jeudi 22 avril 2010

Un exercice de crise qui se transforme en vraie crise..Merci McAfee !

Nouvelle à la fois intéressante et quelque peu hilarante !

Relayant ici une information du SANS Institute, cette histoire nous invite à réfléchir sur les problématiques de continuité d'activité et de gestion de crise.

Très en vogue aux USA, ces exercices de gestion des catastrophes ont lieu régulièrement. Le dernier a cependant donné lieu à une vraie crise.

Le scénario proposé est celui de la gestion d'une crise sanitaire, notamment au niveau des services d'urgence et de santé, des conséquences d'un attentat de type bio-terroriste. A cette occasion sont mobilisés les services du très connu "911" mais également les hôpitaux, ambulanciers...

Hors, rapidement après le début de l'exercice, les services d'urgences se rendent compte que leurs serveurs commencent à s'éteindre. La situation semble se propager à d'autres services municipaux.

La responsable prend cependant la décision de continuer l'exercice mais par ailleurs, se déroulent une "vraie" crise: les services d'urgence, le 911 n'est que partiellement opérationnel.

Croyant au début à un ver, de nombreuses machines sont arrêtées et/isolées pour éviter une propagation du malware. Cependant, l'investigation se poursuit et on découvre que la cause est toute autre.

En effet, l'éditeur de logiciel anti-virus a "poussé" (envoyé, forcé) une mise à jour de son logiciel qui a provoqué plusieurs problèmes dont un redémarrage non prévu et problématique.

Traditionnellement et hormis sur nos machines personnelles, les mises à jour ne sont jamais installées sur un système critique qui fonctionne correctement. On ne sait pas, par exemple, à quel point cela affectera la stabilité du système et ses performances. C'est pour cela qu'une telle mise à jour est d'abord testée sur un environnement identique mais non utilisée pour la fourniture des services attendus.

En revanche, on pourra retenir de cet évènement qu'un désastre ou une crise ne s'annonce que rarement et ne se produit quasiment jamais sous la forme et les conditions attendues. Une bonne préparation et un entraînement régulier favorise cependant une efficacité supérieure dans les gestes de base et les réactions des personnels. Cela leur donne ainsi plus de latitude pour improviser, réfléchir, innover et faire appel à leur bon sens dans une situation de crise réelle toujours différente de l'exercice.

Source : http://isc.sans.org/diary.html?storyid=8671

mercredi 21 avril 2010

Nominations au DHS : US-CERT...

Nominations au DHS aujourd'hui dans les domaines de la sécurité informatique :

Roberta Stempfley a été nommée à la tête de la National CyberSecurity Division du DHS, précédemment occupée par l'actuel directeur de l'ICANN, Rod Beckstrom. Elle était auparavant CIO, Chief Information Officer, de la DISA : Defense Informations Systems Agency.

Randel Vickers, de son côté, a été officiellement désigné pour prendre la place de directeur de l'US-CERT qu'il occupait, de fait, depuis le départ en Août dernier de Mischel Kwon.

Il reste intéressant de connaître les tenants des places de choix dans la hiérarchie américaine de la "cyber-sécurité".

Source : http://www.thenewnewinternet.com/2010/04/21/dhs-fills-two-cyber-posts-with-stempfley-and-vicker/

mardi 20 avril 2010

Sensibiliser ou comment prendre le consultant à son propre jeu !



Un peu de sécurité des systèmes d'informations aujourd'hui ! Parmi les grandes thématiques du moment chez les experts du secteur : la sensibilisation et la formation.

Epines dans le pied des managers, ces deux aspects comptent parmi les mesures de sécurité proposés dans des normes comme l'ISO27002. Elles créent aussi un marché spécialisé de la formation et de la sensibilisation à la sécurité.

Cependant, la formation est un métier unique, de même que la sensibilisation. Et le sujet de la sécurité de l'information prête le flanc à un certains nombres de critiques.

Le document ci-dessus provient d'une étude réalisée par Forrester. Elle met en avant la problématique "utilisateur". Parmi les antiennes et phrases un peu monomaniaques de la sécurité, on retrouve celle-ci : "le problème, c'est utilisateur", "le problème est entre la chaise et le clavier"...

Ce message est simpliste comme le rendu des résultats de l'étude : OK, les utilisateurs qui perdent des portables de type smartphones sont les premiers à causer des fuites d'informations....

