lundi 25 juin 2018

SSTIC 2018


Nous sommes en 2018. Fuites de données, attaques massives, failles structurelles, le monde constate chaque jour un peu plus à quel point la sécurité est un échec.

Un petit village gaulois en quête d’attention résiste encore à l’évidence dans cet article consacré à la conférence SSTIC 2018 (ainsi que l’édito du magazine MISC qui s’en suit). Car en cette période de défiance envers les médias institutionnels et les preuves scientifiques, le public affectionne la pensée dissidente : elle a l’apparence de la sincérité.

Fin de l’histoire. Ou presque.

Je ne prends pas la plume pour lutter contre les #FakeNews. Je ne prends pas la plume car someone is wrong on the InternetJe prends la plume pour me défendre contre les attaques ad hominem dont je suis la cible.
« Ceux qui soutiennent [que la sécurité est un échec] sont bien souvent des personnes qui n’ont jamais essayé de construire quoi que ce soit, de développer un produit. »
Faut-il avoir tué quelqu’un pour être contre la guerre ? Mme Michu n’est-elle pas légitime à se plaindre des lenteurs de son ordinateur et du vol de ses mots de passe, sous prétexte qu’elle n’a jamais appris la programmation ?

Faut-il établir une échelle de valeurs ? Un éditeur de produits de sécurité est-il plus légitime à s’exprimer sur la cyber qu’un reverse-engineer ?

Ces arguments spécieux ne méritent pas qu’on s’attache plus longtemps à leur réfutation. Mais j’irai plus loin en affirmant que le principal frein à l’amélioration du niveau de sécurité global est justement l’écosystème de la sécurité (consultants, éditeurs de produits, et les conférences qu’ils organisent).
« Qui vit de combattre un ennemi a tout intérêt de le laisser en vie. »
La sécurité est un milieu hermétique, impénétrable au commun des mortels, qui vit sur ses rites et ses codes – une conférence comme SSTIC en étant la caricature. Le reverse-engineering est la discipline reine, la sécurité JavaCard s’apparente à la fée Carabosse, tandis que le juridique et l’analyse de risque ont été exclus de la famille. Sans parler de la privacy ou des méthodes de développement sécurisé, dont personne ne se soucie dans le sérail.

Les combats qui mèneront à la nobilité ont été figés par nos aïeuls, et les experts en sécurité se doivent de consacrer leur énergie à des sujets futiles tels que la longueur des mots de passe ou la sécurité des clés USB (sujet récurrent du SSTIC s’il en est). Un travail bien dérisoire tandis que la première cause d’intrusion reste le phishing – sujet malheureusement beaucoup plus ardu et moins valorisant à traiter. Heureusement, des professionnels de l’informatique (mais pas de la sécurité) s’y attaquent via U2F et WebAuthn.
« Il n'est pas de problème qu'une absence de solution ne finisse par résoudre. »
Quant aux éditeurs de produits de sécurité, ils ne font qu’ajouter de la complexité à l’écheveau logiciel. L’essence de la sécurité c’est la simplification : moins de lignes de code, moins de dépendances tierce partie, moins d’interfaces, moins de mots de passe. Rien de pire que d’interpréter dans plusieurs logiciels différents un format de fichier ou une requête HTTP.

Il y aurait beaucoup à dire sur la valeur des conseils prodigués par les experts en sécurité – tels que d’utiliser plusieurs logiciels antivirus différents au sein d’un même réseau – mais on me souffle que ce sujet pourrait faire l’objet d’une conférence à SSTIC. C’est aussi là l’une des clés du problème : les experts en sécurité sont bien trop fiers pour admettre qu’ils ont tort (ou que le monde a changé). Ils sont incapables de tirer les leçons de leurs échecs, comme le suggère pourtant l’article susmentionné. Félicitation à Bill Burr pour avoir admis – à 73 ans – que la publication NIST 800-63 sur les mots de passe était une erreur.

Pour toutes ces raisons, je suis intimement persuadé que la sécurité est un échec. Et j’en ai eu la preuve récemment, car la sécurité n’est pas un échec partout. Il existe des villages – certes pas gaulois – dans lesquels tout logiciel non maitrisé est isolé. Où le problème de la sécurité Linux est traité de manière systématique par des équipes constituées – pas des loups solitaires plus connus pour leurs effusions sur Twitter que pour leur capacité à soumettre du code dans le noyau. Où des efforts considérables sont déployés dans les comités de standardisation pour résoudre de manière définitive le problème du XSS en transformant HTML en un langage fortement typé. Et devinez quoi : dans cette entreprise personne ne réclame le titre de RSSI.

Quelle est la différence avec bon nombre de présentations SSTIC ? Ce sont des équipes, pas des héros. Ce qui permet aux projets de survivre au remplacement de tous les membres de l'équipe, tandis que la majorité des outils présentés à SSTIC entrent en déshérence le jour de leur publication. Le mythe du héros solitaire (si bien représenté par le hacker en hoodie, et perpétué par le challenge SSTIC) nous cause beaucoup de tort aujourd’hui.

Une autre différence ? Ce sont des ingénieurs en génie logiciel, pas des stars aux compétences limitées. Et ils ne se définissent pas comme travaillant dans le security circus ...

Alors, qu’est-ce qui a changé entre SSTIC 2003 et 2018 ? Beaucoup de choses, à commencer par un renouvellement complet des générations. Selon un sondage à main levée, il m’a semblé que plus de 90% de l’audience venait à SSTIC pour la première fois. Et aucun des jeunes avec qui j’ai eu le privilège de partager un instant social n’a jamais entendu parler de Frédéric Raynal, Cédric Blancher, ou même Hervé Schauer.

Les vieilles légendes ont vécu. Il faut l’admettre, ou se condamner à souffrir en s'appropriant la gloire de ce qui a été.
« Puisque ces mystères nous dépassent, feignons d'en être l'organisateur. »