vendredi 29 janvier 2010

Vol d'informations, personnalité et technicité !

Le vol d'informations, une crainte récurrente en entreprise, est largement facilitée par plusieurs facteurs. Si les failles ou vulnérabilités de nature technique sont connues, souvent documentées, publiées, l'autre aspect, dit "humain", bénéficie d'une visibilité plus mitigée.

En effet, bien que les experts en sécurité et ceux qui les publient, parlent souvent de l'importance du facteur humain, il n'existe que peu d'études s'attaquant avec efficacité au sujet.

Une étude récente publiée par Experian, a ainsi étudié le profil sociale, le niveau technique etc. etc. des victimes de vol d'informations, notamment via le social engineering.

Parmi les résultats principaux, il en est ressorti que le profil social, c'est à dire le niveau de revenus ou encore de responsabilités, attirait plus les pirates que la faiblesse technique. En revanche, le niveau technique justement ne se présentait jamais comme un obstacle. L'étude livre également des critères de discrimination plus contestables, ou moins logiques, comme les loisirs pratiqués ou autre : les tennisman seraient ainsi très dangereux pour les entreprises :-)..

Cette étude prouve, une fois de plus, la détermination de la pratique humaine dans le succès des vols d'informations. Réalisée après les attaques, elle montre des schémas ou des constantes dans les attaques réalisées mais ne permet pas de déterminer que tels ou tels critères a effectivement présidé aux choix des attaquants.

Cette étude, cependant, met en avant le fait que l'opportunité technique n'est, à priori, pas forcément un critère discriminant dans le biais utilisé par l'attaquant. Ce n'est pas, pour autant, une raison pour délaisser cet aspect : on peut, au contraire, analyser cela de la façon suivante : la sécurité technique ayant progressé, les attaquants ont une méthode de ciblage plus efficace et négligent la sécurité au profit d'une forte discrimination de la cible. L'effort nécessaire à la réalisation technique de l'attaque importe peu car il sera de toute façon fourni.

En revanche, le ciblage précis permet de faciliter la mise en œuvre technique de l'attaque par l'utilisation extensive des vulnérabilités humaines...

Des résultats à mettre en perspective..comme d'habitude avec les statistiques

Source : http://www.darkreading.com/securityservices/security/privacy/showArticle.jhtml?articleID=222600185

http://www.securityvibes.com/etude-experian-vol-identite-jsaiz-news-3003531.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+securityvibes-france-news+%28SecurityVibes+France+-+News%29&utm_content=Google+Reader

jeudi 28 janvier 2010

Guerre informatique, sécurité, Infrastructures vitales..

McAfee, célèbre éditeur anti-virus, a récemment publié un rapport, conjointement rédigé avec le CSIS (à qui l'on doit le rapport adressé au Président OBAMA sur l'importance d'une "cyber-sécurité" pour la 44ème présidence)..

Ce rapport porte sur la vulnérabilité des infrastructures sensibles et vitales alors que de très nombreuses "cyber-attaques" se produisent quotidiennement.

Afin de mesurer la criticité des niveaux de sécurité de ces infrastructures, le rapport remarque que beaucoup a été fait en matière de disponibilité (sic..) mais peu en matière de sécurité, ou alors à des niveaux très physique (gardiennage..).

J'avoue humblement avoir sauté au plafond à la lecture de ces quelques lignes...Pourquoi me direz-vous :

=> Tout d'abord, tous les spécialistes en SSI vous diront que la sécurité est un ensemble de critères : DIC ou CIA en anglais. Comprenez "Disponibilité", "Intégrité" et "Confidentialité.

Lesdits critères sont analysés en tant que besoins, vis-à-vis d'une infrastructure donnée, et en fonction des risques encourus. Mais opposer la sécurité et la disponibilité est rien moins que faux !

Ensuite, soyons précis, la disponibilité prend évidemment dans le cas de ces structures une importance qu'elle n'a pas partout ailleurs. La gestion des flux d'électricité par voie informatique entraîne un degré de disponibilité supérieur à celui d'un traitement de fichier lambda.

Cette disponibilité de très haut niveau est ainsi souvent une problématique de sécurité car elle entraîne des contraintes : chiffrer les flux peut impacter cette disponibilité et la mise à jours des failles de sécurité des composants entraîne parfois le re-démarrage momentané des équipements, ce qui n'est pas forcément acceptable !

