mercredi 11 janvier 2012

Des innovations en structures de sécurité

On ne pourra désormais plus dire que les fondements d'Internet ne sont plus sécurisés. En effet, l'arrivée de DNSSEC est désormais bien ancrée dans la réalité et devrait apporter un plus indéniable en matière de sécurité.

Qu'est-ce que le DNS ?

Le DNS est tout à la fois un système, une organisation et une technologie...En ce qui concerne la partie système, elle repose sur une technologie associant les adresses numériques de vos machines et serveurs (les IP) à un nom de domaine. Lorsque vous demandez "www.google.fr", il vous est indiqué une adresse comme 209.85.135.147 (pas contrôlée).

Considérant que, peu ou prou, une large majorité d'applications utilisent le DNS pour leur fonctionnement, ce système est au coeur d'Internet...Il a malheureusement connu un certain nombre d'attaques et se sont ainsi révélées plusieurs vulnérabilités. C'est le cas de la fameuse "faille Kaminsky".

Celle-ci a, parmi d'autres raisons, pousser à l'adoption d'un standard nouveau, DNSSEC pour DNS sécurisé, utilisant des mécanismes de signature cryptographique. Ces mécanismes assurent notamment une chaîne de confiance dans les réponses qui sont données lorsque un navigateur interroge un serveur DNS.

Relativement complexe à mettre en oeuvre, elle est pourtant une recommandation de plus en plus suivi puisque Comcast, un des grands fournisseurs américains a annoncé avoir procédé à la signature d'un nombre important de ses domaines (+ de 5000)...Cela représente un progrés certains dans l'évolution de l'infrastructure de sécurité du Net.

A noter également que la problématique de la sécurité de la Smart Grid, le réseau "intelligent" et évolué de distribution d'électricité aux Etats-Unis connait un renouveau. Après que la majorité des acteurs ait exprimé des craintes sur la sécurité, une étape vient d'être franchie.

Il s'agit d'un projet mené avec le secteur privé et désirant aboutir à la création d'un modèle de sécurité, et de mesures de la sécurité, adapté à cette problématique spécifique. Dénommé "Electric Sector Cybersecurity Risk Management Maturity", ce modèle pourrait apporter quelques innovations intéressantes en matière de mesures de la sécurité et d'évolution.

Notons, tout de même, que le secteur de la sécurité semble se poser beaucoup de questions actuellement en remettant en cause, par exemple, certaines approches, organisations et autres normes de la SSI. C'est un des axes traités par nos soins (avec le blog ami Si-Vis) dans notre chronique sur AGS.

Des sujets qui montrent donc une certaine évolution, à suivre toutefois, avec un oeil critique.

Source : dans le texte

6 commentaires:

  1. Information intéressante Cidris. Il faudrait peut-être également mettre en parallèle le possible développement de DNSSEC avec le déploiement d'IPv6 ?! Et attendre, sans pessimisme particulier, les premiers exploits ! :)

    Il va sans dire qu'un frémissement ou, tout au moins, une réflexion semble s'engager du sommet des États jusqu'aux entreprises, du secteur industriel en particulier. A travers notre chronique sur AGS, nous avons sans doute su capter "l'air du temps" et ne faisons que souligner, comme d'autres bloggueurs et experts en Europe (et au-delà) qu'il est urgent non pas d'attendre mais bien d'ouvrir les yeux pour se pencher sur les fondamentaux de la SSI / Infosec.

    Pour ma part, je fais la prévision que si 2011 a été une année incroyablement riche pour la thématique sécurité, 2012 pourrait la surpasser ! A suivre avec un œil critique, comme tu dis ! :)

    RépondreSupprimer
    Réponses
    1. Merci pour le commentaire.

      IPv6 ne fait pas partie, pour moi, de la stricte structure de sécurité que j'évoque...Le protocole, bien que nécessaire, pose des soucis de transition.

