jeudi 4 octobre 2012

L'obligation morale de dire: WAT?

Je ne suis pas aux Assises de la Sécurité. Je travaille (dur, et tard). Mais il faut bien dire que le discours d'ouverture de Patrick Pailloux (directeur de l'ANSSI) sur le thème "le courage de dire non" était quand même très attendu … et déjà très largement commenté ici ou .
Commençons par les détails (je vous réserve le meilleur pour la fin).

Les sanctions

Voilà un point sur lequel je suis entièrement d'accord: une règle n'est suivie d'effet que s'il existe des sanctions … appliquées (donc édifiantes). N'importe quel parent aura appris "à la dure" cette leçon de terrain.
Le problème ? Après avoir écrit des politiques de sécurité (mais aussi des chartes d'accès Internet et autres documents opposables) en tant que consultant pendant des années, je n'en ai jamais vu aucune appliquée (et encore moins sanctionnée). Le document ne sert que de parapluie juridique. D'ailleurs personne (en dehors de la sécurité) ne l'a jamais lu.
Quelle surprise lorsque je suis amené à travailler avec des partenaires allemands ou anglo-saxons du domaine de la défense, et qu'ils me demandent effectivement de poser une bandelette sur l'objectif de mon téléphone portable (les photographies étant interdites sur à peu près n'importe quel site sensible dans le monde) …
L'autre problème du bâton, c'est qu'il ne fonctionne bien qu'avec la carotte. Or la sécurité "défensive" est actuellement perçue comme essentiellement vexatoire: le RSSI "saute" s'il y a un problème, l'utilisateur doit changer son mot de passe tous les X jours (ce qui est totalement inutile dans les faits), etc. Elle ne procure aucune récompense. A contrario les attaquants n'ont que la pure satisfaction du succès, et ne sont pour ainsi dire jamais punis (puisque jamais attrapés). Dans ces conditions, on comprend qu'ils mettent plus d'ardeur à nous attaquer que nous à nous défendre …

La maturité

Je vous livre cette citation telle quelle: "Pendant longtemps j'ai dit qu'il ne doit pas y avoir de sanction dans le domaine de la sécurité car le niveau de maturité est tel que cela ne sert à rien. Je pense qu'on est en train d'élever ce niveau et cela commence à se savoir qu'il faut faire de la sécurité informatique !".
Voilà enfin une bonne nouvelle ! Les autorités de certification ne font plus n'importe quoi, les prestataires labellisés ont été notifiés, l'algorithme SHA-3 a été sélectionné, bref: que des motifs de satisfaction pour le RSSI qui va enfin pouvoir se consacrer à des tâches plus nobles que de convaincre ses utilisateurs de ne pas tout mettre dans Dropbox, et sa direction générale de ne pas faire suivre leurs emails professionnels sur une adresse @icloud.com !

Les analogies

Un piège classique pourtant: celui de l'analogie. Mais qui a relu ce discours ?
"Quand vous sortez de chez vous, vous fermez les portes à clé": certes, mais vous changez les serrures tous les 30 jours ? Vous achetez des serrures complexes, en prenant soin de mélanger serrure à goupille, serrure à pompe, et serrure à gorge ? Vous prenez soin de ne pas racheter la même serrure que les 24 modèles précédents quand vous en changez ? Et surtout, à quoi cela sert-il, puisqu'un expert met quelques minutes pour crocheter n'importe quelle serrure ?
La serrurerie est à l'image des mots de passe: un échec. Les gens ferment essentiellement leur porte parce que l'assurance leur impose une serrure certifiée A2P avec au moins 3 points d'ancrage. Mais dès qu'on s'éloigne des grandes villes, les maisons restent ouvertes d'une manière ou d'une autre - le chien de garde étant souvent beaucoup plus efficace qu'une serrure sur un périmètre indéfendable. C'est le bon sens paysan.
"Vos papiers sont triés": bien sûr, mais comment faire lorsque la lettre laisse une trace dans l'enveloppe (le répertoire temporaire) et la poubelle qui l'a contenue ? Et comment faire lorsque le papier doit être photocopié quotidiennement de manière incrémentale, et transporté sur 2 ou 3 autres sites de stockage physique ?
J'arrête là. Il ne faut pas utiliser d'analogie entre le monde "physique" et le monde "numérique". C'est comme imaginer que les anges s'ennuient et voudraient avoir Facebook.

