lundi 25 juin 2018

SSTIC 2018


Nous sommes en 2018. Fuites de données, attaques massives, failles structurelles, le monde constate chaque jour un peu plus à quel point la sécurité est un échec.

Un petit village gaulois en quête d’attention résiste encore à l’évidence dans cet article consacré à la conférence SSTIC 2018 (ainsi que l’édito du magazine MISC qui s’en suit). Car en cette période de défiance envers les médias institutionnels et les preuves scientifiques, le public affectionne la pensée dissidente : elle a l’apparence de la sincérité.

Fin de l’histoire. Ou presque.

Je ne prends pas la plume pour lutter contre les #FakeNews. Je ne prends pas la plume car someone is wrong on the InternetJe prends la plume pour me défendre contre les attaques ad hominem dont je suis la cible.
« Ceux qui soutiennent [que la sécurité est un échec] sont bien souvent des personnes qui n’ont jamais essayé de construire quoi que ce soit, de développer un produit. »
Faut-il avoir tué quelqu’un pour être contre la guerre ? Mme Michu n’est-elle pas légitime à se plaindre des lenteurs de son ordinateur et du vol de ses mots de passe, sous prétexte qu’elle n’a jamais appris la programmation ?

Faut-il établir une échelle de valeurs ? Un éditeur de produits de sécurité est-il plus légitime à s’exprimer sur la cyber qu’un reverse-engineer ?

Ces arguments spécieux ne méritent pas qu’on s’attache plus longtemps à leur réfutation. Mais j’irai plus loin en affirmant que le principal frein à l’amélioration du niveau de sécurité global est justement l’écosystème de la sécurité (consultants, éditeurs de produits, et les conférences qu’ils organisent).
« Qui vit de combattre un ennemi a tout intérêt de le laisser en vie. »
La sécurité est un milieu hermétique, impénétrable au commun des mortels, qui vit sur ses rites et ses codes – une conférence comme SSTIC en étant la caricature. Le reverse-engineering est la discipline reine, la sécurité JavaCard s’apparente à la fée Carabosse, tandis que le juridique et l’analyse de risque ont été exclus de la famille. Sans parler de la privacy ou des méthodes de développement sécurisé, dont personne ne se soucie dans le sérail.

Les combats qui mèneront à la nobilité ont été figés par nos aïeuls, et les experts en sécurité se doivent de consacrer leur énergie à des sujets futiles tels que la longueur des mots de passe ou la sécurité des clés USB (sujet récurrent du SSTIC s’il en est). Un travail bien dérisoire tandis que la première cause d’intrusion reste le phishing – sujet malheureusement beaucoup plus ardu et moins valorisant à traiter. Heureusement, des professionnels de l’informatique (mais pas de la sécurité) s’y attaquent via U2F et WebAuthn.
« Il n'est pas de problème qu'une absence de solution ne finisse par résoudre. »
Quant aux éditeurs de produits de sécurité, ils ne font qu’ajouter de la complexité à l’écheveau logiciel. L’essence de la sécurité c’est la simplification : moins de lignes de code, moins de dépendances tierce partie, moins d’interfaces, moins de mots de passe. Rien de pire que d’interpréter dans plusieurs logiciels différents un format de fichier ou une requête HTTP.

Il y aurait beaucoup à dire sur la valeur des conseils prodigués par les experts en sécurité – tels que d’utiliser plusieurs logiciels antivirus différents au sein d’un même réseau – mais on me souffle que ce sujet pourrait faire l’objet d’une conférence à SSTIC. C’est aussi là l’une des clés du problème : les experts en sécurité sont bien trop fiers pour admettre qu’ils ont tort (ou que le monde a changé). Ils sont incapables de tirer les leçons de leurs échecs, comme le suggère pourtant l’article susmentionné. Félicitation à Bill Burr pour avoir admis – à 73 ans – que la publication NIST 800-63 sur les mots de passe était une erreur.

Pour toutes ces raisons, je suis intimement persuadé que la sécurité est un échec. Et j’en ai eu la preuve récemment, car la sécurité n’est pas un échec partout. Il existe des villages – certes pas gaulois – dans lesquels tout logiciel non maitrisé est isolé. Où le problème de la sécurité Linux est traité de manière systématique par des équipes constituées – pas des loups solitaires plus connus pour leurs effusions sur Twitter que pour leur capacité à soumettre du code dans le noyau. Où des efforts considérables sont déployés dans les comités de standardisation pour résoudre de manière définitive le problème du XSS en transformant HTML en un langage fortement typé. Et devinez quoi : dans cette entreprise personne ne réclame le titre de RSSI.

