Sécurité des réseaux et des SI - Orange Business Services

L'OTAN a récemment ouvert en Estonie un centre de recherche en cyberdefense. Celui-ci devrait être constitué d'une trentaines d'experts Européens. Ce centre a pour mission de développer les techniques de protection et de lutte contre le cyber-terrorisme.

Cependant, il laisse  les  fonctions opérationnelles de gestion de crises ou d'attaques aux CERT (Computer Emergency Response Team) des différents pays. Cette décision fait suite aux attaques en DDoS qui ont ciblé l'Estonie en Avril et Mai 2007 et qui ont impacté directement l'économie du pays.

Certains experts indiquent que les incidents de 2007 auraient été provoqués selon des mécanismes et une organisation de type "guérilla" et non pas comme des actes de guerre cybernétique (ça crache comme expression.... ;-) ) de niveau étatique comme cela a été pu être évoqué.

En conclusion : Cela indique que le risque du cerber-terrorisme est en train de de "percer" au niveau des organisations politiques et militaires. Certains états comme les Etats-Unis ont d'ailleurs intégré cela dans leurs doctrines militaires et s'outillent dans ce sens. Attention donc, nous allons bientôt nous retrouver avec des képis... Garde à vous !

Dans ma note du 27 Mai « Données, protégez vous ! » je vous ai parlé de la sécurité de la données, comme d’habitude toutes les solutions techniques ou organisationnelles, butent sur le problème du « maillon faible » = l’individu. Je sais, je sais je rabâche mais l’annonce de la démission du ministre Canadien des affaires étrangères le 26 Mai me l’a violement rappelée. En effet ce brave ministre a reconnu avoir laissé des dossiers classés secret défense chez sa ravissante maîtresse. Sa maîtresse a un passé trouble et est en fait liée au milieu du crime. Deux de ses anciens amants sont des truands.

Cerise sur le gateau elle est présidente d'une entreprise de sécurité...

Aussi connu sous des termes comme SSO (Single Sign-On), le "saint Graal" qui voudrait que l'on puisse s'authentifier une seule et unique fois pour ensuite être reconnu automatiquement par un ensemble d'applications ou systèmes.

Malgré des initiatives comme celle de Microsoft PassPort, les Liberty Alliance ou de conglomérats divers et variés, on peut dire que la "sauce n'a pas pris" ou que le "soufflet est retombé"....

L'un des nouveaux venus est OpenID : Une technologie "ouverte" et n'ayant pas pour objectif d'accaparer la gestion des identités mais plutôt de normaliser les moyens d'interfaçage entre "consommateurs" (ie les sites ou applications) et les "fournisseurs/hébergeurs" (provider) d'identités.

Avec OpenID, choisir votre provider d'identité ne devrait pas poser trop de problèmes : D'un coté des acteurs comme  AOL, Google, IBM, Microsoft, Orange, Verisign ou encore Yahoo!. De l'autre : Vous-même depuis votre site web personnel ou celui de votre entreprise.

Les mécanismes de délégation disponibles sont eux aussi très intéressants car permettent de vous garantir simultanément stabilité et liberté. Pour les technophiles, OpenID s'appuie sur le très célèbre protocole HTTP.

Effectivement, avec OpenID, il n'y a pas de "grand gardien des clefs tout puissant" et c'est une très bonne chose lorsque l'on parle de gestion des identités. Pour en savoir plus : Un article du JDNet , la page de tags Technorati, OpenID ou encore LifeWiki, OpenID pour les plus courageux.

Il est désormais de plus en plus commun de  se connecter à Internet via des mécanismes de protection matériel ou logiciels : Une "Box" qui fait du NAT en sortie, via un firewall ou encore  un firewall logiciel tournant en local. Ceci a pour conséquence que votre machine n'est plus directement visible/joignable depuis Internet, donc plus directement attaquable via un service réseau actif présentant des vulnérabilités : Le mode "push" est donc en perte de vitesse et se voit supplanter par le mode "pull".

Dans le mode "pull", le chemin d'attaque c'est votre browser : Via une simple consultation d'une page web, un code malveillant est automatiquement téléchargé (Javascript par exemple) est une vulnérabilité du browser ou d'un plugin/greffon est exploitée ; avec à la fin une machine "infectée" par un Troyen, un botnet, un spyware, etc.... Ce chemin d'attaque est désormais un "classique". Pour exemple, ces derniers jours des attaques ont visées le lecteur Flash d'Adobe. Sont donc concernés tant les utilisateurs d'Internet Explorer que Firefox...