Le guide d'hygiène informatique

Il est ici (ou en version simplifiée sur laquelle je base mon analyse). Mon Dieu! Et je ne parle pas de la mise en page digne de Word 97 (le document a pourtant été produit avec Excel 2010), mais bien du fond.
Dès le 1.1, ça part assez mal: "établir la liste des briques matérielles et logicielles utilisées". Tout simplement impossible: aucun éditeur ne fournit cette information. C'est en passant des semaines à auditer un logiciel qu'on réalise la quantité de frameworks Java imbriqués, ou l'utilisation cachée de toutes les librairies Open Source "classiques": ZLib, OpenSSL, LibPNG, LibFreeType … sans parler des appliances qui sont conçues pour être des boites noires.
"Brique" signifie peut-être de réaliser un inventaire de haut niveau sans rentrer dans ces détails techniques scabreux. Et c'est ainsi qu'on se retrouve avec un Cisco Call Manager 4 vulnérable au ver Blaster, des produits qui sont tous vulnérables à la même faille XML, ou du FCKEditor dans à peu près n'importe quelle application Web … mais du point de vue du vendeur, son produit n'a pas de faille de sécurité (connue).
Je passe rapidement sur le reste du document qui est à l'avenant ("12 caractères minimum pour les mots de passe", "changer les mots de passe tous les 90 jours", "privilégier une authentification par carte à puce", etc.) pour me concentrer sur l'essentiel: on retrouve dans ce document les principes stratosphériques que tous les consultants refilaient à leurs clients dans les années 90 tout en se gardant bien de proposer une implémentation. Je vous laisse en juger:
4.3. "Surveiller les accès de manière centralisée et permanente."
4.4. "Pour chaque accès Internet, utiliser des passerelles d'interconnexion sécurisée."
15.1. "Désactiver les services applicatifs inutiles."
15.2. "Restreindre les privilèges utilisateurs."
24.6. "Diversifier les technologies utilisées dans la passerelle dans la limite de la maintenabilité du parc."
26. "Eviter l'usage de technologies sans fil (Wifi)."
30. "Ne pas donner aux utilisateurs de privilèges d'administration. Ne faire aucune exception."
34.1. "Ne pas laisser des imprimantes ou photocopieurs multifonctions connectés au réseau dans un couloir."
Si vous voulez un bon conseil de consultant repenti, ne touchez à rien et changez de version de Windows. C'est beaucoup plus efficace que d'essayer de "désactiver les services applicatifs inutiles" ou de "restreindre les privilèges utilisateurs" sur votre Windows XP.
Quant à "surveiller les accès", c'est à peu près ce que tout le monde fait depuis 10 ans. Mais c'est un peu comme la vidéosurveillanceprotection: tant qu'on ne sait pas ce qu'on cherche, on a un peu du mal à trouver. Enfin on sait déjà que lequipe.fr est un watering hole de premier choix pour compromettre la majorité des entreprises françaises entre 9h00 et 11h00: j'attends maintenant le RSSI qui va dire "non".
Je passe pudiquement sur le "utiliser des passerelles sécurisées". Je ne me rappelle pas avoir vu un vendeur de passerelle non "sécurisé par la technologie AES 256 bits approuvée par le NIST" ces dernières années, donc on est tranquille.

Le fond du problème

Bref, ce discours est du pain béni pour un trollblog.
Mais pour identifier le vrai problème de fond, il ne faut pas chercher plus loin que le titre: on ne demande pas au RSSI de dire oui ou non.
Il peut donner son avis éventuellement, voire dissiper beaucoup d'énergie pour retarder un projet, mais la sécurité n'a pour ainsi dire jamais le dernier mot. Sinon la carte vitale 1, le vote par Internet, ou les impôts sans certificat n'existeraient pas.
Le RSSI (dans le privé) a un rôle de conseil, d'évaluation des risques, de préconisation. Il est parfois CIL ou responsable du PCA/PRA. Mais je n'en ai vu aucun pouvoir interdire à quiconque d'utiliser un iPad. Surtout dans une entreprise moderne, où la mobilité est un atout pour compresser le temps (et donc les coûts), et où la majorité des intervenants sont des sous-traitants dont la cuisine interne échappe complètement au RSSI "maison" - en dehors du traditionnel contrat, qui indique parfois que l'intervenant doit être "sécurisé" (sans fixer aucune exigence ni aucune sanction d'ailleurs).
Comme "il n'est pas de problème qu'une absence de solution ne puisse résoudre", la messe est dite: le RSSI ne dira pas non. Ca n'est pas une question d'oser. C'est qu'on ne lui pose pas la question.