Par ailleurs, les failles de sécurité proviennent parfois d'éléments extérieurs aux systèmes de gestions critiques : un wifi mal configuré, une faille organisationnelle ou autre, qui permettent d'accéder à ces réseaux.

Mais la question n'est plus alors le système critique en tant que tel mais bel et bien une question systémique d'architecture : définir des bulles, des périmètres...Question très familière par ailleurs en matière de SSI.

Résumons-nous: la disponibilité est une contrainte de sécurité, pas un "manque" de sécurité. Les failles ne sont pas forcément dans les systèmes critiques mais dans les interconnexions hasardeuses et le non-respect des règles et politiques de sécurité par ailleurs.

=> "On en a fait beaucoup pour la sécurité physique" : soyons logiques. La sécurité de ces infrastructures était largement plus menacé par des atteintes physiques que logiques. Si le rapport considère que la donne a changé, il ne reste pas moins que les autres risques de nature plus physique demeurent.

Par ailleurs, rappelons que la sécurité de l'information et des systèmes d'informations passent également par des barrières physiques. Elle est également profondément organisationnelle : c'est un ensemble de processus ou de "choses à faire" non respectées qui créent les failles.

Or, par exemple, définir, mettre en place, créer et améliorer un système de monitoring des réseaux critiques est une mesure de sécurité envisageable et qui pourrait répondre aux contraintes des systèmes à haute-disponibilité...En revanche, ce n'est pas une mesure techniquement "hyper" complexe. Elle dépend au contraire d'une bonne organisation, d'un choix d'outils rationnels et de processus bien construits...

Quelques réflexions sur un rapport, et surtout son communiqué de presse, quelque peu alarmiste (bien que fondé dans les faits) mais un peu approximatif dans ses conclusions ! (AMHA ;) )

Source : http://www.globalsecuritymag.fr/McAfee-Cyber-guerre-les-sites,20100128,15679.html

mardi 26 janvier 2010

De l'évolution du système international par Internet

Un de mes premiers mémoires portait le titre, un peu prétentieux, de "Internet : une nouvelle dimension du système International" (disponible sur www.cidris.fr). Son objectif était de démontrer qu'au-delà des questions de mondialisation ou de société de l'information, le réseau portait en lui les capacités d'influer profondément sur les questions agitant la scène internationale.

Ainsi, le cas de la gouvernance internet fournissait un exemple idéal de structures originales inter-agissant à tout niveau au profit d'une forme de gestion de l'infrastructure.

Les récentes attaques informatiques enregistrées contre Google, Baidu et diverses autres organisations sont intéressantes car elles sont clairement un moyen de lutte "POUR" l'information mais également "PAR" (revendication, hacktivisme) et "CONTRE" (défaçage, déni de service, modifications des DNS).

Néanmoins, les attaques informatiques ne sont pas rares. Celles-ci possèdent pourtant une "saveur" encore rare. En effet, l'implication directe d'Hillary Clinton, Secrétaire d'Etat des USA (notre ministre des affaires étrangères), son discours relativement agressif sont plus nouveaux.

De même, Pékin, de son côté a rétorqué qu'il n'y était pour rien, a tenu à ré-affirmer son engagement dans la lutte contre la cybercriminalité et a même accusé les Etats-Unis d'attaques informatiques.

Désormais, les attaques informatiques mobilisent les hautes-sphères du pouvoir...Même si, selon plusieurs auteurs, ces mêmes sphères ne peuvent que s'invectiver : l'absence de politique de réponse, voire de rétorsion, et de la doctrine associée interdit tout autre acte.

Certains ont parlé de Guerre Froide : la tonalité du discours de Mme CLINTON aurait en effet de faux airs de rhétorique atlantiste accusant le "Rouge". Si l'on devait citer 3 caractères de la Guerre Froide, que dirions-nous : deux hyper-puissances, des affrontements larvés et indirects et le spectre de la bombe atomique...

Résumons-nous : nous avons 2 puissances (une déclinante, une croissante) et plusieurs qui rôdent aux alentours, des affrontements indirects (par la voie informatique) et si le spectre de la bombe demeure, sa prégnance est différente quoique toujours "monstrueuse".

Parler de Guerre Froide est donc un peu délicat : on ne reproduit jamais totalement un modèle historique. Les conséquences paraissent plus intéressantes.

En effet, rappelons-nous que, depuis son arrivée, le Président OBAMA a multiplié les actes et création en faveur d'une multiple capacité de lutte informatique, offensive et défensive. De nombreuses unités "cyber" ont vu ou revu le jour, un commandement stratégique a été crée et la NSA a vu son pouvoir renforcé. A tel point que le Congrès s'en inquiète.