La solution ? Mettre à jour vos logiciels "annexes" (Quoi ??? Le "WindowsUpdate" ne suffit pas ?) car toutes les "extensions" des navigateurs sont concernées : Parmi les cibles des pirates, on retrouve (en vrac) Winzip, WindowsMedia, QuickTime, Flash, etc...

Encore un challenge que très peu d'utilisateurs "grand public" seront en mesure de relever.... Un  logiciel comme Secunia Personal Software Inspector peut donner un coup de pouce, reste qu'il faut le connaitre et l'utiliser...

Bref, les temps sont bien dangeureux. Sortez couverts : Un petit NoScript comme extension Firefox ou un "killbit" pour désactiver des extensions ActiveX dangeureuses sous Internet Explorer restent aussi des solutions envisageables.

Alors que j'écrivais sur la sécurité des logiciels OpenSource, je suis retombé sur le site de TippingPoint
On y trouve la liste des vulnérabilités, découvertes dans le cadre du "projet" TippingPoint, Zero Day Initiative, pour lesquelles aucun correctif officiel n'est encore paru. TippingPoint ne manque pas de rappeler au passage que les clients de son IPS sont bien évidemment protégés contre ces failles.

Il est toutefois frappant de trouver des vulnérabilités datant de plus de 400 jours avec un niveau de criticité jugé élevé associées à des grands noms tels que Microsoft, HP, Oracle... Ces failles peuvent être exploitées dans le but d'exécuter du code à distance par exemple et compromettre grandement la sécurité du système vulnérable.

On peut alors se demander qui des logiciels proprétaires ou des logiciels OpenSource sont les plus réactifs à corriger de telles failles de sécurité. Au jour d'aujourd'hui, où il existe un réel marché des vulnérabilités (exemple de TippingPoint toujours, en anglais dans le texte : "As a researcher discovers and provides additional vulnerability research, bonuses and rewards can increase through a loyalty program similar to a frequent flier miles program."), l'argument commercial d'un éditeur de solutions de sécurité comme un IPS est bien de démontrer sa capacité à protéger ses clients là où les logiciels défaillants n'ont pas encore trouvé de parades. Personnellement, j'aime bien l'idée de la carte de fidélité. Qu'en est il en revanche des anciennes vulnérabilités pour lesquelles un correctif existe depuis longtemps mais n'aurait pas été appliqué par le client? Sont elles encore dans les bases de signature, ...? Autrement dit, les solutions actuelles sont elles à même de les détecter? Le risque le plus élevé n'est peut être pas là où on le croit.

« La Commission européenne a appelé mardi les entreprises et autorités publiques à "largement employer" d'ici 2010 une nouvelle architecture internet, afin d'éviter une pénurie des adresses IP, nécessaires à tout ordinateur pour se connecter à internet. Bruxelles souhaite voir à cette date 25% des entreprises, administrations publiques et particuliers européens utiliser le protocole dit IPv6. »

Ce genre de nouvelle me fait plaisir, car elle me replonge dans ma jeunesse (ou presque), lors de l’annonce officielle de l’arrivée de l’IPv6 (1995...) tout devait changer, il fallait que les éditeurs (architecture, logiciel, OS, ..) passent immédiatement dans cette nouvelle version d’avenir sinon le réseau des réseaux serait rapidement en panne. On remarquera que dans la plupart des entreprises (privées ou publiques) l’IPv6 n’existe quasiment pas (exception de RENATER et quelques opérateurs). Un léger frémissement a eu lieu fin 2007 et début 2008 avec la décision de Free de proposer l’IPv6 aux clients dégroupés (décembre 2007) et en ce début d’année l’ICANN (en février) a mis de l’IPv6 sur la moitié de ses serveurs DNS racine.

L’IPv6 va enfin décoller ?!

