jeudi 20 septembre 2012

Billet d'humeur : la SSI n'est pas "l'informatique"

Une information parue aujourd'hui dans la presse est la cause première de ce billet d'humeur. Pour ceux que cela intéresse, elle est encore disponible.

Vraisemblablement, un homme aurait réussi à s'introduire dans les systèmes informatiques de la Banque de France - la précision du journal laisse à désirer car on ne comprend pas le lien entre un appel skype et le système informatique - en utilisant un mot de passe trivial qui, par chance, lui laissa l'accès. 

Pour illustrer l'absence de sécurité, la justice a décidé de relaxer cet homme concluant ainsi un procès conduit après un dépôt de plainte de l'entité. Il était tellement facile de pénétrer dans ledit système que la justice en a conclu que l'homme était de bonne foi et que le système ne présentait aucune garantie dissuasive.

Il faut avouer que le désarroi est grand ! Comment peut-on en arriver, malgré toutes les attaques, toutes les informations données ? A quel point un degré de maîtrise de ses systèmes et informations peut-il arriver si bas ?

D'aucuns répondront qu'il s'agit d'une question de coût, de compétences ou encore de formations ? D'autres plaideront pour la faute personnelle, ce qui est également une hérésie car après tout l'organisation peut contrôler le résultat des demandes effectuées.

Alors quoi ? La réponse est sans doute multiple mais un élément me semble intéressant à approfondir : la SSI n'est pas de l'informatique et la confusion savamment entretenue entre les deux est facteur de dysfonctionnements...

Trop souvent encore, on trouve des RSSI placés au sein des Directions des systèmes d'information : c'est le plus sûr moyen de leur dénier toute capacité à obtenir une bonne vision du niveau de sécurité. Corriger une faille, dévoiler une vulnérabilité est difficile car évoquer cela, c'est également critiquer les travaux de son supérieur hiérarchique.

Combien de fois, en discutant d'un problème de sécurité, un responsable informatique en a dénié la portée, la réalité ou encore la probabilité qu'un risque se produise...Fort de son expertise informatique, cette personne pensait en connaître autant en sécurité : nous constatons assez aujourd'hui les résultats de ces comportements.

L'informatique moderne ne peut que fonctionner qu'avec un niveau de maîtrise et de confiance des systèmes et informations très limité. Nous ne fabriquons pas les matériels ni ne connaissons les codes des logiciels que nous utilisons. 

Au contraire, la SSI a pour objectif de restaurer un certain niveau de confiance en recherchant notamment une connaissance approfondie et une maîtrise plus complète de nos systèmes.  D'une certaine manière, SSI et "informatique" ne pourront que continuer à s'opposer.

Ce mode de fonctionnement, acceptant une bonne part d'obscurantisme, est cependant devenue une "règle" de conduite et la remettre en cause serait une révolution des moeurs. La confiance et la maîtrise sont pourtant une forme de dogme dans d'autres milieux : aéronautiques et nucléaires par exemple où le taux d'erreur acceptable semble différent. 

Aujourd'hui, alors que ces systèmes innervent nos sociétés et prennent en charge de plus en plus de fonctions critiques, ne devrait-on pas se diriger vers ce type d'approche ? Changer un système qui corrige chaque semaine les failles de la précédente vers un système pour qui la confiance est un principe de conception (les deux existent...) ?

Alors non, la sécurité des informations et des systèmes n'est pas l'informatique et il faut sans cesse le redire et le rappeler. Au sein d'une organisation, la SSI trouve sa place dans une approche globale des risques, dans une direction sécurité ou encore dans une démarche de qualité ou de fiabilité...

Ainsi, la prochaine fois que vous aurez une décision de sécurité à prendre ou un responsable sécurité à nommer, soyez conscients que l'une comme l'autre auront des conséquences importantes et non mesurables immédiatement. Il vous faudra être informé régulièrement, mesurer les signaux faibles et connaître les risques pris...en bref, contrôler, superviser, corriger et améliorer...

Source : dans le texte


mardi 18 septembre 2012

IPv4 : quelques informations...