Quelle est la différence avec bon nombre de présentations SSTIC ? Ce sont des équipes, pas des héros. Ce qui permet aux projets de survivre au remplacement de tous les membres de l'équipe, tandis que la majorité des outils présentés à SSTIC entrent en déshérence le jour de leur publication. Le mythe du héros solitaire (si bien représenté par le hacker en hoodie, et perpétué par le challenge SSTIC) nous cause beaucoup de tort aujourd’hui.

Une autre différence ? Ce sont des ingénieurs en génie logiciel, pas des stars aux compétences limitées. Et ils ne se définissent pas comme travaillant dans le security circus ...

Alors, qu’est-ce qui a changé entre SSTIC 2003 et 2018 ? Beaucoup de choses, à commencer par un renouvellement complet des générations. Selon un sondage à main levée, il m’a semblé que plus de 90% de l’audience venait à SSTIC pour la première fois. Et aucun des jeunes avec qui j’ai eu le privilège de partager un instant social n’a jamais entendu parler de Frédéric Raynal, Cédric Blancher, ou même Hervé Schauer.

Les vieilles légendes ont vécu. Il faut l’admettre, ou se condamner à souffrir en s'appropriant la gloire de ce qui a été.
« Puisque ces mystères nous dépassent, feignons d'en être l'organisateur. »

lundi 30 octobre 2017

Ma contribution au mois de la cybersécurité

Dans le cadre du mois de la sécurité, l'ANSSI met en avant son MOOC : la SecNumAcadémie. Il m'a semblé opportun de vous résumer les 2h48 que j'ai passées sur le premier module afin de vous épargner cette peine.


Dans l'ensemble la réalisation technique est correcte, quoi qu'un peu répétitive après presque 3 heures. Quelques animations, et une sensation de progression (plutôt qu'une répétition de la même image d'accueil) auraient été les bienvenues.

Toutefois je n'ai pas pu m'empêcher de prendre la plume face à la tare rédhibitoire qui afflige ce MOOC : il ne se destine absolument pas au grand public ; il est un pur instrument de politique interne à l'administration.

En effet, comment croire que je puisse recommander à mes proches un outil qui attaque bille en tête par le RGS, pour prendre ensuite soin d'énumérer exhaustivement tous les organes administratifs touchant de près ou de loin à la "cyberdéfense" en France (comme le CALID ou la DGSSI, totalement inconnus du grand public) ? Où sont les conseils pratiques qui vont parler à l'internaute moyen ?

L'autre point qui m'a choqué est le biais éminemment politique des messages prodigués. Certes la sécurité informatique n'est pas une science, mais dans le cas d'espèce, l'idéologie occulte parfois des réalités quantifiables. Par exemple, que penser de l'assertion ci-dessous ?



"De nombreux états souhaitent contrôler les frontières du numérique pour des raisons de souveraineté nationale".

Au lieu d'une référence à "Shaping the Internet in China", il aurait peut-être fallu mentionner que la France est pionnière en la matière … bien avant les délires "souverains" de ces dernières années.

Le Cloud

Si j'ai bien compris le message de ce MOOC, l'administration ne croit plus à l'émergence d'un Cloud "souverain" et s'attache donc à dire pis que pendre de toute forme d'externalisation. Espérons qu'ils aient raison, sinon le rétropédalage sera compliqué …

"Les sites hébergés en France sont plus dignes de confiance car de nombreuses lois vous garantissent la protection de vos données" : que voilà une formulation vague et ambiguë !

Aucune loi n'empêche le piratage de vos données chez un prestataire … qu'il soit en France ou ailleurs.

Ah, et le domaine "secnumacademie.gouv.fr" résout en "178.32.43.203" chez moi, qui est une adresse située chez OVH … en Belgique.


Idem pour cette autre formule : "un service gratuit ne vous apporte aucune garantie de service".

Les clients (commerciaux) du Cloud 2E2 ont appris à leurs dépens que payer ne vous apporte guère plus de garanties

Faut-il que j'arrête d'utiliser mon adresse email chez LaPoste.net car elle est gratuite ?
Une dernière à propos du Cloud et puis j'arrête.
Sachez simplement que même si vous n'utilisez pas le "Cloud", vos données peuvent être perdues ou divulguées …

Je serais curieux d'avoir des statistiques à ce sujet, mais je peux vous assurer qu'on perdait déjà des données bien avant l'invention du Cloud.


Précisons au passage que la page de login du site "secnumacademie.gouv.fr" utilise Google Recaptcha. Mais je suppose que "le Web" n'est pas "le Cloud".

