013/10/1000-offres-demploi-dans-la-securite.html

Unknown a dit…

C'est pas faux mais tu ne peux jeter le BB avec l'eau du bain...Mon constat: au premier rang de l'amphi une ligne vide puisque les vrais décideur n'étaient pas là mais malgré tout des politiques sur l'estrade et des avancées certaines en terme de développement et de prise de conscience...Moi perso j'étais au premier rang! Et j'ai posé la question de la vision européenne...Pas encore grand chose de construit! Alors avançons, car la prochaine guerre sera fulgurante et qu'au moins nous ayons une capacité à nous relever après un cataclysme cyber...qui arrivera j'en suis convaincu! VB

Anonyme a dit…

Je trouve votre billet particulièrement sévère sur la situation française.
La prise de conscience est bien réelle et les lignes bougent. L'hygiène informatique est l'affaire de tous, effectivement. Les carences dans la formation des futurs informaticiens est la première responsable des problèmes. La cybersécurité est absente de presque toutes les formations actuelles à Bac+2 Bac+3. C'est une premier problème.
La militarisation du cyberespace est une réalité mondiale. La nier sur le territoire national est totalement absurde. Allez regarder du coté de Moscou, de Haïfa, ou de Téhéran et posez-vous la même question sur la militarisation du cyberespace...

Anonyme a dit…

Ptin parfois ca fait du bien d entendre un peu de cyber verite dans ce bas monde

Anonyme a dit…

un peu rageux la gars et parfois un peu caricatural, c'est dommage car il y a des choses intéressantes qui du coup perdent en crédibilité.
Le post commence plutôt mal : en raccourcis "le cyber c'est les militaires". Point du tout c'est juste parce que ce n'est pas seulement du cyber dont ils s'agit mais de cyberSECURITE que cela concerne ceux qui sont censés l'assurer dans sa plus large définition. Après pour vous rendre compte de ce que peut recouvrir le terme cybersécurité, je vous invite à lire les numéro spécial de DSI sur le sujet où tout apparait très théorisé au delà du buzzword.

Anonyme a dit…

Sinoon il il a l'ANSSI et ses... CDD!
Allez voir un proprio pour louer un appart avec ça, pour rire!

newsoft a dit…

Désolé les anonymes. Je reste sur ma position: la cyberSECURITE ne devrait pas être qu'une affaire de militaires et de théoriciens du "cyberespace".

Je ne dis pas que la guerre moderne n'utilise pas d'ordinateurs (aussi bien pour attaquer que pour bloguer d'ailleurs).

Je dis que la conduite de la guerre est une activité marginale pour la sécurité d'Internet.

Pour vraiment changer les choses, il faut mettre ensemble des opérateurs, des hébergeurs, des développeurs de logiciels, des fournisseurs de service, des organismes de standardisation, des régulateurs, ...

Quel intérêt de dédier des équipes de recherche au piratage des téléphones par exemple ? A part espionner ou détruire ?

L’ambiguïté c'est que tous les gens qui parlent de cyberguerre ont tout intérêt à ce que les systèmes restent vulnérables pour pouvoir attaquer les autres (délinquants comme états). On est donc à l'opposé de la cyberSECURITE.

Unknown a dit…

No comment.. ��

Anonyme a dit…

Cyberinsecurity sells...but who's buying ?

Anonyme a dit…

Désolé monsieur new ou monsieur soft mais au delà de #RPCyber n°2 il y a aussi heureusement d'autres personnes qui s'intéressent à la sécurité des systèmes d'information? Certains le font d'ailleurs très bien au sein de mammouths tels que Orange, Thales ou Airbus DS mais aussi de petites structures.
Heureusement, la cyberSECURITE ou toute autre appellation n'est pas qu'une affaire de militaires et de théoriciens et avance ... doucement sous la vigilance de top peu :-)

Anonyme a dit…

...
Préférence du moment à acheter des camions de pompier avec grande échelle plutôt que des hérissons pour ramoner des cheminées.

Anonyme a dit…

Cher Anonyme de 13:57, joli coup de communication. Travaillez-vous dans l'une de ces trois entreprises par hasard ?

Laurent G. a dit…

Dommage que vos bonnes idées soient noyées dans un déferlement de critiques à l'emporte pièces. Pour une fois que des lignes bougent en France.
Et prise de position bien étrange pour quelqu'un que cette "Cyber" fait vivre, justement.

newsoft a dit…

@Anonyme de 13:57 "ça bouge doucement". Ca bouge donc moins vite que l'informatique. L'écart se creuse.

@Laurent : je ne vois pas bien quelles lignes ont bougé. Et je ne vis plus de la "Cyber", elle se contente d'apporter des lecteurs sur mon blog (dont je ne vis pas :).