Edit : Quelques éléments de réponse de l'entité britannique détenant le pool d'adresses en questions. http://news.slashdot.org/story/12/09/19/1219216/uks-unallocated-ipv4-block-actually-in-use-not-for-sale

Malgré la fin annoncée des ressources en IPv4, les aléas des premiers choix de répartition continuent à produire des conséquences parfois amusantes.

Ainsi, le RIPE-NCC, l'entité responsable de la gestion pour l'Europe de l'attribution des adresses (parmi d'autres responsabilités), a annoncé qu'il distribuait actuellement les derniers blocs d'IPv4 disponibles


Pendant ce temps, un particulier découvrait en Grande-Bretagne que le "Department of Work and Pensions" disposait d'un bloc "/8" entier soit 16,9 millions d'adresses qui n'était pas utilisé

Comme nous avons déjà pu l'évoquer, l'attribution d'un bloc d'IP ne dit rien quant à son utilisation effective. Les entités comme le RIPE assure, au niveau d'un continent, une gestion plutôt administrative, permettant de s'assurer que plusieurs entités ne s'attribuent pas les mêmes adresses.

Toutefois, cela ne signifie pas que les entités qui se sont vus attribuées les blocs les utilisent effectivement. Par ailleurs, l'histoire de l'IPv4 a connu un premier mouvement de distribution qui n'avait pas prévu un tel développement de l'internet : autrement dit, certains blocs ont été attribués parfois sans considération particulière. Et reconstituer des blocs cohérents d'une taille respectable est une tâche complexe ! 

En attendant, si l'IPv6 ne cesse de progresser (et la France est en bonne place !), le taux d'adoption n'est pas encore extraordinaire...Une question qui continuera longtemps à susciter des problèmes.

Source : dans le texte

lundi 17 septembre 2012

Le CERTA fait la part-belle aux SCADA

Conjoncture ou tendance de long-terme, nombre des dernières annonces du CERTA ces dernières semaines révèlent des vulnérabilités décelables au sein de systèmes et logiciels informatique participant à des processus industriels.

Ainsi, et l'on doit à ce billet à cette alerte, une publication du 10 septembre révèle de multiples vulnérabilités au sein d'un système dénommé WinCC et développé par l'industriel Siemens. Tout analyste des questions "cyber" aura déjà reconnu un des logiciels ciblés par le malware Stuxnet. Pour mémoire, quelques bonnes informations figurent sur wikipédia.

En bref, Indusoft ISSymbol, Wago System ou encore Honeywell HMIWeb sont des systèmes de type SCADA qui présentent des vulnérabilités révélées par l'ANSSI (et d'autres) ces dernières semaines.

La société Wago semble proposer des produits pour le monde des énergéticiens. Le produit de la société Honeywell serait à priori utilisé pour la gestion de certains composants au sein d'immeubles. Et comme une image vaut mieux qu'un long discours, voici dans quel environnement s'insère le produit Indusoft.


La publication des vulnérabilités SCADA dans les informations du CERTA est très certainement révélateur d'une tendance. Les problématiques spécifiques de ces produits bien particuliers sont depuis longtemps connus et évoqués mais si beaucoup de discours ont été fait, le traitement réservé au sein du "monde" SSI est longtemps resté différent. 

Le cas "Stuxnet" a pourtant changé tout cela en démontrant par un certain succès que l'exploitation était non seulement possible mais réellement efficace et que la protection par l'isolation et la déconnexion ne suffisait plus. Une forme accrue de défense en profondeur devait être absolument mise en place.

Pour mémoire, la spécificité de ces produits repose sur deux critères principaux : le lien avec des processus opérationnels souvent très sensibles et une informatique complexe, ancienne et notoirement différente des systèmes informatiques de "gestion". Ajoutant à cela que ces systèmes étaient la plupart du temps déconnectés, les craintes des spécialistes de sécurité ont souvent été écartées. 

Mais deux facteurs ont échappé à ceux qui accusaient la SSI de crier au loup : d'une part une convergence entre systèmes bureautique et systèmes industriels. L'usage des systèmes Windows et des technologies modernes de communication ou encore des standards Web en sont la preuve : les systèmes SCADA sont parfois connectés à Internet. D'autre part, en matière d'attaques informatiques, si le jeu en vaut la chandelle, les moyens investis seront massifs et l'absence de connexion n'est pas un frein réel : la preuve en a été donnée.