Les erreurs

On peut comprendre que la position de l'ANSSI se doive d'être cohérente avec celle de l'ENISA … d'ailleurs le MOOC va jusqu'à reprendre certaines illustrations publiées par l'ENISA. Mais du consensus naquit la vulnérabilité …


Le choix d'un mot de passe : un grand classique. Outre le fait que cette recommandation ne pourra pas s'appliquer à tous les sites (voir @pwtoostrong et @badpasswordrule à ce sujet), elle est malheureusement l'opinion d'un seul homme … qui regrette désormais d'avoir donné ce mauvais conseil.

Votre seul espoir : des mots de passe aléatoires, un password manager, et de l'authentification à deux facteurs partout où c'est possible.

Les trolls

Pour conclure, quelques captures d'écran "amusantes" dans le contexte.



Pas sûr qu'il soit opportun d'utiliser la carte de NorseCorp pour illustrer les attaques sur Internet, alors que cette société est en pleine tourmente

Apparemment on manque d'équipements "souverains", puisque le même téléphone est réutilisé 6 fois en illustration …



Cette image pourrait laisser penser qu'il y a plus de femmes et de professionnels dans la ROC que dans la RCC … En pratique c'est pourtant l'inverse : la réserve opérationnelle comprend essentiellement des étudiants, tandis que la réserve citoyenne est un think tank.

Mais pourquoi avoir choisi tv.freebox.fr comme exemple de site rendu indisponible, alors qu'il est fermé par son propriétaire depuis 2011 ?

S'agit-il simplement d'un clipart récupéré dans cet article ? J'espère que Clubic a donné son accord.



Je me demande bien quelle est cette entreprise dans laquelle on doit payer ses croissants ?

Ah, le bon vieux coup du cadenas vert. Il faut pourtant que je vous dise qu'il n'existe pas sur mobiles, et qu'il va bientôt disparaître sur PC …



Oh, la publicité déguisée pour GMail ;)

Internet Explorer en prend pour son grade …

J'espère que le logo a été utilisé avec permission !

Conclusion

Pour ceux qui ont fait défiler cet article jusqu'à la fin sans le lire, il me semble opportun de réitérer ma conclusion : cette formation extrêmement longue (compter 3 à 4 heures pour aller au bout du premier module si vous n'êtes pas de la profession) sert essentiellement de publicité à ses auteurs.

Elle sera probablement imposée aux agents de l'administration ayant à traiter des problèmes de sécurité informatique (bon courage à eux !), mais en aucun cas elle ne "s’adapte aux besoins de différents publics, non experts, en proposant des contenus pédagogiques". Etudiants, particuliers et patrons de PME risquent forts d'être découragés par la surreprésentation des considérations administratives et réglementaires dans ce MOOC !

lundi 12 juin 2017

Un compte rendu alternatif du SSTIC 2017

Le SSTIC 2017 vient de se terminer. Comme chaque année depuis 15 ans, cet événement confirme sa place centrale dans l’écosystème de la cybersécurité française – aussi bien par la qualité des échanges entre les participants que par la fluidité d’une organisation bien rôdée.

Vous trouverez le compte-rendu technique des différentes présentations chez n0secure [J1][J2][J3] ou Xavier Mertens [J1][J2][J3]. En ce qui me concerne, j’ai souhaité vous faire partager un point de vue avec un peu plus de recul sur cet événement.

L’ANSSTIC

Dès la première matinée, on comprend que le SSTIC est devenu un événement politique interne de l’ANSSI (et dans une moindre mesure de la DGA-MI) – avec 4 présentations qui s’enchaînent.

On m’objectera que les agents de l’ANSSI sont les seuls à soumettre des papiers, ce qui explique leur surreprésentation. De mémoire cette année il y a eu ~35 soumissions pour ~25 créneaux de présentation, ce qui ne permet effectivement pas au processus de sélection de jouer à plein.

J’ai bien une explication à ce faible nombre de soumissions tierces. En 2003 le SSTIC était une conférence technique d’excellence, unique dans le paysage français et rare dans le paysage international. En 2017, le monde a changé ; force est de constater que soumettre à SSTIC ne présente plus aucun intérêt pour le commun des mortels.
  • Le (long) processus de soumission et d’édition des actes n’est pas compatible avec le rythme médiatique ; seuls de travaux de recherche très amont (comprendre : très théoriques) peuvent s’accommoder d’un tel cycle. D’où le décalage notable entre les présentations retenues et les attentes des participants. Franchement, à quoi peut bien servir un parser de fichiers PDF écrit en OCaml dans le travail quotidien d’un industriel ? (Réponse).
  • La couverture médiatique nationale est nulle (à l’exception de cet article dans Ouest France). Je ne parle même pas de la couverture internationale puisque SSTIC doit être l’un des derniers événements majeurs à se tenir dans la langue vernaculaire de ses hôtes.
Le SSTIC permettait auparavant à de jeunes consultants isolés en SSII de mettre en avant leurs découvertes et de rencontrer leurs pairs. Intervenir à SSTIC leur permettait de se faire connaître, voire d’être recruté dans des institutions où ils pourraient épanouir leurs talents. Cette mission n’est plus ; aujourd’hui le SSTIC sert essentiellement de piédestal aux différents bureaux de l’ANSSI afin qu’ils puissent se comparer entre eux (et je ne parle pas seulement de Rust vs. OCaml).