Après une année 2007 chargée et un début 2008 prometteur (surtout en Angleterre), la perte de données semble un nouveau sport national. Quasiment aucun pays ne déroge à la règle. Que les entreprises soient privées ou gouvernementales toutes ont beaucoup contribuées à ce phénomène. Dans le monde actuel il est évident que les biens les plus précieux des sociétés sont les biens immatériels (fichiers client, propositions, tarifs, brevets, …), avec l’augmentation notable de la mobilité (ordinateurs portables, terminaux mobiles, …) il devient cruciale d’accéder à ses données en permanence et où que l’on soit. La sécurisation forte du périmètre de l’entreprise devient alors obsolète il faut aller plus loin. Les rachats sur 2007 et 2008 de société comme Onigma, Vuntu, Safeboot, … indique une forte tendance des éditeurs de solutions de protection du poste de travail à s’orienter vers celle de protection de la donnée. L’année 2008 sera-t-elle celle de la donnée ? je le pense, et vous ?

Je citais plus tôt dans la journée John Stewart, Chief Security Officer chez CISCO. Il aura donc été une grande source d'inspiration pour moi aujourd'hui car d'autres de ses propos relancent les débats autours des solutions antivirus. Selon lui, les entreprises gaspillent de l'argent sur certains processus de sécurité, comme l'application de correctifs et l'utilisation de solutions antivirales, qui ne fonctionnent tout simplement pas. Il a annoncé dans le cadre des conférences du AusCERT 2008 que "si les correctifs et les antivirus sont là où je dépense mon argent et que je continue d'être infecté, que j'ai encore à nettoyer mes ordinateurs, que j'ai encore besoin de les recharger, de récupérer les données utilisateur, de les ré-installer, le coût de toute cette équation est du gaspillage".

Selon lui, la solution viendrait dans l'utilisation de listes blanches où seuls les logiciels autorisés ou approuvés peuvent s'exécuter. Ce thème était également à l'honneur lors de ces conférences (cf Vous n'êtes pas sur la liste(blanche), vous ne pouvez pas entrer).

A titre personnel, je ne me sens pas encore prêt à dire au revoir à mon antivirus de poste. Même si cela ne constiue pas LA solution de sécurité, il me semble qu'il s'agit d'une de ses composantes au même titre qu'un HostIDS...

L'une des mutations les plus importantes du Web depuis ces dernières années concerne la montée en puissance des interactions inter-humaines globales via le Web 2.0 ; changements qui ont été facilités via la mise à disposition d'applications web de plus en plus riches et simples à utiliser.

De façon parallèle, le paysage de la sécurité a lui aussi évolué, les attaquants ont bien identifié les opportunités sous-sous-jacentes : Attaques de Cross-Site Scripting, Injections SQL, Cross-Site Requests Forgeries, Drive-by attacks pour n'en citer que quelques-unes.

La semaine dernière c'est tenu à Oakland en Californie un Workshop dédié à la sécurité du Web 2.0 et aux aspects connexes de protection de la vie privée (W2SP 2008: Web 2.0 Security and Privacy 2008). Cet évenement était sponsorié par le IEEE Symposium on Security and Privacy 2008.

L'ensemble des documents et papiers sont disponibles en téléchargement depuis le site du W2SP.

Il y a peu, une faille de sécurité jugée importante, touchant l'ensemble des versions d'OpenSSL disponibles depuis la 0.9.8c-1, soit septembre 2006, a été divulguée. Cette actualité relance les débats autours de la sécurité des logiciels OpenSource.
Si l'ouverture du code à la communauté permet sa relecture par un grand nombre d'individus, la quantité de relecteurs peut varier en fonction de la notoriété du projet. Il faut en outre pouvoir allier des compétences tant au niveau du langage de programmation utilisé qu'au niveau du domaine d'application du logiciel relu  (cryptographie, réseau, ...) afin d'obtenir une relecture efficace.
De plus, les logiciels OpenSource sont écrits en mode collaboratif la pluspart du temps, ce qui rend leur lecture plus complexe que celle des logiciels industriels soumis à des standards de programmation beaucoup plus drastiques en terme de formalisme, structuration...
Rappelons que la décourverte d'une faille par un individu ne lui impose pas plus d'en informer la communauté dans un contexte OpenSource que dans un autre contexte. Une telle faille, bien que détectée, ne sera pas corrigée et pourra continuer d'être exploitée.
Ainsi, le label "OpenSource" ne devrait en aucun cas être lu comme synonyme de code sécurisé. Code propriétaire ou non, la meilleure des assurances ne résiderait-elle pas dans les projets de "certification"? On peut alors mieux estimer les ressources allouées à la relecture de code ainsi que la cible de sécurité retenue. Début 2008, le rapport du projet OSH (Open Source Hardening Project) Coverity_White_Paper-Scan_Open_Source_Report_2008.pdf mettait en avant 11 projets OpenSource presque exempts de faille de sécurité. Ce projet a été lancé en mars 2006 par le département américain de la sécurité intérieure pour un budget initial de 300 000 dollars et confié à l'Université de Stanford et à la société Coverity. Cette étude de près de 10 milliards de lignes de code a ainsi mis en avant des tendances en terme d'erreurs les plus courantes ex: Déréférencement du pointeur NULL à 28%.