Si les publications de l'ANSSI sont révélateur d'une propension croissante à intégrer cette informatique dans la SSI "courante", il demeure toutefois un acteur à impliquer : les constructeurs. Comme nous l'évoquions, un système SCADA possède un lien fort avec un processus souvent sensible (pas toujours !) : il est donc parfois difficile de l'arrêter, de le re-démarrer...bref, de le maintenir dans des conditions de sécurité acceptables. Pour cela, c'est une architecture ou "design" des produits qu'il faut revoir et cela implique plusieurs acteurs.

Cette question reste donc sensible et difficile et nécessite, au-delà des aspects techniques, une coordination entre plusieurs secteurs et une forme plus globale de gouvernance ou de politique. Peut-être est-ce à l'ANSSI d'y répondre également...

Source :

vendredi 14 septembre 2012

Esprit de cyberdéfense...

Non, ce n'est pas le nom d'un parfum mais une nouvelle initiative lancée par le Ministère de la Défense. Annoncée par l'officier responsable des questions "cyber" au sein de l'état major des armées, il s'agit de donner une dimension particulière à la réserve citoyenne. 

A l'occasion des Universités d'été de la Défense, l'Amiral Coustillère a donc annoncé la création d'un réseau de spécialistes, au sein de la réserve citoyenne, qui aura pour tâche "la promotion d’un esprit de cyberdéfense et de contribuer à la réflexion nationale".

Cette initiative présente des aspects intéressants mais suscite un grand nombre de questions. Tout d'abord, sur les modalités d'échange et de rencontres nécessaires pour créer un tel réseau, si celui-ci doit avoir comme objectif de rayonner et diffuser l'information.

Ensuite, tout réserviste ayant passé quelques temps dans l'institution en connait les problématiques. Ainsi, la réserve opérationnelle diffère de la citoyenne en ce que ses membres effectuent des périodes sous l'uniforme et à des postes déjà définis, remplaçants des militaires d'actives ou apportant une compétence particulière sur un poste qui ne serait pas à temps plein.

Toutefois, les restrictions budgétaires ont eu un impact fort sur le nombre de postes et de jours de réserve attribués aux armées. Par ailleurs, l'organisation de la réserve est encore très liée à l'arme d'origine et les modes d'intervention des réservistes sont parfois loin d'être évidents tant pour les armées que pour les réservistes et leurs entreprises. 

Les interrogations sont aujourd'hui fortes sur l'utilisation des réserves dans les armées, les budgets et leur insertion dans le quotidien des militaires alors même que les armées reconnaissent volontiers tant le besoin que l'utilité de ce vivier. 

A contrario, le réserviste citoyen, en dehors d'une formation initiale, n'a pas de contact toujours immédiat avec les unités. Il contribue beaucoup au rayonnement et à la diffusion de l'esprit de défense mais son action est parfois loin du quotidien de la défense et de ses acteurs. 

Comment créer ce réseau ? Comment le faire vivre et le rendre efficace ? Il faut également se demander où trouver ces réservistes  et comment les former ? En effet, si différentes entités de l'Etat recrutent aujourd'hui de manière importante, nombreux sont les acteurs à alerter sur l'assèchement du vivier...Où donc trouver ces ressources ?

Ensuite, l'acquisition d'une culture militaire nécessite au moins une sensibilisation et sans doute une formation que les différentes "écoles de la réserve" peuvent fournir mais dans un format réduit, déjà amputé par les problématiques de budget.

Concluons ici en rappelant que cette initiative poursuit un objectif louable si l'on se rappelle les problématiques de sécurité de l'année 2012. Il semble cependant nécessaire d'en préciser les détails.

Source :

lundi 10 septembre 2012

News : Japon et Executive Order

Quelques informations intéressantes : 

- Daniel Ventre nous apprend la création d'une unité de cyber-défense au Japon au début du mois de Septembre 2012. Organisme militaire, il comptera une centaine de personnes et au contraire des Etats-Unis disposera d'une capacité d'intervention sur l'ensemble des armées : Terre, Air et Mer. 