La démarche suivante, dangereuse pour tous, serait la définition d'une politique et d'une doctrine de répression ou rétorsion, réclamée par plusieurs, et qui pourrait avoir de très lourds effets collatéraux.

Au niveau de la gouvernance, le directeur de l'ICANN reste un américain et malgré son tropisme à priori libéral, il est également l'ancien directeur, rapidement démissionnaire, d'un centre de lutte informatique défensive du DHS. Enfin, les propos de Mme CLINTON sont clairs : les USA sont le berceau de l'Internet et il leur appartient de le défendre.

Comprenez : "nous sommes en "guerre" (informatique ou vs. le terrorisme..), on doit se serrer les coudes et on partagera les responsabilités après"...

Et bien, c'est fait, tout est dit. Nous avons les militaires, les diplomates (cela suffirait à R. ARON), les espions, l'ONU (par la gouvernance), l'ennemi, les intérêts économiques (la stratégie Google)...Un beau "bouillon" de politique internationale..

On sera d'accord je crois : Internet est bien une dimension du système international (AMHA encore une fois ;) )

Sources :

http://fcw.com/Articles/2010/01/25/BUZZ-Google-China-ultimatum.aspx?Page=1

http://www.foreignpolicy.com/articles/2010/01/21/internet_freedom?print=yes&hidecomments=yes&page=full

mercredi 20 janvier 2010

Actualité et contre/actualité

Le "buzz" du moment est bien évidemment la lutte de Google, chevalier blanc de la liberté de l'information (sic) contre la Chine et ses visées sur Internet.

Cependant, et bien que nombre de gens très qualifiés se soient exprimés dessus, cette actualité a dissimulé la publication du rapport d'Arbor Networks. Cette organisation publie régulièrement de très intéressantes informations sur l'état des infrastructures mondiales supportant le réseau et sur les attaques.

L'importance de la communication n'est pas à mettre en cause considérant que, par exemple, le SANS Institute s'est fendu d'une communication à ce sujet, l'après-midi même de la parution...(enfin, moyennant quelques fuseaux horaires de différence).

On retiendra ainsi quelques points clés :

- L'augmentation régulière de la dimensionnement des attaques de types "DDoS"..Cette année aurait vu un nouveau record d'environ 49 Gbps...Sachant que la connexion "qui marche bien" de Mme MICHU, dans les grandes villes, atteint le 1,7-2,2 Mbps effectif...Et que les goinfres de la fibre optique attendent un service d'environ 10 Mbp (soit 100 Mo de bande passante)...

- Les infrastructures accueillant des services de type Cloud Computing sont spécificiquement visées.

- Enfin, parmi les sujets du moments : DNSSEC, IPv4 et IPv6

En effet, DNSSEC est un protocole visant à garantir un niveau de sécurité supplémentaire au DNS, notamment au niveau de la garantie de l'intégrité des données. Il n'apporte rien au niveau de la disponibilité : les attaques par saturation sont traitées par d'autres moyens comme la multiplication des instances.

A ce propos, on notera que les attaques de type DDoS restent en majorité assez "simples". La majorité d'entre elles utilisent des protocoles simples, connus et procèdent plus par "inondation", "flood" que par saturation d'un service sur une machine.

IPv4 est un protocole IP limité en nombre (comme IPv6) qui se réduit, peu à peu, comme peau de chagrin. (Cf. posts précédent de ce blog). IPv6 présente des garanties de taille nettement plus satisfaisantes (quoique avec l'internet des objets, mobile...) mais selon les constructeurs, la plupart des équipements ne contiennent pas les options permettant d'utiliser les fonctions de sécurité traditionnelles avec ce protocole.

A noter aussi les statistiques selon lesquelles, la majorité des organisations victimes d'attaques ne les rapportent pas à la justice par un dépôt de plainte. Comme le rappelait un intervenant du CLUSIF dans leur récente présentation du "Panorama sur la cybercriminalité : porter plainte est essentiel pour agir plus efficacement contre ce types de pratiques.

Je vous laisse donc lire ce court rapport (34p) très instructif et qui s'intéresse, c'est plus rare, à un niveau parfois très "physique" de l'infrastructure de notre Interne.