Le  « chercheur » Roberto Preatoni travaille avec Oneshield Security pour commercialiser un UTM (Pare-feu, antivirus, prévention DOS, …) intégrant les protections pour les vulnérabilités 0-days que sa société a : découvertes, achetées, vendues (rayer la mention inutile).

PS : comme quoi les télécoms mènent à tout…

PS2 : il faut que je me renouvelle pour les titres !

Le 20 Mai à Kuala Lumpur naissait IMPACT (International Multilateral Partnership Against Cyber-Terrorism). C’est la première alliance anti cyber terrorisme public-privé qui réunit 26 Pays (France, Etats unis, Russie, Japon, …) et plusieurs experts connus venues de différents milieux de la sécurité (Google, TrendMicro, Kaspersky, F-Secure, Symantec, mais aussi Maison Blanche, Université de Londres, …).

4 grands axes : Réponse globale, Coopération internationale et avec la police, Conférences et formations, et Centre de recherche.
Maintenant il n’y a plus qu’a attendre…
http://www.impact-alliance.org/default

En écrivant une petite compilation des faits marquants de ce début d’année, je suis retombé sur une nouvelle qui m’a fait réagir : « EtPedram Amini et Cody Pierce, deux experts en sécurité de TippingPoint ont pu grâce à du reverse engineering (ce n’est pas bien) identifier environ 25 000 ordinateurs zombies du botnet Kraken. Pour cela, ils ont intercalé un faux serveur auprès duquel les bots se procurent des instructions. »

Cela pourrait permettre, entre autre, de désinfecter les postes contaminés puisque l’on pourrait leur demander de se désinstaller… Par contre une telle opération obligerait à prendre le contrôle des ordinateurs et à les relancer, or des conséquences pourraient en découler. Nous sommes ici dans un dilemme plutôt pénible : sécuriser des machines via un moyen illégal.

Une telle chose a déjà été proposée il y a quelques années par Eeye société de sécurité très connue qui proposait de patcher une faille Microsoft utilisée par un ver par la même technique que ce dernier (utilisation de l’exploit quasi public). Il faut noter que ceci était réalisé sur un LAN et par l’administrateur du réseau et non pas sur des postes inconnus et non administrés. Idem un début d’année ou une rumeur circulait sur du patch par Microsoft via solution virale, cette nouvelle avait été démentie fermement par Microsoft.

Ceci ouvre beaucoup de discussions sur les lois et outils à utiliser pour contrecarrer les ‘méchants pirates’.

Le tout IP est une réalité : Le fax fait encore de la résistance mais est en perte de vitesse et a ses jours comptés. L'IP s'est ensuite attaqué aux communications vocales : Pour commencer, le secteur du grand public s'est mis aux Skype et Gizmo puis les box (elles sont pas des stars ces boites magiques ?) se sont misent à remplacer la bonne ligne téléphonique ; le tout avec une qualité croissante et des prix en chute libre ou intégrés dans le forfait mensuel.

Les entreprises ont suivi : Les projets de "Transformation IP" (ou "IP-Transformation" pour être plus "in") font désormais partie de toute roadmap de tout DSI qui se respecte. Toutes les grandes banques ont fait le pas, ou sont en train d'y passer. Ce qu'il y a d'intéressant c'est que nous sommes dans un contexte un peu particulier : D'un coté nous avons une nouvelle technologie extrémement séduisante sur de très nombreux points qui commence uniquement a être réellement maitrisée et fiable alors que d'un autre coté nous sommes encore au début de l'aventure pour ce qui concerne sa sécurisation. Quelques démarches sont en cours, pour preuve la Voice Over IP Security Alliance (Voipsa.org) qui aide à structurer le terrain.