Anonyme a dit…

Merci pour ce billet style "pierre dans la mare"
Il m'a détendu. C'est vrai que le mot cyber est galvaudé et vendu par certains qui feraient mieux de faire le ménage dans leur SI avant de vendre du conseil aux autres. Ceci dit la réalité est la, d'autres sont déjà bien organisés pour le cyberespionnage/guerre et pratiquent l'acquisition de brevets ou d'information a un stade industriel sans être inquiètés.
Oui, aujoudhui on en ai a un niveau artisanal et qui peut en France proposer une formation cyber avec une vraie expérience (gestion de crise, diagnostique et evaluation des impacts , analyse geostrategique mise en oeuvre dun plan de rémédiation ad hoc...
Ceci dit les mentalités progressent et idem pour les moyens (pas assez c'est vrai, mais tant quon continuera a cacher les incidents il ne pourra en etre autrement)
Au moins ce type de billet a le mérite de révéler certains petits malins qui surfent sur la vague pour des questions d'argent ou du pouvoir

Anonyme a dit…

Bonjour,

Merci pour votre blog, qui n'a qu'un défaut : la trop faible fréquence de ses publications...

Ayant travaillé pour les sociétés que vous citez, j'observe qu'e elles n'appliquent même pas en interne ce qu'elles essaient de vendre par ailleurs.

Entendu après avoir remonté un pb "si j'apprends que tu as dit qu'il y avait une faille dans notre solution X, je te fais virer".
Actions prises non suivies et incohérentes. On choisit Linux car il n'y a pas de virus dessus, c'est connu.

La spec d'un produit Y fait référence à l'état de l'art pour caractériser le niveau de sécurité attendu. La machine est livrée sans SELinux et sans firewall. V&V = 0. Le demandeur a spécifié le besoin, il s'estime "couvert" si on vient lui chercher des poux. Le fournisseur a margé à fond, il relivrera peut être si il était mis en défaut mais ça restera rentable. L'incurie est partout, il n'y a pas de contrôle. Pas de contrôle, pas de problème.

Des centaines de conf ont le même mot de passe depuis 10 ans...

Enfin quand on parle sécurité, on utilise le grand méchant pirate pour financer du matériel (et les copains) : "Ô mon dieu un virus/trojan/backdoor/binaire supect !!! Il nous faut vite 30/40/50 k€ pour installer des honeypots/firewalls/patchs." Pourrais je avoir une copie du binaire pour me faire une idée sur son mode de fonctionnement ? Non, on ne l'a plus (effacé pour remettre la machine en service/détruit accidentellement/le disque est mort depuis).

Cyberfoutagedegueule. Rejoindre les 3 personnes qui gèrent la sûreté informatique de 2000 fout les jetons. Ca doit donner le droit de faire la réunion d'entrée des nouveaux arrivants où il est essentiellement dit de se méfier des inconnus qui vous parlent de votre boulot et des mails de provenance douteuse. DREAM.

Voici ce que je vois de ma petite fenêtre sur le plan local. Au niveau national, ca semble similaire : les industriels sont là pour l'argent. L'ANSSI grossit et réglemente de plus en plus. Pas de contrôle, pas de problème.

La guerre de la formation :
il faut 20 à 25 ans pour former un bon fantassin (élevé avec amour par sa maman) et moins d'un dixième de seconde pour qu'une balle/éclat d'obus/charge de mine le traverse et le transforme en un morceau de viande.
Pour former un expert, il faut des années et se maintenir nécessite aussi de l'investissement (OS, langages, assembleurs, méthodes d'exploitation, frameworks ou logiques de pénétration). Malheureusement pour le dégoûter, cela va beaucoup plus vite : qq mois en SSII et il se sent transformé en morceau de viande. Absence de reconnaissance ou de valorisation des filières techniques...

Ailleurs, un stuxnet est produit en qq heures. C'est à ça que pourrait ressembler une vraie guerre électronique... Mais quand ça touchera en même temps aussi le hard (qq failles cisco, de l'exploitation de BGP ou de dns) impossible d'appeler les pompiers (avec leur nouveau téléphone IP)... Dans les 100 millions de PC backdoorés, combien le sont par des officines d'états en attente d'ordre potentiellement malveillants ? Plus d'un, c'est évident.

Enfin la sécurité intéresse aussi les petits roumains de Râmnicu Vâlcea et autres. C'est la cyberguéguerre : le demi milliard d'euro que ça peut coûter aux banques par an est "accepté" et finalement payé par les clients de ces mêmes banques, tout va bien...

Bref, dormez tranquilles braves gens.