      Pour moi, IPv6 n'apporte pas vraiment de sécurité accrue (il y a déjà des attaques dessus me semble-t-il) si ce n'est une certaine facilité dans le déploiement d'IPSEC.

      Pour le reste, je suis bien d'accord avec toi :D

      Supprimer
  2. L'ENISA a fait un beau doc sur les systèmes industriels : http://www.enisa.europa.eu/act/res/other-areas/ics-scada
    L'annexe III est une très bonne checklist avec des normes peu connues des consultants en SSI.
    Malheureusement le milieu des industriels est très fermé et ne cherche pas à progresser au contact des experts en SSI :(
    Et on a un beau cercle vicieux car cela ne contribue pas non plus à faire monter en compétence les experts SSI sur les systèmes SCADA !

    Notre seule opportunité est l'abandon des protocoles moisis propriétaires au profit de l'IP...

    RépondreSupprimer
  3. J'aime beaucoup ta série d'article sur AGS.

    Comme DNS, BGP, même ARP, IP, enfin la totale, tout Internet et l'informatique est comme un château construit sur du sable (moi aussi je lis Sid).
    Si on avait fait une analyse de risque au début, on aurait trouvé ça satisfaisant car on ne connait ni les menaces futures ni les impacts 10 ans plus tard.
    On refait l'analyse de risque maintenant (alors qu'on aurait dû en faire régulièrement) et on se rend compte qu'on est tout moisi et que l'investissement pour redresser la barre est colossal. Alors la seule solution est d'accumuler les rustines comme on empilerait les yeux fermés des tranches de gruyère pour boucher une fuite d'eau...

    Comme une entreprise (dont l'informatique n'est pas le cœur de métier... et même) qui a firewall, proxy-web, anti-spam, IPS, reverse-proxy, WAF, firewall sql, proxy xml, antivirus, host IPS...
    Les entreprises arrivent à avoir du matériel plus facilement que des personnes pour les exploiter. On lance le projet, on met l'archi en place et on dissout l'équipe en oubliant de former un gars qui fera du récurrent (autre que vérifier l'état de la sauvegarde). Finalement on la laisse mourir seule dans son coin jusqu'à ce qu'elle soit remplacée par le truc à la nouvelle mode parce que la remise en cause de l'organisation n'est pas envisageable.

    Et quand bien même on arriverait à avoir une défense périmétrique, on va avoir Robert qui branche son ordi perso sur le LAN pour transférer des DIVX (et des virus), Monsieur le président qui veut consulter sa messagerie sur iPhone et lire ses rapports sur iPad (il faut bien trouver un prétexte pour frimer devant les anciens collègues de promo) avec au passage une copie de sauvegarde dans un Cloud soumis au Patriot Act. Et vas-y que je te mets une infra wifi moins protégée et un accès web open bar pour ne pas nuire à l'ergonomie ô combien indispensable à ces gadgets.

    Alors soit ! La vraie sécurité c'est déjà de ne pas avoir Internet sur son poste de travail et de laisser des postes en accès libre sur un réseau différent. De ne pas autoriser les clés USB. Mais tout ça c'est devenu tellement habituel et courant que ça serait pris comme une privation de droits par les employés et syndicats.

    Alors faut-il être pessimiste ? Certainement car il ne sera plus possible de changer de chemin à l'avenir.

    Mais pour finir sur une note positive, je crois que grâce à ça nous ne manquerons jamais de travail à condition de tenir le coup.

    RépondreSupprimer
  4. Hop hop...merci pour tous tes commentaires !

    Je suis content que quelqu'un apprécie pour de vrai notre chronique sur AGS. Mon co-auteur a également laissé le premier commentaire sur cet article.

    Merci pour la vue "inside" nourrie de l'expérience et pour les liens pour aller plus loin !

    RépondreSupprimer
    Réponses
    1. Effectivement, ça fait plaisir de savoir que l'on a au moins un opérationnel qui apprécie notre série d'articles !
      :)

      Supprimer