Le point d’orgue de cette compétition stérile fût probablement la conférence de clôture à propos de la compromission de TV5 Monde. Louons l’effort de mise en scène qui nous donnait l’impression d’être dans un film d’espionnage (« merci de ne pas divulguer l’identité des intervenants, nos agents risquent leur vie »). Mais au final, cette présentation ne fût que le rappel de quelques conseils de base sur les mots de passe par défaut, les dangers d’un réseau « à plat », etc.

Aucune mention des techniques d’attribution utilisées pour incriminer les Russes, l’utilisation d’outils de forensics et de reconstruction Active Directory qui ne seront probablement jamais publiés ; bref, rien d’actionable pour les participants.

Par ailleurs les quelques CERTs privés avec lesquels j’ai eu l’occasion de discuter attendent toujours de disposer des IOCs liés à cette attaque – qui n’ont apparemment été distribués … qu’aux journalistes ! Quand on compare aux rapports étrangers publiés après la compromission de Diginotar ou plus récemment RUAG, on mesure le chemin qui reste à parcourir avant de disposer de véritables retours d’expérience en France …

Il va être difficile pour le secteur privé de monter en puissance tant qu’il reste infantilisé par les autorités.

Le contenu

Le programme de l’événement peut lui aussi surprendre ; par exemple le fait de constater que plusieurs présentations de l’ANSSI étaient dédiées au parsing de fichiers PDF avec des outils et des langages différents …

Cet état de fait est symptomatique d’une tare plus générale : la recherche en sécurité – au moins en France – reste au point mort depuis des années. La cause en est que la sécurité ne se conçoit pas comme une science qui avance au rythme de l’innovation incrémentale, mais comme un one-man show. En clair, il est plus prestigieux de lancer « son » nouvel outil que d’améliorer à la marge l’existant.

Les exemples sont légions ; je pense par exemple à la présentation sur la détection de PDFs malveillants par « machine learning ». Sauf erreur de ma part, l’outil publié extrait un vecteur de caractéristiques (ex. présence du mot-clé « OpenAction ») qui est ensuite passé à un outil de classification. Comme je l’ai mentionné en séance, j’ai du mal à voir la différence avec le module PDF de « l’antivirus français » (Armadito) – ou le module pdfcop de l’outil Origami PDF publié à … SSTIC 2009 ! Le plus grave dans l’affaire étant que les intervenants semblaient sincèrement surpris par ma question, et n’avaient pas connaissance de tous ces travaux antérieurs (leur papier ne contient que des références académiques de type IEEE ou ACM).

Le plus triste est probablement la liste des occasions manquées – c’est-à-dire des présentations que personne n’a soumis. Rien sur l’Immutable Infrastructure (alors que Desired State Configuration pourrait trouver sa place dans la liste des outils de sécurité Windows), rien sur le Cloud, aucune conférence sérieuse sur le Machine Learning appliqué à la sécurité … bref, on tourne toujours sur les mêmes recettes.

A contrario, le nombre de présentations sur le Reverse Engineering semble disproportionné dans un monde où même Microsoft embrasse l’Open Source avec vigueur.

Le désespoir

Enfin, le point qui me choque le plus est probablement le désespoir – ou le cynisme – qui frappe la profession. Payé pour donner son avis à longueur de temps sur des projets en perdition, ou rafistoler des infrastructures entièrement compromises, le consultant en sécurité vieillit mal.

On me reprochera certainement de donner un avis un peu trop cru – que ce soit au micro ou dans mes billets. Mais j’ai le bon goût de le faire publiquement, ce qui permet aux personnes concernées de se défendre. J’avoue que le niveau de persiflage que j’ai pu entendre dans les couloirs du SSTIC me laisse pantois. Les hackers avaient l’image d’une communauté soudée qui tirent les nouveaux vers le haut et ne basent leurs jugements que sur des faits techniques. La communauté moderne de la cybersécurité n’ira nulle part si elle se construit sur la rancœur et le cynisme. Ce mal est probablement le fondement des tous les échecs en sécurité ; mes récentes expériences avec le monde des développeurs m’ont appris combien l’image des experts en sécurité avait été écornée par cette attitude nihiliste.

En ce qui me concerne, soyez rassuré : je n’ai jamais critiqué personne sans m’assurer que mes griefs circonstanciés lui soient transmis. J’espère que vous en ferez autant les uns envers les autres.