Ma réaction : si quelqu'un a été assez bête pour mettre des informations sensibles sur un smartphones, il ne lui reste plus qu'à l'assumer. Le rôle du responsable sécurité est ici de prévenir et de proposer les solutions adéquates : abandon de cette proposition ou investissement nécessaire au retour d'un niveau de sécurité adapté. Souvent, malgré tout, la décision est prise de continuer au-delà des avertissements de ce responsable.

Mais, alors, le problème n'est pas l'utilisateur ou l'employé : c'est un problème managérial, un choix délibéré faits dans des conditions d'informations données. La responsabilité se partage entre le responsable sécurité qui a été plus ou moins efficace dans son rôle de conseil et le responsable métiers qui a pris une décision en fonction des données à sa disposition.

On ne peut demander à l'utilisateur d'assumer, sans contrepartie, un niveau de sécurité demandé sans l'adjonction de mesures adéquates.

Autre exemple :

Ceci dit, on entend parfois des consultants, en séminaire de formation ou sensibilisation, asséner cette vérité à l'utilisateur : "vous êtes le maillon faible !"

Au-delà de la portée pédagogique toute relative d'un tel discours, certains utilisateurs sont plus malins et nous remettent à notre place !

Devant l'affirmation ci-dessus, un salarié plus malin se lève alors et dit : "Monsieur le consultant, nous sommes peut-être une faille, un problème mais moi, je vous affirme pouvoir pirater un compte en moins d'une minute sans aucun outil".

Interloqué, le consultant demande des informations complémentaires et le salarié lui répond qu'un appel aux services help-desk, en interne, suffit étant donné que les informations nécessaires sont précisées sur la porte du bureau et la machine en question.

Rien de plus facile, à l'heure du déjeuner par exemple.

Cette mésaventure montre qu'effectivement, les processus de sécurité sont plus importants encore. En effet, comment demander à un salarié de se comporter justement sans qu'il ait à sa disposition, les outils, les références et la marche à suivre.

Enfin, pour conclure, je rappellerais que plusieurs experts ont signalé à quel point l'utilisateur devrait être un outil de la sécurité et plus une contrainte. Ce changement d'approche vis-à-vis du salarié, désormais partenaire de la sécurité, est sans doute une piste intéressante à suivre dans l'évolution des pratiques de sécurité (cf. ma thèse pro disponible sur www.cidris.fr ou me contacter).


Source :

http://gcn.com/articles/2010/04/19/numerator-security-breaches.aspx

lundi 19 avril 2010

Du nouveau à Cyberland : les négociations sont en cours !

Un entrefilet capté sur un site spécialisé révèle que les négociations entre Russes et américains avancent.

On se souviendra qu'une autre information avait filtrée : elle mettait en avant le fait que ces deux mêmes pays tentaient actuellement de négocier un traité portant sur la sécurité et Internet. Le problème alors relevait de visions très différentes : les Russes préférant une approche de type "arms-control" tandis que leurs homologues outre-atlantiques se focalisaient sur les questions de cybercriminalité.

Cette nouvelle réunion se serait déroulée à l'instigation de la Russie, en Allemagne. On note que cette initiative était cette fois élargie à 6 pays supplémentaires, non précisés dans l'article.

Élément intéressant par ailleurs, la présence de l'habituel représentant des USA à l'ICANN, M. Georges Sadowsky.

Enfin, l'article rapporte que ces discussions restent toutefois délicates à nouveau pour des raisons liées à une forme de vision : les USA parlent de sécurité informatique et de cyberwarfare tandis que les russes s'attachent à la notion de sécurité de l'information.

Selon M. Sadowsky, la notion russe, plus large, emprunte littéralement à la question de la sécurité des états.

Il reste intéressant de suivre ces débats, peu relayés au sein du monde médiatique (à priori) mais tout de même révélateur en termes de doctrine. Les pays présents étant en effet obligés de dévoiler une vision, une doctrine et un objectif.

Source : http://www.infowar-monitor.net/2010/04/at-internet-conference-signs-of-agreement-between-u-s-and-russia/

vendredi 16 avril 2010

Audition du Général Keith Alexander

Hier matin s'est déroulée devant le Sénat américain l'audition du Général Keith Alexander. "Patron" de la NSA, il est également appelé à prendre les rênes du CyberCommand américain : entité militaire appartenant au Stratcom et appelée à défendre les réseaux américains.

S'il est traditionnel, voire légal, que les grands responsables américains soient auditionnés devant le Sénat, cette nomination prend une dimension particulière. L'importante concentration des pouvoirs aux mains d'un seul homme a en effet motivé cette audition. A plusieurs reprises, des membres du corps législatif américain s'étaient émus de cette prise de fonction.

