Un compte-rendu à froid de SSTIC 2010 (2ème partie)
Est-ce qu'on est tous foutus ?
La conférence de clôture du SSTIC s'est aventurée sur de nombreux terrains, sans langue de bois (même si certains messages ont été délivrés à mots couverts). Difficile dans ces conditions de résumer, et surtout de produire une exégèse pertinente sur cette intervention, d'autant que je n'ai pas compris si les opinions personnelles de l'intervenant, ou la doctrine officielle de l'Etat français, y étaient exprimées. Je vais toutefois m'y essayer.
Les IDS faisant partie des échecs les plus retentissants dans l'industrie de la sécurité, cette assertion a de quoi surprendre. Et pourtant elle est parfaitement justifiée, car son auteur ne cherche pas à protéger les systèmes, mais simplement à faire prendre conscience aux responsables de ces systèmes de l'étendue du désastre.
Je reste malgré tout circonspect. L'échec commercial des IDS, outre les limitations techniques des produits existants, s'explique aussi par la recherche de l'ataraxie. Pour exploiter un IDS, il faut engager des personnes compétentes dédiées au traitement des alertes, mettre en place des procédures, éventuellement impacter la production par du forensics, et toutes sortes de choses désagréables du même acabit. Dans ces conditions, ne rien voir est beaucoup plus confortable ^H^H^H beaucoup moins cher.
Dans le cas contraire, et comme le rappelle Michal Zalewski dans un billet original, quelques astuces permettent de réaliser un IDS du pauvre, pour peu que l'emplacement des "pièges" ne soit pas divulgué. Le plus cher dans la détection d'intrusion reste le traitement de l'incident, pas sa remontée. Déployer des IDS n'est que la première étape, que beaucoup n'ont jamais franchie. Wait and see.
Le principal problème est que l'informatique grand public (ce qui couvre le matériel - ordinateurs personnels et téléphones mobiles, le logiciel, et les contenus/services disponibles) a complètement échappé à toute forme de contrôle par les clients finaux, y compris l'Etat.
Outre les exemples d'Apple et Google qui n'en font qu'à leur tête dans tous les domaines (ex. interopérabilité pour le premier et contenus numériques pour le deuxième), on peut également rappeler que :
- La loi est tout simplement bafouée par les CLUF. Toutes les protections basiques du consommateur (ex. vices cachés) ne sont jamais appliquées aux logiciels.
- Le budget de l'ANSSI est de 90 millions d'euros, alors que les simples revenus publicitaires de Google étaient de l'ordre de 10 milliards de dollars ... en 2006.
- Comme le déplore l'intervenant, notre dépendance aux technologies étrangères est totale.
Mais force est de constater que le droit ne s'applique pas aux technologies de l'information – ou du moins pas de la même manière. Et que l'inflation des lois applicables aux nouvelles technologies s'effectue souvent en dépit du bon sens (HADOPI, LOPPSI et autres ayant déjà été largement traitées par ailleurs).
Sur Internet, le seul pouvoir est médiatique (effet de buzz). La CNIL avec ses contrôles en use habilement. Mais il me semble que les institutions étrangères restent meilleures que les nôtres dans ce domaine.
Il suffit de comparer les prises de position très claires du BSI allemand sur BlackBerry (un serpent de mer de la sécurité des Etats s'il en est). En France j'ai vaguement l'impression que chacun cherche au contraire à obtenir et à contrôler l'information – pour assurer sa supériorité sur son voisin ? – ce qui ne sert pas l'intérêt général mais alimente au contraire la rumeur, jusqu'à effacer les arguments techniques.
Le même phénomène s'est également produit avec Skype. Je porte d'ailleurs de grands espoirs sur la prochaine conférence CCC, où des révélations sur Skype pourraient avoir lieu, tout comme ce fût le cas pour BlackBerry lors d'une édition antérieure. La vérité vient toujours d'ailleurs ...
Ajouté au fait que les carrières proposées sont médiocres (CDD 3 ans), et que les perspectives offertes à long terme sont du réseautage plus ou moins obscur, on peut comprendre les difficultés de recrutement de l'Etat dans le domaine de la SSI. Ainsi que le problème du maintien des compétences en France, comme le déplore régulièrement Fred Raynal dans ses éditos.
1. Appliquer les règles.
Le problème est qu'en France, on cherche à contourner les règles plutôt qu'à les adapter. Or si une règle est inapplicable, c'est qu'elle ne sert à rien ... Cela va du très ancien "tous les supports amovibles introduits dans la société doivent être scannés par le sas antivirus" jusqu'au très récent "l'usage des réseaux sociaux est interdit".
En ce sens, la lecture des avis du CERTA me procure toujours le même plaisir qu'à Kostya.
Que penser de ces délicieuses méthodes de contournement (workarounds) pour une faille dans Adobe Reader exploitée en "0day" dans la nature :
- (...)
- convertir les fichiers suspects au format PS puis de nouveau au format PDF sur une machine sas ;
- n'ouvrir que des fichiers provenant de sources vérifiées et sûres.
Le seul moyen de produire des règles applicables ... c'est de se les appliquer à soi-même. Car on ne devrait pas être plus exigeant avec les autres qu'on ne l'est avec soi-même. Et là encore, la France est championne de "l'exception VIP" (tout en restant dans le domaine de la sécurité informatique et pas celui de la fraude fiscale).
2. Mettre en place un contrôle sanitaire sur les logiciels.
J'approuve complètement le principe du CSPN. Mais à l'heure où j'écris ces lignes, seule une poignée de logiciels totalement inexistants en entreprise a été certifiée. Certifier 10 logiciels en 3 ans, c'est tenter d'éponger l'océan de l'industrie logicielle avec un coton-tige.
On objectera que les ressources nécessaires seraient titanesques. Mais dans ce cas, pourquoi ne pas mutualiser les travaux réalisés de manière indépendante et en doublon par tous les acteurs du marché ?
Il suffirait pour cela de réglementer la profession d'auditeur en sécurité, et de déposer tous les rapports d'audit dans un "pot commun" accessible à tous. Ainsi un auditeur pourrait faire bénéficier ses clients de l'expertise antérieure de ses pairs. Voilà qui éviterait de refaire auditer cent fois le même produit, avec des résultats très aléatoires selon l'intervenant ... Et au final, profiter de l'effet de buzz pour obliger les éditeurs à s'améliorer.
Bien sûr, on peut aussi suspecter que la quasi-totalité des logiciels commerciaux échoueraient à une certification sécurité, même de "premier niveau". Et c'est bien là le drame.
Dans le registre des idées plus farfelues, après avoir dépensé 1 milliard d'euros pour vacciner contre la grippe A, ne serait-il pas judicieux de mettre en place des centres de vaccination pour clés USB ? Cela permettrait de protéger la population (et les entreprises) contre le vecteur d'infection n°1 aujourd'hui ...
Autre idée: interdire complètement l'utilisation de tout langage de programmation non sûr (qui a dit PHP ? ;), y compris dans les écoles. Vous pensez que je vais trop loin ? C'est pourtant ce que les américains s'apprêtent à voter.
Les commentaires sont ouverts ! :)