Avertissement: Il s'agit d'un post pouvant faire réagir certains de nos lecteurs. Si vous avez des choses à dire, des réactions épidermiques ou autres poussées de fièvre : Lachez-vous (pas trop quand même, restons des gentilhommes ! ) ; vous ne ferez que défendre mon propos : La liberté d'expression.

Dans certains pays, vous ne pouvez exprimer vos idées si celles-ci vont à l'encontre de la "règle établie". Si vous le faites, les risques peuvent être grands tant pour vous-mêmes que pour votre famille ou vos proches.

Dans ce cas, les techniques de l'attaquant sont, selon moi, une juste réponse pour rétablir ce droit à partager vos idées ou à accéder à des informations prohibées. Le réseau Internet en Chine n'est pas le même que celui que vous connaissez : Merci au filtrage mené de main de maître par les institutions d'état. Etre blogueur dans un pays comme la Thaïlande ou l'Egypte peut être des plus dangeureux...

Comment et quelques outils utiliser pour partager et exprimer ses pensées ?

La sécurité des "box" Internet a été un thèmes assez récurrent cette semaine dans le weblog ; comme évoqué dans ce post ainsi que dans celui-ci, d'autres équipements utilisés quotidiennement peuvent eux-aussi être la cible d'attaques et devenir de terribles chevaux de troie. Notre propos ce matin portera sur les équipements d'impression en réseau.

Les imprimantes réseau, sont par définition connectées au LAN et sont devenues des systèmes proposant des fonctions de plus en plus évoluées comme par exemple passerelle fax, possibilité d'envoyer par email le scan d'un document sous format PDFà un ou plusieurs destinataires, bref plein de choses fort pratiques et que nous utilisons quotidiennement.

Ce type d'imprimantes visant principalement le marché des entreprises, les constructeurs ne sont s'y pas trompés (ou s'y sont mis suite à la "pression positive" de leurs client) et affichent leur stratégie de sécurisation de ces équipements. Sans faire une liste exhaustive, des informations sont disponibles sur les sites d'OKI, d'HP mais aussi de Xerox.

Aujourd'hui il existe au moins 4 certifications sécurité possible, petit tour d'horizon et commentaire.
Certification ISO-27001 : s’affirme de plus en plus comme une certification incontournable sur les marchés internationaux. Elle à l’avantage de mettre en place un suivi dans le temps de l’évolution du système de management certifié.

Certification IS0-15408 : La référence en matière de certification de produit et de service. Cette norme reste tout de même l’apanage de grande société car elle demande un investissement humain et financier important.

Certification CSPN : Nouvelle certification qui semble intéressante car light en terme de cout humain et financier. Elle reste tout de même spécifique au territoire Français et à son état.

Certification ISO 20K : même si elle n'est pas spécifique à la sécurité les chapitres 6.6 consacré à la gestion de la sécurité de l'information et le chapitre 8.8 gestion des incidents traite de ce sujet. Peut être une bonne entrée en matière, voir à conduire en parallèle d’une certification l’ISO 27001.

Avertissement préliminaire : cet article n'a pas pour but de polémiquer sur ce projet de loi, mais de se poser les "bonnes" questions techniques (et juridiques) que cela implique.

Un projet de loi va bientôt être déposé à la chambre avec pour sujet la riposte graduée au téléchargement illégal. Celui ci fait suite à la loi DADVSI, qui je vous le rappelle, si on la prend au pied de la lettre, rend illégale toute distribution standard Linux (La plupart des distributions Linux contiennent au moins un programme permettant de contourner les protections des DVD pour pouvoir les lire), et l'utilisation de logiciel peer to peer.

Comment doit fonctionner la riposte graduée, en restant général cela revient en trois points :

• L'utilisateur téléchargeant illégalement reçoit un courriel (un email en français)
• Si l'utilisateur continue à télécharger illégalement, il reçoit une lettre recommandée
• Si pas de changement de comportement coupure d'accès Internet pour un an.