A l'heure actuelle, sa nomination n'a pas encore été confirmée.

Plusieurs questions ont été posés par les membres de cette commission d'audition. On retiendra quelques points.

Tout d'abord,les sénateurs lui ont présenté 3 scénarios d'attaques ou d'évènements impliquant les réseaux américains et lui ont demandé de définir son schéma de réaction.

1/ Une attaque par un pays ennemi (dénommé "C".....je vous laisse faire le lien avec mon message précédent).

La réponse donnée est que le CyberCommand se placera sous le Titre 10, cadre légal des opérations militaires américaines, et l'autorisation, par le Président de mesures de défense et de contre-attaque.

2/ Cas similaire mais les attaques paraissent émaner d'un pays allié ou neutre.

La réponse est que d'autres autorités devront être contactées.

3/ L'attaque se porte sur des systèmes critiques du pays mais émanent, en tout ou partie, de machines localisées sur le sol américain.

La réponse est que la responsabilité appartiendra alors au DHS et non plus au Cybercommand.

Le Général Alexander a par ailleurs saisi l'occasion de cette audition pour mettre en avant l'aspect légal des opérations. Souhaitant rester dans une parfaite légalité, il a également mis en avant la portée de ces attaques sur les individus et groupes non militaires et a promis d'identifier tous problèmes dans les doctrines d'emploi et sur les visions stratégiques.

Ce constat lui a ainsi permis d'attirer l'attention de ses interlocuteurs sur les écarts observables entre la loi en l'état et les capacités techniques : ces dernières offrent en effet un ensemble d'outils et de moyens que les textes de loi n'encadrent pas encore. Un important effort législatif doit donc être fait pour permettre de rester dans la légalité.

Délivrant ainsi une vision pondérée, le Général Alexander a mis en avant un souci constant de légitimité, démarche cohérente alors que le petit monde de la cybersécurité et du renseignement scrute cet avatar militaire : le cybercommand est bel et bien la plus haute organisation étatique gérant militairement la cyberdéfense.

Cette position délicate est donc certainement à l'origine des déclarations affirmant par exemple qu'il lui était très difficile de concevoir l'attaque informatique d'une banque ou institution financière, à moins que celle-ci soit clairement désignée comme un objectif militaire pour son soutien aux opérations de l'ennemi.

Enfin, cette audition a été l'occasion de marteler le message selon lequel le Cybercommand ne pronerait pas une "militarisation" du cyberespace : il se bornera à défendre les intérêts américains et ses réseaux militaires.

Cette audition est une des dernières étapes préalables à l'installation effective du CyberCommand et chaque analyse attend avec impatience de savoir ce qu'il en sera.

Sources :

http://www.wired.com/dangerroom/2010/04/pentagons-prospective-cyber-commander-talks-terms-of-digital-warfare

http://fcw.com/Articles/2010/04/15/Web-Alexander-confirmation-hearing.aspx?Page=1

http://news.hostexploit.com/cyberwar-news/3650-cyberwar-nominee-sees-gaps-in-law.html

http://threatchaos.com/home-mainmenu-1/16-blog/550-senatehearings

mercredi 14 avril 2010

Droit de réponse : encore et toujours la Chine !

Daniel Ventre, éminent sociologue du CNRS et réputé chercheur, est un des rares experts français à publier d'excellents articles et ouvrages sur les doctrines et les organisations militaires dans le domaine de la guerre de l'information.

Internationaliste de talent, il a la capacité à nous plonger dans les racines historiques de la guerre de l'information, tant celle des années 90, qu'auparavant et ce, pour un grand nombre d'états modernes.

Depuis quelques temps, la Chine est au centre des attentions, sans cesse accusée de toutes les attaques informatiques où l'on croit déceler un vague motif politique. Il n'est pas question de défendre la Chine qui n'a jamais fait mystère de ses capacités en la matière ni de sa doctrine d'emploi.

M. Ventre nous rappelle donc le contexte de la lutte informationnelle chinoise et nous remet en mémoire les aspects doctrinaux et plus opérationnels dans un article tout-public et de très bonne facture.

A lire : http://www.e-ir.info/?p=3845

jeudi 8 avril 2010

La conformité garantit-elle la sécurité ?

Comme souvent, plusieurs articles traitant d'un même sujet m'ont invité à rédiger celui-ci. La question de la capacité de la conformité à fournir des incitations suffisantes pour provoquer des effets recherchés, est fréquemment posée.

En effet, de très nombreuses lois ou textes juridiques ont créé un grand nombre d'obligations en matière de sécurité des systèmes d'informations. On peut donc comparer ces obligations légales et leur efficacité.