Conclusion (TL;DR)

La conclusion du discours est toujours la même: l'ANSSI recrute ("des candidats de valeur qui n'ont pas trop besoin de sommeil" - si si c'est marqué dans le discours officiel). D'ailleurs c'est le bon moment pour ceux qui veulent se planquer pendant la crise: j'ai entendu dire que les critères d'acceptation avaient baissé.
En ce qui concerne le challenge (dont le discours parle également), je crois que tout le monde a arrêté. Bien sûr, quand on prend 1 an pour rédiger un rapport en LaTeX, on peut bien trouver 6 mois pour faire des challenges (défis en français). Mais après il faut trouver des copains qui veulent bien jouer.
Sur ce, j'aurais aimé conclure proprement, mais il est tard donc je laisse le mot de la fin à Twitter (source).

Mise à jour du 4 octobre 13:15: correction de typos (merci aux relecteurs)

19 commentaires:

Nom a dit…

Oui, mais comme l'ANSSI demenage (vu qu'ils recrutent et qu'ils ont plus de place a moins de mettre les gens directement dans les invalides....) Ils vont peut être enfin pouvoir parler avec des vrais gens ? et voir comment ca se passe dans la vrai vie ?

non ?

newsoft a dit…

Leurs nouveaux locaux seront probablement autant faradisés que les anciens :)

Anonyme a dit…

Ce que serait intéressant, ce serait les réactions de l'ANSSI à ton analyse!

Unknown a dit…

Salut, je suis Antoine Santo (anssi.santo.fr entre autre ;) ) Je voulais réagir sur les raisons qui m'ont poussées a stopper le challenge anssi... Apres des semaines de recherche seul et avec des personnes de #anssi sur efnet (dont l'integralité des resultats de recherche sont sur http://anssi.santo.fr), j'ai réussi a faire le lien entre une chaîne en hexa et un vieux site perso d'une personne de l'anssi dont je tairai le nom. Je trouve donc un email perso à qui je m'empresse d’écrire, pas de réponse... Je continue donc à investiguer cette piste et trouve un obscure canal irc sur je ne sais plus quel serveur. Je /msg donc la personne, pas de reponse... Je rentre dans certains de ses canaux : " coucou c'est pour le challenge anssi ", pas de réponse. Encore un peu de recherche... je trouve sont numéro de tel portable. J'envoie un petit sms... Et la c'est le DRAME !!! Le monsieur tout énervé !! " oui cela commence à bien faire, déjà des messages sur mon mail peso, puis sur irc, et maintenant sur mon tel perso !! C'est quoi ces manières !! snifff !! snifff ". Je ne savais quoi penser !! Cela faisait il toujours parti du challenge ou bien "James Bond" était il un peu vexé de s’être fait remonté de la sorte ?? Quoi qu'il en soit je me suis dis, très amusé, "ce challenge, ca sera sans moi..."


ps : @newsoft : ne pas hésiter a corriger mes fautes de la hortaugraf ;)

Ange a dit…

très intéressant!

quelques remarques plus ou moins sérieuses:
* ta remarque sur la combinaisons de serrures différentes me rappelle que les verrous Deutsche Bahn combinent du Assa Abloy (disque rotatif) sous un Drumm Geminy.
* je veux une analogie numérique à "c'est le bon sens paysan" :)
* "vous papiers"?
* je ne m'ennuie pas mais j'ai Facebook :p


Greg a dit…

Mon dieu comment on peut présenter un document aussi sexy...

Avec la mise en page du fichier Excel foirée et les cases qui se chevauchent.

ils sont vraiment déconnectés de la réalité

Anssi love a dit…

Les critères d'acceptation ont baissé pour recruter à l'ANSSI?
Eh bin, ils ont baissé les salaires aussi? Ah, on me fait signe que ce n'est pas possible :)
Ils sont toujours à 35-45k pour un CDD de trois ans non renouvelables?

Anonyme a dit…

Quand on voit ce que le boss de l'ANSSI a présenté à la SSTIC faut pas s'étonner...

Tris a dit…

Hello,
j'avais lu le document et avait également trouvé des points qui m'avaient semblé délirants, mais pas les mêmes que toi pour le coup :)
J'abonde dans ton sens sur l'ensemble de tes propos.
Je comprend la position de l'ANSSI mais je trouve que ce "guide" est déconnecté de la réalité en milieu professionnel.
J'ai une théorie alarmiste à la limite du troll mais j'ai envie de dire que tant que les utilisateurs lambda n'auront pas subi les conséquences graves d'une mauvaise politique de sécurité, les gens ne s'intéresseront pas au sujet.
C'est malheureux mais c'est comme ça.

Dnucna a dit…

En fait on attend quoi de l'ANSSI ?

Moi ce que j'aimerai c'est qu'ils nous fournissent des arguments pour aller dire "non". Ça pourrait être par exemple de belles analyses de risques en conditions réelles avec plein de déclinaisons pour qu'on s'y retrouve dedans.

