mercredi 25 avril 2012

IPv4/v6 : une difficile transition !

Régulièrement, ce blog évoque les aspects de gouvernance de l'Internet et en particulier la difficile transition de l'IPv4 à la version 6.

Parmi les effets évoqués, celle de la création d'un marché de l'adresse IP qui, en officialisant ainsi une pratique, contribue à éviter l'émergence d'un marché noir de l'adresse mais monétise encore une ressource déjà rare et qui devient plus cher. Autrement dit, cela constitue des coûts supplémentaires et donc une barrière financière à l'accès pour les populations les moins aisées et desservies.

Cette période de transition semble ainsi marquée par ce type de pratique : offrir une solution nécessaire mais désagréable afin d'éviter un mal plus grand. C'est en substance le coeur des conflits qui ont opposé les participants de l'IETF à propos de cette phase délicate de transition.

Revenons sur ce conflit qui illustre bien les difficultés rencontrées à la fois par les opérateurs mais aussi par le système de gouvernance. Les organismes de standardisation ont décidé de réserver une portion de l'adressage public à un usage très controversé, portion débutant par 100.64.0.0 et jusqu'à 100.127.255.255.

Pour les moins techniques, rappelons que les adresses IP sont composées de 4 blocs que l'on représente séparés par des points. Par ex. : 1. 2 . 3. 4. Chaque bloc peut prendre toutes les valeurs entre 0 et 255. Autrement dit, la "première" adresse pourrait être 0.0.0.0 tandis que la dernière pourrait être : 255.255.255.255.

Cependant, ces blocs ont été découpés pour les attribuer plus facilement aux opérateurs. On a cependant pris soins de réserver certains blocs ou même certaines adresses. Par exemple, l'adresse 127.0.0.1 représentera toujours une adresse permettant à un ordinateur de se connecter...à lui-même. On l'appelle l'adresse de rebouclage ou loopback

D'autres adresses comme celles commençant par 192.168 ou 172.16 ou encore 10.0 ont été réservées à la construction de réseaux dits privés, non-nécessairement connectés à Internet ou injoignable directement sur le net. Ce sont ces adresses qui sont utilisées dans vos réseaux domestiques et qui vous permettent d'avoir votre réseau privé à travers votre box.

Revenons à nos IP : pourquoi diable diminuer encore la quantité d'adresse disponible en la réservant à un usage privé ?

J'évoquais ci-dessus les fameuses boites internet disponibles à domicile. Celle-ci dispose d'une adresse publique vers Internet et plusieurs adresses des réseaux privées (cf. ci-dessus) pour vos ordinateurs, tablettes et autres smartphones. Ainsi, jusque-ici, chaque domicile avait une adresse publique et plusieurs adresses privées. Le dispositif de passage de l'un à l'autre est appelé NAT - Network Adress Translation - dont la signification est claire : on "traduit" d'une adresse à une autre, d'un réseau à un autre.

Toutefois, avec la raréfaction des adresses IPv4, il ne devient plus possible d'attribuer une adresse publique à chaque domicile, notamment en Asie, et il devient donc nécessaire de retranscrire ce système de "boite" disposant d'un accès à l'Internet public et des multiples adresses en privé...Ce système de NAT à l'échelle d'un opérateur entier (imaginez l'ensemble des abonnés Free) est appelé CGN pour Carrier Grade Nat.

Cependant, si l'adressage entre vous et votre box se fait sans problème dans les réseaux évoqués plus haut, le nouvel espace de réseau privé entre votre box et le CGN ne disposait pas d'un réseau spécifique. C'est désormais corrigé.

Toutefois, ce faisant, on entérine un concept, le CGN, qui est en fait une "rustine" puisqu'elle ne devait servir à qu'aider à la phase de transition. De plus, ces dispositifs ne conviennent pas du tout à de nombreuses applications sur Internet et notamment certains jeux, le protocole de téléphonie sur IP, le peer-to-peer...

Eh oui, si tous les abonnés de Free n'ont plus qu'une adresse publique appartenant au CGN, comment jouer entre eux en ligne si le jeu utilise l'adresse publique ?