Petite précision : l'auteur de ces quelques lignes n'est pas tout à fait dénué d'une certaine éducation juridique. Le droit formalise et donne une force à un contenu par ailleurs plus politique. Ainsi, la loi dite "Hadopi" donne une force juridique à plusieurs décisions politiques et techniques, largement contestables par ailleurs.

Le droit reste donc un instrument : est-ce l'outil adapté ? En partie certainement car son absence rendrait certainement la situation plus critique. Rien n'est pire que le vide juridique. Ex. : la filouterie d'aliment. Imaginez les conséquences désastreuses d'un tel vide pour les victimes des escroqueries financières, vol de numéro de carte bleues....Le droit est donc aussi un instrument de justice (évidemment ! mais droit et justice sont des concepts différents) et de paix sociale.

le droit est un outil mais la forme prise par une incitation, le choix du levier est un choix politique ou économique. C'est toute la question de la théorie des jeux. Le manque d'efficacité d'une loi, vis-à-vis des objectifs que les politiques lui donnent, peut donc être recherchée dans l'élément matériel de l'incitation et non son aspect juridique !

Cela reste très vrai notamment lorsqu'on cherche à obtenir des comportements de sécurité adéquats des utilisateurs, administrateurs...Il faut savoir "appuyer sur le bon bouton"...

Cette parenthèse étant fermée, revenons à nos éléments de sécurité informatique :

En France :

=> Loi "Informatiques et Libertés" : impose les déclaration de fichiers de traitements informatiques de données personnelles ainsi qu'une forme de protection de ces données.

=> Art. 1384 Code Civil : appliqué à la responsabilité civile du chef d'entreprise (pour le fait d'autrui, en l'occurrence ses employés) et utilisé pour responsabiliser le chef d'entreprise vis-à-vis de la sécurité de son SI.

Peut-on cependant affirmer avec certitude que les fraudes sont moins nombreuses ? Rien n'est moins sur mais on est certain que sans, ce serait pire !

On note aussi que, selon plusieurs experts, la certification (ISO27001...) présente de nombreuses limites : d'autres experts attirent également l'attention sur la définition trop étroite du périmètre de certification ou encore sur les motivations réelles de cette démarche ainsi que sur les suites données à cette initiative. Une certification sans remise en cause dans le temps n'est pas très utile à moyen ou long terme.

USA, internationale à dimension globale :

=> Sarbanes-Oxley : obligation d'auditer les comptes des entreprises. Cette obligation est désormais assortie d'une obligation d'audit de la capacité des systèmes d'informations à respecter les principes de la comptabilité.

=> Bâle II et Solvency II : normes destinées au monde de la banque et de l'assurance. Elles préconisent également de nombreuses dispositions en matière de sécurité des systèmes d'informations (logiques et physiques).

=> PCI-DSS : norme du groupement des cartes bancaires. Elle prévoit également de nombreuses dispositions en matière de SSI.

Encore une fois, cette amoncellement de normes n'a pas su empêcher de nombreuses fraudes. En matière de cartes bleues notamment, les quelques millions de numéros dérobés l'ont été via des organismes pratiquant le PCI-DSS...

Quant à Sarbanes-Oxley, elle a su créer un très grand marché de l'audit, suffisamment fort et puissant pour résister à la crise en s'appuyant notamment sur ces réglementations. Crée à la suite du scandale Enron/Andersen, son efficacité a cependant été nulle sur la dernière crise de nature financière.

USA, à vocations plus locales :

=> California 1386 : oblige les entreprises à divulguer les pertes d'informations et les attaques informatiques avec une fort impact.

=> HIPPA : concerne les pertes, vols ou divulgations d'informations dans le monde de la santé.

=> FISMA : norme de sécurité des systèmes d'informations applicables au secteur public américain dans son ensemble.

=> Rockefeller and Snowe’s Bill : autorise le Président américain à déconnecter tout ou partie des réseaux américains d'Internet en cas de cyber-attaques d'envergure.

Selon plusieurs experts, le bilan est mitigé. La loi sur la divulgation a eu un impact positif mais, en revanche, la conformité à FISMA n'empêche pas de nombreuses attaques dont certaines sont réussies (Aurora par exemple ou encore Conficker). Quant à Rockeller and Snowe, les auteurs affirment très simplement qu'il ne sera d'aucune utilité en cas de cyberconflits.

Un autre expert affirme qu'aussi longtemps que la sécurité sera basée sur la conformité, réglementaire ou législative, les résultats seront décevants.