Est-ce qu'une PME a le droit d'utiliser des iPhone ? Une société du CAC40 ? Un OIV ?
Seulement les patrons ? Les acheteurs ? Les commerciaux ? La R&D ?Les femmes de ménages ?
Avec Siri ? iCloud ? La localisation ?

Une entreprise (PME, CAC40, OIV) peut-elle utiliser des services dans le Cloud ? gmail ? googledoc ? office 365 ? dropbox ? un Sharepoint externalisé ?

Est-ce que la virtualisation comporte des risques ? Utilisation d'équipements réseau virtuels (switch, FW, ...) ? Serveurs de criticités différentes sur une même ferme ? Mélange de serveurs externes et serveurs internes ?

Je sais que tout semble évident et pourtant... Comment une PME peut avoir un expert réseau, AD, Exchange, etc ? Finalement c'est déjà externalisé dans un très grand nombre de sociétés.

Moi j'attends avec impatience le Cloud Français du grand emprunt et j'espère qu'il sera archi-audité par l'ANSSI et qu'ils se fassent seppuku à la première intrusion...

Anonyme a dit…

J'aurais bien mis +1 mais devoir de réserve oblige je ne le ferai pas

newsoft a dit…

@Dnucna Ah mais c'est très simple: tu dois vérifier que ton fournisseur de Cloud ait activé l'IOMMU sur ses plateformes: http://www.ssi.gouv.fr/IMG/pdf/2012_05_29_-_Guide_1343_-_Problematique_de_securite_Virtualisation_3_9.pdf



Grobill a dit…

Ce qui est fatiguant, et peu constructif, c'est surtout le double discours où d'un coté on dicte à un député que la protection du patrimoine français est une affaire de services, et de l'autre on vient faire la leçon aux RSSI du privé.
Le discours perd surtout de la crédibilité quand on sait le peu de pouvoir qu'a effectivement l'ANSSI de dire NON au sein même des Administrations qui sont normalement sous sa tutelle.
Combien de lecteurs de ce blog (félicitations au passage) n'ont-ils pas déjà entendu un client dire "il faudrait surtout éviter de mettre l'ANSSI dans la boucle pour éviter de bloquer le projet pour des mois"?

legben a dit…

Au delà du fond de l’article, qui vise à mettre en avant, une fois de plus ;-) le leitmotiv de son auteur (le fameux « security fail »), l’abus d’analogies dans les domaines de l’informatique et de la sécurité est un parfait révélateur du niveau général informatique de nos interlocuteurs de tout poil. Donc, en SSI et comme le dit Ruff : il faut éviter d’utiliser des analogies trop évidentes.

De la porte sans mur jusqu’à l’automobile sans airbag, faire comprendre à un auditoire plus ou moins boécien ce que sont les attaques informatiques finit toujours mal.

Pourtant, j’ai assisté à des trucs assez travaillé comme cet assemblage d’analogies : « XP est comparable à une Renault 4 des années 60-70. ». Aujourd’hui, la sécurité s’est améliorée parce que l’ASLR représente les radars mobiles, les /GS et /SafeSEH sont assimilables aux airbags frontaux et latéraux, le DEP représenterait l’ABS qui vient contraindre l’exploit, enfin attacher sa ceinture de sécurité à l’avant comme à l’arrière est comparable à configurer EMET.

Avec ces belles histoires, les interlocuteurs finissent toujours à côté de la plaque : « Bon merci … c’est bien clair, … on va vous prendre 1 airbag frontal droit, 1 ceinture arrière gauche et pour le reste on verra l’année prochaine ».

Anonyme a dit…

Ah oui l'ANSSI, l'agence où les managers ont 12 ans et demi et qui font croire qu'ils embauchent les meilleurs...laissez-moi rire.

Anonyme a dit…

Quand ils recrutent à l'ANSSI ils laissent un bouquin de Sarko sur le bureau, tu sais direct où tu mets les pieds : chez des enculés de première.

newsoft a dit…

@Anonyme Quel bouquin ? Parce que 95% des bouquins qui ont été écrits étaient plutôt négatifs à son endroit ...

root_rtfm a dit…

Bonjour,
Juste pour la suite du troll, à propos des impôts : "ou les impôts sans certificat n'existeraient pas." Je leur ai posé la question sur l'absence de certificat, c'est pour simplifier et sécuriser l'accès ;-)

Anonyme a dit…

Cela me rappelle des responsables de la sécurité qui refusaient de monter un server ftp pour échanger avec les clients.
Finalement, certain utilisait leur boite mail privé pour le faire (la limite de taille max étant plus élevé pour les mails 15 Mo vs 2Mo)