Au final, cet exemple banal révèle toute la difficulté de la phase de transition mais également les problématiques de gouvernance. Celles-ci ont non seulement conduit à une distribution peu adaptée des adresses IP : l'Asie manque d'adresses alors que les premiers arrivés sur Internet en ont parfois trop. Mais elles obligent également à des solutions transitoires inquiétantes en raison de forts retards dans l'évolution vers IPv6.

Source :

mardi 24 avril 2012

War Games Chine/USA

Une information intéressante dont je dois la primeur à un fin observateur des relations cyber-internationales. Celle-ci fait en effet état de la tenue de plusieurs war games entre la Chine et les Etats-Unis l'année dernière.

Les relations entre les deux pays ne sont pas, au sujet des aspects informatiques, au beau fixe. La Chine est régulièrement accusée par les Etats-Unis de mener des attaques ayant vocation à dérober de l'information au sein des systèmes américaines. Niant les faits, elle affirme lutter ardemment contre le piratage et se pose en victime principale de la cybercriminalité mondiale.

Pour des raisons évidentes, ces "jeux" se sont déroulées dans l'atmosphère feutrée des joutes diplomatiques. Des intermédiaires ont d'ailleurs participé à l'organisation : deux think-tank, le fameux CSIS américain et le China Institute of Contemporary International Relations. 

Impliquant les ministères de la défense et de la sécurité intérieure, du côté américain, l'initiative Track 1.5 a permis des rencontres entre officiels et acteurs de la sécurité dans un environnement très particulier et au final, assez peu officiel. On en sait assez peu côté chinois.

Le besoin de ces "pourparlers" non officiels a été ressenti par l'ensemble des acteurs et semble être considéré, de part et d'autre comme un moyen d'alléger les tensions...Les USA reprochant ainsi des vols de secrets et de propriété intellectuelle constituant des montants importants et les chinois étant très méfiants devant les velléités et les initiatives militaires américaines.

Nous conclurons avec le sujet des "jeux" en question : le premier consistait pour les participants à décrire les réactions en cas d'attaques (détectées) par un système malveillant de type Stuxnet. Le second, quant à lui, était à peu près identique sauf pour un aspect majeur : chaque acteur devait expliquer ses réactions dans le cas d'une telle attaque en étant sur que l'attaquant était justement l'autre.

No comment...

Source : 

lundi 23 avril 2012

Organiser sa LID - Seconde partie


Dans un précédent article, nous évoquions un RFC décrivant des procédures et des formats standardisés de message permettant aux organisation d'automatiser leurs échanges et d'améliorer réaction et coopération en cas d'attaques informatiques. Il s'agit de RID pour Real-time Inter-network Defense.

Le RFC 6045 formalisait ainsi des requêtes entre acteurs et opérateurs du monde de l'informatique et des réseaux permettant de mettre en place des mécanismes de défense plus efficaces. Dans cet article, nous évoquions également la spécificité des RFC et l'apport éventuel de ce type d'approche.

Le RFC 6545, objet de cet article, a comme l'auteur la même personne, toujours salariée de la société EMC. Mme Kathleen M. Moriarty est ainsi l'auteur de ces deux documents.

Selon l'auteur de l'analyse dont je m'inspire, ce document est au final une mise à jour du premier. Il est toutefois intéressant car il prend le "chemin des normes", un processus normatif donc amenant justement ce RFC à acquérir une réelle portée normative.

Ce document appelle quelques réflexions, notamment deux que voici :

- La structure des messages est très intéressante car elle est également révélatrice des problématiques des attaques informatiques modernes. La complexité de celle-ci et la difficulté à les exposer sont évoqués dans ce document. Cela implique des formats de message à la fois efficace mais pas forcément court, bien au contraire. Le document fournit d'ailleurs quelques exemples que l'on peut examiner.

On constate à la lecture que ces messages ne sont pas aisément déchiffrable par une lecture standard. Ils supposent des outils interprétant ces données pour leur donner toute leur portée. C'est un peu la force du système que de trouver un équilibre entre l'automatisation des tâches et la nécessaire analyse humaine que le système ne pourra fournir. On peut également considérer que ce document propose d'automatiser les tâches qui peuvent l'être afin de fournir plus de temps de réflexion et d'action efficace aux salariés impliqués dans la sécurité.