Cette assertion est ainsi tout à fait dans le sens de celles qui affirment que la sécurité de l'information ne peut se faire sans l'adhésion des personnes concernées. Jouer le jeu de "la carotte et du bâton" peut se révéler plus profitable que de jouer uniquement dudit bâton !

Si les lois et règlements en la matière sont nécessaires, la lisibilité pâtit parfois de très nombreux textes parfois difficiles à lire. La preuve en est la multiplication des formations spécialisées en la matière. Par ailleurs, l'obligation, à elle-seule, ne saurait garantir l'effectivité de la sécurité et encore moins de la cyberdéfense.

Source :

http://gcn.com/articles/2010/04/07/federal-it-security-survey-lumension.aspx

http://threatchaos.com/home-mainmenu-1/16-blog/547-response-to-rockefeller-snowe-new-regulations-will-not-prepare-the-us-for-cyberwar

vendredi 2 avril 2010

Attaques informatiques : une réalité complexe !

L'attaque informatique n'est pas simple !

Bien au contraire et prétendre le contraire serait tout à fait déplacé. Or, pourtant, la tendance actuelle à nommer les attaques en fonction de leur particularisme est une vraie forme de simplification. Ainsi en est-il de "Opération Aurora".

Ce terme désignait initialement les attaques informatiques, qui proviendraient de Chine, et qui avait à la fois visé certains comptes mails de google - appartenant à des contestataires du régime chinois - mais également plusieurs autres entreprises américaines. La présence du terme "Aurora" dans le code source aurait conduit l'éditeur anti-virus McAfee a proposé cette dénomination.

Mal lui en a pris, à priori. En effet, une nouvelle attaque informatique se portant sur des contestataires vietnamiens et plus largement des utilisateurs ayant configuré le jeu de caractère vietnamien. Cette attaque a été révélée par Google, avec à nouveau l'aide de McAfee. L'analyse des machines utilisées afin de piloter le Botnet aurait révélé d'importantes connexions en provenance du Vietnam.

Cependant, d'autres analyses se sont penchés sur la question et cette attention aurait permis de mettre en avant de très fortes similitudes avec les codes retrouvées sur les machines victimes de "Opération Aurora". Depuis, des dénominations différentes ont été proposées :

=> Aurora Lite : les attaques informatiques dites "vietnamiennes" et celles visant à créer ou développer un botnet ont une forme de "signature" dont les éléments auraient été retrouvés, par hasard, sur les machines impliquées dans les attaques sur Google.

=> Aurora proprement dit : les aspects plus sophistiqués qui ont conduit aux attaques sur Google et d'autres compagnes américaines.

Cette complexité qui suit une forme de simplification abusive de la réalité est ainsi commune en matière de lutte informatique. Ainsi, Wired nous rappelle une "histoire" d'attaque rapportée par James Lewis, un membre du CSIS et rédacteur d'un fameux rapport ainsi que de nombreuses interventions. Il aurait ainsi rapporté en 2008 que des systèmes classifiés de la défense américaine aurait été infectés par un malware permettant à un gouvernement étranger de s'y connecter.

Vérification faite, James Lewis a fini par reconnaitre une réalité souvent négligée : les systèmes de la défense américains, et probablement français, ne sont pas inter-connectés avec Internet. A ce sujet, il se trouve cependant que bien qu'isolés, la multiplication des clés USB et autres outils très mobiles permet de faire "voyager" les virus et autres malwares d'un réseau à un autre.

Ces réseaux utilisent certainement une part de protocoles de communication ainsi que des systèmes informatiques relativement proches de ceux utilisés dans le civil. Ce quotient de similitude permet donc à un virus de s'installer sur une machine et d'infecter par divers moyens l'ensemble du réseau. Cela ne veut pas dire qu'un malware aura la possibilité d'envoyer quoi que ce soit à l'extérieur : il ne peut créer une passerelle avec Internet qui n'existe pas.

On le voit donc, l'attaque informatique est un phénomène particulièrement complexe que ce florilège de sources permet de mettre en avant. Certains raccourcis fréquemment employés ne doivent pas empêcher l'analyste et le lecteur de pousser le raisonnement plus loin, notamment en multipliant les sources d'information.

Sources :

http://www.zdnet.fr/actualites/internet/0,39020774,39750548,00.htm#xtor=EPR-105

http://www.darkreading.com/database_security/security/attacks/showArticle.jhtml?articleID=224200972

http://blog.damballa.com/?p=652


http://www.wired.com/threatlevel/2010/03/urban-legend