lundi 30 octobre 2017

Ma contribution au mois de la cybersécurité

Dans le cadre du mois de la sécurité, l'ANSSI met en avant son MOOC : la SecNumAcadémie. Il m'a semblé opportun de vous résumer les 2h48 que j'ai passées sur le premier module afin de vous épargner cette peine.


Dans l'ensemble la réalisation technique est correcte, quoi qu'un peu répétitive après presque 3 heures. Quelques animations, et une sensation de progression (plutôt qu'une répétition de la même image d'accueil) auraient été les bienvenues.

Toutefois je n'ai pas pu m'empêcher de prendre la plume face à la tare rédhibitoire qui afflige ce MOOC : il ne se destine absolument pas au grand public ; il est un pur instrument de politique interne à l'administration.

En effet, comment croire que je puisse recommander à mes proches un outil qui attaque bille en tête par le RGS, pour prendre ensuite soin d'énumérer exhaustivement tous les organes administratifs touchant de près ou de loin à la "cyberdéfense" en France (comme le CALID ou la DGSSI, totalement inconnus du grand public) ? Où sont les conseils pratiques qui vont parler à l'internaute moyen ?

L'autre point qui m'a choqué est le biais éminemment politique des messages prodigués. Certes la sécurité informatique n'est pas une science, mais dans le cas d'espèce, l'idéologie occulte parfois des réalités quantifiables. Par exemple, que penser de l'assertion ci-dessous ?



"De nombreux états souhaitent contrôler les frontières du numérique pour des raisons de souveraineté nationale".

Au lieu d'une référence à "Shaping the Internet in China", il aurait peut-être fallu mentionner que la France est pionnière en la matière … bien avant les délires "souverains" de ces dernières années.

Le Cloud

Si j'ai bien compris le message de ce MOOC, l'administration ne croit plus à l'émergence d'un Cloud "souverain" et s'attache donc à dire pis que pendre de toute forme d'externalisation. Espérons qu'ils aient raison, sinon le rétropédalage sera compliqué …

"Les sites hébergés en France sont plus dignes de confiance car de nombreuses lois vous garantissent la protection de vos données" : que voilà une formulation vague et ambiguë !

Aucune loi n'empêche le piratage de vos données chez un prestataire … qu'il soit en France ou ailleurs.

Ah, et le domaine "secnumacademie.gouv.fr" résout en "178.32.43.203" chez moi, qui est une adresse située chez OVH … en Belgique.


Idem pour cette autre formule : "un service gratuit ne vous apporte aucune garantie de service".

Les clients (commerciaux) du Cloud 2E2 ont appris à leurs dépens que payer ne vous apporte guère plus de garanties

Faut-il que j'arrête d'utiliser mon adresse email chez LaPoste.net car elle est gratuite ?
Une dernière à propos du Cloud et puis j'arrête.
Sachez simplement que même si vous n'utilisez pas le "Cloud", vos données peuvent être perdues ou divulguées …

Je serais curieux d'avoir des statistiques à ce sujet, mais je peux vous assurer qu'on perdait déjà des données bien avant l'invention du Cloud.


Précisons au passage que la page de login du site "secnumacademie.gouv.fr" utilise Google Recaptcha. Mais je suppose que "le Web" n'est pas "le Cloud".

Les erreurs

On peut comprendre que la position de l'ANSSI se doive d'être cohérente avec celle de l'ENISA … d'ailleurs le MOOC va jusqu'à reprendre certaines illustrations publiées par l'ENISA. Mais du consensus naquit la vulnérabilité …


Le choix d'un mot de passe : un grand classique. Outre le fait que cette recommandation ne pourra pas s'appliquer à tous les sites (voir @pwtoostrong et @badpasswordrule à ce sujet), elle est malheureusement l'opinion d'un seul homme … qui regrette désormais d'avoir donné ce mauvais conseil.

Votre seul espoir : des mots de passe aléatoires, un password manager, et de l'authentification à deux facteurs partout où c'est possible.

Les trolls

Pour conclure, quelques captures d'écran "amusantes" dans le contexte.



Pas sûr qu'il soit opportun d'utiliser la carte de NorseCorp pour illustrer les attaques sur Internet, alors que cette société est en pleine tourmente

Apparemment on manque d'équipements "souverains", puisque le même téléphone est réutilisé 6 fois en illustration …



Cette image pourrait laisser penser qu'il y a plus de femmes et de professionnels dans la ROC que dans la RCC … En pratique c'est pourtant l'inverse : la réserve opérationnelle comprend essentiellement des étudiants, tandis que la réserve citoyenne est un think tank.