Source : http://www.arbornetworks.com/fr/arbor-networks-releases-fifth-annual-infrastructure-security-report.html

dimanche 17 janvier 2010

Army cyber command

Les USA disposeront sous peu d'un ensemble imposant dédié à la lutte informatique. Après la création récente d'un CYBERCOM au plus haut niveau, la Navy avait suivi avec la création d'un commandement dédié à la question et placé sous l'autorité du CYBERCOM (lui-même intégré au mythique STRATCOM).

L'armée de l'air avait également suivi le mouvement en ré-activant son cyber-command qui, bien que créé plus tôt, avait subi de nombreux déboires et un arrêt prématuré des opérations.

Un récent article révèle désormais les efforts de l'Army en la matière qui souhaite aligner et mettre sous une unique unité, une composante de lutte informatique, placée, comme les autres sous l'autorité du CYBERCOM/STRATCOM. Cette unité serait opérationnelle pour Octobre 2010 et verrait notamment la mobilisation du Army’s Network Enterprise Technology Command /9th Signal Command.

Cette décision intervient peu de temps après la nomination du Cyberczar qui a relancé la dynamique dans le domaine après un long moment entre l'annonce de la création du poste et la nomination effective...

Source : http://fcw.com/articles/2010/01/15/army-mulls-realignment-to-fortify-cyber-command.aspx

mardi 5 janvier 2010

Recherche IP ? IP à vendre...

Le début d'année est l'occasion de refaire le point sur diverses thématiques d'envergure annuelles ou stratégiques. Tel est le cas de l'épuisement des adresses IPv4, serpent de mer s'il en est, mais qui retrouve aujourd'hui une certaine audience grâce à PC Impact.

Rappelons en effet que la plupart des prédictions s'accordent à voir le "stock" d'IPv4 épuisé pour 2011. Il reste donc un an pour préparer en douceur une transition vers la version 6 du protocole qui, de par ses caractéristique,s pourrait causer certaines interruptions.

Le site apporte par ailleurs une information complémentaire intéressante : le fait que les USA disposent d'un très large pool d'adresses. Cette situation historique s'explique par le fait que les grandes entreprises américaines aient très tôt disposé de très importantes réserves parfois encore inutilisées.

Cependant, en termes de gestion, et surtout de routage, la gestion de pool éclaté est très complexe et couteuse. Et le dernier ré-assemblage d'un pool entier de taille respectable a pris plusieurs années à IANA...

Cet ensemble de problématiques complexes s'articulent ainsi pour donner une situation qui rend facile la fuite en avant. Mais le coût propre des tests et de l'acquisition de l'expérience nécessaire à l'implémentation et l'utilisation des adresses IPv6 représente un investissement tel qu'elle mène pas mal d'opérateurs à l'immobilisme.

Et là, le risque devient la création d'un "marché noir" de l'IP....

lundi 4 janvier 2010

Le Cyber Command retardé !

Le cybercommand des Etats-Unis, placé sous l'autorité du Strategic Command du Ministère de la Défense ne pourra pas être lancé le 1er Octobre comme prévu. Le Congrés dont les capacités à valider ou bloquer les politiques américaines est bien connu aurait mis en avance des problèmatiques liées à la confidentialité de certains échanges, la vie privée mais surtout la concentration des pouvoirs.

En effet, les informations relatives à ce commandement donnaient à croire qu'il aurait été dirigé par le Général Keith Alexander, également patron de la NSA. Nul doute que, dans un pays partagé entre un fort libéralisme induisant une crainte des autorité publiques, et une obsession de la sécurité, une telle concentration de pouvoirs ait dérangé.

Cependant, il apparaitrait également que des questions liées à la définition de l'acte de guerre fondant la lutte informatique aient également été au coeur des débats. Les récentes tractations russo-américaines portant sur un traité de pacification du cyberespace ont montré, de par la divergence des positions, que cette question restait fondamentale.

Ces questions qui peuvent paraître bénignes et inutiles ont tout de même leur importance. Elles l'ont été suffisamment en tout les cas pour bloquer la confirmation du général Alexander à son double-poste (ainsi que sa 4ème étoile). Elles peuvent être également un guide pour toute nation développée dépendante de son infrastructure informatique qui cherche à protéger ses infrastructures. (AMHA)

Source : http://news.hostexploit.com/index.php?option=com_content&%3Bview=article&%3Bid=2838%3Apentagon-computer-network-defense-command-delayed-by-congressional-concerns&%3Bcatid=1%3Acyber-warfare&%3BItemid=28&utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+HostexploitNewsRss+(Hostexploit+News+RSS)&utm_content=Google+Reader