- Les atermoiements des assemblées parlementaires américaines au sujet du Cybersecurity Act de 2012 semble s'éterniser. La solution alternative, que nombre d'acteurs appellent de leurs voeux, serait fondée sur une prise de décision unilatérale du Président Obama. Cet "Executive Order", forme de l'acte juridique, avait déjà été utilisé par le Président Obama pour des sujets relatifs à la cyber-sécurité. 

Toutefois, si un équilibre parlementaire avait été trouvé, le texte final aurait eu une tonalité particulière imputable à des négociations et des échanges nombreux. L'appel au Président recèle une note d'urgence  mais semble aussi alerter quelques analystes sur les conséquences d'une telle décision.

Source :

dans le texte


jeudi 6 septembre 2012

Droit international et cyberwarfare : Le Manuel de Tallin

Comme une rentrée n'est jamais calme, la rentrée stratégico-littéraire dans le domaine qui nous intéresse s'annonce percutante. 

Les assidus des questions de lutte informatique auront sans doute déjà vu, voire lu, l'ouvrage publié à l'invitation du CCD COE (le Centre de l'Otan consacré aux questions doctrinales et stratégiques du monde "cyber".

Quelques articles ont déjà proposé leurs analyses, en particulier Security Vibes attirant l'attention sur ce document qui présente cependant quelques particularismes notables.

Comme le signale la publication officielle, ce document n'est pas une production appartenant à l'OTAN. On peut donc en comprendre que les conclusions et les logiques suivis par les rédacteurs ne s'imposent pas complètement à l'organisation ou ses membres. Le sujet restant tout à la fois jeune et complexe, immature pour tout dire, cette réserve n'est pas réellement surprenante. Ce point est d'ailleurs précisé au tout premier paragraphe de l'introduction.

Ce document est donc le fruit d'une réflexion de plusieurs experts internationaux (la liste est donnée au début du document) ayant travaillé à l'invitation du centre de réflexion. Ce détail, qui prend toutefois une certaine importance, n'enlève rien à la force des conclusions de ce rapport ou encore à l'impressionnant travail fourni.

On relèvera également une composition relativement peu hétérogène des experts avec de nombreux anglo-saxons et quelques européens sans que cela ne puisse permettre encore de déterminer un degré d'influence quelconque sur le contenu.

Quelques points complémentaires également : le document examine une portion du droit international relatif à ce que l'on appelle le droit des conflits armés ou encore droit de la guerre. Composé traditionnellement de deux grands domaines, le jus ad bellum  codifiant le recours par les Etats à la force et le jus in bello ayant trait à leur comportement et leurs actions durant les conflits. 

Autrement dit, nombreux sont les domaines du droit, à porté international, qui ne sont pas concernés par ce document. Tout d'abord, cela exclut tout ce qui n'est pas étatique car ce sont les états qui sont essentiellement concernés par ces corpus juridique. De fait, le cas des organisations criminelles, les problématiques de droits des télécommunications et bien d'autres questions ne sont pas abordées. On se situe ici, et c'est tout l'intérêt, dans le cadre de conflits inter-étatiques uniquement.

Bien que n'ayant pas tout lu, il semble bien que le document suive une logique globale dont on retrouve déjà trace dans de nombreux documents, en particuliers "International Strategy for Cyberspace" publié par les Etats-Unis. Ce document tend à privilégier l'idée selon laquelle le corpus juridique internationale fournit globalement une assise adaptée au cas des cyberconflits inter-étatiques. 

Certaines évolutions sont toutefois nécessaires et peuvent prendre parfois la forme de précisions ou d'adaptation au contexte mais ce positionnement est un choix important. Il tranche en effet un débat entre deux tendances, celle voulant voir une révolution dans le "cyber warfare" et celle voulant la connecter à des tendances pré-existantes.

N'oublions pas cependant la restriction volontaire du spectre qui n'intègre pas l'ensemble des actes et des acteurs agressifs existant sur Internet. Ce document est le produit d'une réflexion globale sur un sujet clairement limité et défini et pourrait bien faire autorité en la matière.

A suivre d'autres articles pour approfondir l'analyse...

Sources :