Mais pourquoi avoir choisi tv.freebox.fr comme exemple de site rendu indisponible, alors qu'il est fermé par son propriétaire depuis 2011 ?

S'agit-il simplement d'un clipart récupéré dans cet article ? J'espère que Clubic a donné son accord.



Je me demande bien quelle est cette entreprise dans laquelle on doit payer ses croissants ?

Ah, le bon vieux coup du cadenas vert. Il faut pourtant que je vous dise qu'il n'existe pas sur mobiles, et qu'il va bientôt disparaître sur PC …



Oh, la publicité déguisée pour GMail ;)

Internet Explorer en prend pour son grade …

J'espère que le logo a été utilisé avec permission !

Conclusion

Pour ceux qui ont fait défiler cet article jusqu'à la fin sans le lire, il me semble opportun de réitérer ma conclusion : cette formation extrêmement longue (compter 3 à 4 heures pour aller au bout du premier module si vous n'êtes pas de la profession) sert essentiellement de publicité à ses auteurs.

Elle sera probablement imposée aux agents de l'administration ayant à traiter des problèmes de sécurité informatique (bon courage à eux !), mais en aucun cas elle ne "s’adapte aux besoins de différents publics, non experts, en proposant des contenus pédagogiques". Etudiants, particuliers et patrons de PME risquent forts d'être découragés par la surreprésentation des considérations administratives et réglementaires dans ce MOOC !

lundi 12 juin 2017

Un compte rendu alternatif du SSTIC 2017

Le SSTIC 2017 vient de se terminer. Comme chaque année depuis 15 ans, cet événement confirme sa place centrale dans l’écosystème de la cybersécurité française – aussi bien par la qualité des échanges entre les participants que par la fluidité d’une organisation bien rôdée.

Vous trouverez le compte-rendu technique des différentes présentations chez n0secure [J1][J2][J3] ou Xavier Mertens [J1][J2][J3]. En ce qui me concerne, j’ai souhaité vous faire partager un point de vue avec un peu plus de recul sur cet événement.

L’ANSSTIC

Dès la première matinée, on comprend que le SSTIC est devenu un événement politique interne de l’ANSSI (et dans une moindre mesure de la DGA-MI) – avec 4 présentations qui s’enchaînent.

On m’objectera que les agents de l’ANSSI sont les seuls à soumettre des papiers, ce qui explique leur surreprésentation. De mémoire cette année il y a eu ~35 soumissions pour ~25 créneaux de présentation, ce qui ne permet effectivement pas au processus de sélection de jouer à plein.

J’ai bien une explication à ce faible nombre de soumissions tierces. En 2003 le SSTIC était une conférence technique d’excellence, unique dans le paysage français et rare dans le paysage international. En 2017, le monde a changé ; force est de constater que soumettre à SSTIC ne présente plus aucun intérêt pour le commun des mortels.
  • Le (long) processus de soumission et d’édition des actes n’est pas compatible avec le rythme médiatique ; seuls de travaux de recherche très amont (comprendre : très théoriques) peuvent s’accommoder d’un tel cycle. D’où le décalage notable entre les présentations retenues et les attentes des participants. Franchement, à quoi peut bien servir un parser de fichiers PDF écrit en OCaml dans le travail quotidien d’un industriel ? (Réponse).
  • La couverture médiatique nationale est nulle (à l’exception de cet article dans Ouest France). Je ne parle même pas de la couverture internationale puisque SSTIC doit être l’un des derniers événements majeurs à se tenir dans la langue vernaculaire de ses hôtes.
Le SSTIC permettait auparavant à de jeunes consultants isolés en SSII de mettre en avant leurs découvertes et de rencontrer leurs pairs. Intervenir à SSTIC leur permettait de se faire connaître, voire d’être recruté dans des institutions où ils pourraient épanouir leurs talents. Cette mission n’est plus ; aujourd’hui le SSTIC sert essentiellement de piédestal aux différents bureaux de l’ANSSI afin qu’ils puissent se comparer entre eux (et je ne parle pas seulement de Rust vs. OCaml).