- L'envoi des messages est également un sujet intéressant. Dans le cadre d'une attaque détectée, il n'existe plus vraiment de confiance possible dans son réseau et ses systèmes. Il faut donc songer à disposer de moyens de communications avec les entités que l'on veut contacter qui soient fiables. Il faut assurer la confidentialité car les messages sont autant d'indices pour un attaquant sur sa détection, la fiabilité car ce dernier peut empêcher les messages RID et enfin, s'assurer de l'identité des auteurs et expéditeurs.

Tout cela appelle donc à une réflexion importante en matière de sécurité des systèmes d'informations et en particulier sur les procédures à suivre dans ce genre de cas. On doit songer aussi à tester l'efficacité de ces mesures qui ne doivent pas être découvertes lors de la crise. Enfin, le système RID s'insère dans un dispositif déjà existant : cela suppose donc une organisation mature voire d'une certaine taille et il dépend beaucoup de l'adoption par les autres entités. Au final, RID appelle donc à la création d'un éco-système de la sécurité, par une voie relativement technique, ce qui est effectivement un vrai défi.

Source : dans le texte

vendredi 13 avril 2012

L'activisme d'Howard Schmidt


Howard Schmidt est le coordinateur en matière de cybersécurité auprès du Président OBAMA. Sa tâche est ardue et sa nomination a été longtemps attendue. On mesure cependant mal les effets de ses activités au quotidien, ce qui peut s'expliquer par son rôle de coordination : les réalisations effectives sont à mettre au crédit d'autres entités. Il est possible de songer également à la multitude d'organisations publiques qui ont pour tâcher d'assurer une partie de la sécurité : sa tâche est réellement ardue.

Toutefois, deux articles récents ont attiré notre attention sur l'avancement important de plusieurs initiatives complexes qui sont, à mon sens, des succès : le lancement d'une réflexion sur la lutte contre les botnets et l'évolution du modèle de sécurité, sur son aspect "cyber", pour les industries de l'énergie.

Ainsi se sont réunis, dans le cadre d'un partenariat public-privé initié par M. Schmidt et son équipe, des représentants des entités qu'il serait souhaitable de voir associer à cette démarche. Il semblerait que ce soit la division "Secteur Public" de l'éditeur McAffee qui accueille et fédère ces participants. Parmi ceux-ci, se trouvaient : FAI, Vendeurs sur Internet, Fournisseurs de services sur Internet (moteur de recherche), avocats, activistes, associations de commerçants...

Parmi les objectifs que s'est fixé le groupe de travail se trouvent l'établissement d'une stratégie de lutte contre les botnets et un "arsenal" de mesures communes. Alors qu'aujourd'hui, la lutte contre ce type d'infrastructure malveillante se développe, il a été possible d'observer des actions lancées par des partenaires privées. Ce type d'action que nous analysions dans un article parait un dangereux précédent qu'il faut encadrer.

A cela doit évidemment s'ajouter une nécessaire dimension globale : on se rappellera que l'arrêt de certains distributeurs de spam n'avait causé des effets que relatifs sur la quantité produite. Quelques semaines après, le niveau d'émission revenait à son taux normal.

La seconde action médiatique de M. Schmidt est à chercher du côté des énergéticiens. S'il est une peur aux Etats-Unis, c'est bien les attaques informatiques sur les réseaux de distribution d'énergie dits "intelligent", les fameuses Smart Grid. Début janvier, nous évoquions justement le fameux modèle de maturité de sécurité de ce secteur.

Il semblerait que les travaux évoluent de manière rapide puisqu'une phase de test, basé sur le volontariat devrait être lancée et pilotée par le DHS devrait être lancée sous peu. Les procédures de recueil d'informations ont déjà été finalisées et on ne saurait oublier de rappeler ici l'évolution des procédures de partenariat public-privé que connaisse les Etats-Unis, notamment au travers du Cybersecurity Act of 2012.

La prolifération des activités, essais, mesures et réglementations que l'on constate aux Etats-Unis peut paraître étonnante. Alors que la mesure exact de leur niveaux de capacités et de compétences en matière de lutte informatique demeure très délicate, le pays a déjà prouvé qu'il était capable de très importants efforts lorsqu'un objectif était clairement établi, surtout si l'objectif est associé à la défense contre une menace. Plus que jamais, ces efforts doivent être suivis et compris si l'on veut percevoir l'évolution du domaine de la "cyber-sécurité".

Source : dans le texte