Le point d’orgue de cette compétition stérile fût probablement la conférence de clôture à propos de la compromission de TV5 Monde. Louons l’effort de mise en scène qui nous donnait l’impression d’être dans un film d’espionnage (« merci de ne pas divulguer l’identité des intervenants, nos agents risquent leur vie »). Mais au final, cette présentation ne fût que le rappel de quelques conseils de base sur les mots de passe par défaut, les dangers d’un réseau « à plat », etc.

Aucune mention des techniques d’attribution utilisées pour incriminer les Russes, l’utilisation d’outils de forensics et de reconstruction Active Directory qui ne seront probablement jamais publiés ; bref, rien d’actionable pour les participants.

Par ailleurs les quelques CERTs privés avec lesquels j’ai eu l’occasion de discuter attendent toujours de disposer des IOCs liés à cette attaque – qui n’ont apparemment été distribués … qu’aux journalistes ! Quand on compare aux rapports étrangers publiés après la compromission de Diginotar ou plus récemment RUAG, on mesure le chemin qui reste à parcourir avant de disposer de véritables retours d’expérience en France …

Il va être difficile pour le secteur privé de monter en puissance tant qu’il reste infantilisé par les autorités.

Le contenu

Le programme de l’événement peut lui aussi surprendre ; par exemple le fait de constater que plusieurs présentations de l’ANSSI étaient dédiées au parsing de fichiers PDF avec des outils et des langages différents …

Cet état de fait est symptomatique d’une tare plus générale : la recherche en sécurité – au moins en France – reste au point mort depuis des années. La cause en est que la sécurité ne se conçoit pas comme une science qui avance au rythme de l’innovation incrémentale, mais comme un one-man show. En clair, il est plus prestigieux de lancer « son » nouvel outil que d’améliorer à la marge l’existant.

Les exemples sont légions ; je pense par exemple à la présentation sur la détection de PDFs malveillants par « machine learning ». Sauf erreur de ma part, l’outil publié extrait un vecteur de caractéristiques (ex. présence du mot-clé « OpenAction ») qui est ensuite passé à un outil de classification. Comme je l’ai mentionné en séance, j’ai du mal à voir la différence avec le module PDF de « l’antivirus français » (Armadito) – ou le module pdfcop de l’outil Origami PDF publié à … SSTIC 2009 ! Le plus grave dans l’affaire étant que les intervenants semblaient sincèrement surpris par ma question, et n’avaient pas connaissance de tous ces travaux antérieurs (leur papier ne contient que des références académiques de type IEEE ou ACM).

Le plus triste est probablement la liste des occasions manquées – c’est-à-dire des présentations que personne n’a soumis. Rien sur l’Immutable Infrastructure (alors que Desired State Configuration pourrait trouver sa place dans la liste des outils de sécurité Windows), rien sur le Cloud, aucune conférence sérieuse sur le Machine Learning appliqué à la sécurité … bref, on tourne toujours sur les mêmes recettes.

A contrario, le nombre de présentations sur le Reverse Engineering semble disproportionné dans un monde où même Microsoft embrasse l’Open Source avec vigueur.

Le désespoir

Enfin, le point qui me choque le plus est probablement le désespoir – ou le cynisme – qui frappe la profession. Payé pour donner son avis à longueur de temps sur des projets en perdition, ou rafistoler des infrastructures entièrement compromises, le consultant en sécurité vieillit mal.

On me reprochera certainement de donner un avis un peu trop cru – que ce soit au micro ou dans mes billets. Mais j’ai le bon goût de le faire publiquement, ce qui permet aux personnes concernées de se défendre. J’avoue que le niveau de persiflage que j’ai pu entendre dans les couloirs du SSTIC me laisse pantois. Les hackers avaient l’image d’une communauté soudée qui tirent les nouveaux vers le haut et ne basent leurs jugements que sur des faits techniques. La communauté moderne de la cybersécurité n’ira nulle part si elle se construit sur la rancœur et le cynisme. Ce mal est probablement le fondement des tous les échecs en sécurité ; mes récentes expériences avec le monde des développeurs m’ont appris combien l’image des experts en sécurité avait été écornée par cette attitude nihiliste.

En ce qui me concerne, soyez rassuré : je n’ai jamais critiqué personne sans m’assurer que mes griefs circonstanciés lui soient transmis. J’espère que vous en ferez autant les uns envers les autres.