La sécurité des "Box" est effectivement importante : C'est typiquement un équipement via lequel transitent tous les flux et qui est le premier point de contact avec le monde extérieur (que ce soit vis-à-vis de l'Internet mais aussi par rapport au "nuage WAN" d'un réseau MPLS privé). Pour compléter le tableau, ce sont des équipements sur lesquels on ne va pas tous les jours... sauf à être un administrateur réseau ayant des tendances compulsives. C'est très souvent l'équipement qui se trouve quelque part dans un coin et qui se fait oublier jusqu'au jour ou il tombe en panne ou qu'il faut le configurer pour activer une nouvelle fonction.

Quels grands principes adopter et quels outils pourraient nous faciliter la tâche pour améliorer notablement le niveau de sécurité de ces équipements ?

Je me remet environ 8 à 10 mois en arrière, dans le cadre de l'évaluation de la sécurité d'un équipement d'interconnexion client (En anglais CPE ou Customer Premises Equipement) ou plus communément routeur ou "Box Internet". Un audit de la sécurité de l'équipement avait été réalisé par OrangeLabs sur demande d'Orange Business Services. Parmi les choses remontées comme perfectibles, des manques au niveau de la vérification de l'intégrité du micrologiciel (ou firmware) de l'équipement avait été mis en avant. Parmi les propositions faites vers l'équipementier : Demande de mécanismes de vérification d'intégrité basés sur des checksums cryptographiques et pas un simple CRC comme c'était le cas si je me rappele bien.

Pour quoi faire, vous allez me dire ? Simplement s'assurer que votre super boite/appliance/routeur/borne wifi va fonctionner correctement ou ne pas être "backdoorée" par la droite, la gauche, etc... Que serait un PC sans OS (of course un Un*x) ou à défaut un bon Wind*ws ? A rien. Quels sont les risques ? A l'époque le panel des attaques était assez restreint, il a évolué depuis.

La DCSSI (Direction dépendant des Services du Premier Ministre) est chargée de proposer et d’expérimenter un processus de délivrance d’un label de premier niveau pour les produits de sécurité des systèmes d’information, la Certification Sécurité de Premier Niveau (CSPN).

Il s’agit d’attester que le produit a subi avec succès une évaluation par des centres d’évaluation agréés par la DCSSI, dans un temps et une charge contraints, conduisant à une certification.

Les travaux menés par les "centres d'évaluation" agréées par le DCSSI ont pour objectif de vérifier que le produit est conforme à ses spécifications de sécurité, à coter les mécanismes de façon théorique, à recenser les vulnérabilités connues de produits de sa catégorie et à stresser le produit en temps contraint.

Les produits évaluables sont classés selon les catégories suivantes:

  1. détection d’intrusions ;
  2. anti-virus, protection contre les codes malicieux ;
  3. firewall ;
  4. effacement de données ;
  5. administration et supervision de la sécurité ;
  6. identification, authentification et contrôle d’accès ;
  7. communication sécurisée ;
  8. messagerie sécurisée ;
  9. stockage sécurisé ;
10. matériel et logiciel embarqué.

Lien vers le site de la DCSSI :

http://www.ssi.gouv.fr/fr/confiance/cspn-pres.html

Bonjour, vous ne me connaissez pas, mais je suis votre nouveau maître. De mon bon vouloir dépendent toutes les communications de la planète. Vous me devez le respect, et surtout 15 Milliard d’Euros (le dollar ne vaut plus rien). Vous ne me croyez pas, d’un geste, je peux bloquer toutes communications sur un continent (séquence vidéo coupée au montage)… Ravi de la démonstration ?

Vous venez de voir (il faut un peu d’imagination) et d’entendre, non pas les cinq premières minutes du dernier James Bond, ni John « Die Hard » McClane 5… Pas du tout, ceci est juste une extrapolation de la vérité ; Vous ne me croyez pas, écoutez donc mon histoire…

Il était une fois un constructeur d’appareil de routage qui depuis déjà presque deux décennies dominait tellement ses concurrents qu’il représentait plus de 70% du marché… Vous connaissez cette histoire ?
Et si tous les routeurs de ce constructeur était équipé d’un rootkit destiné à offrir une porte dérobée pour faire ce à quoi le nouveau maître le destine ? Vous me direz, ce n’est pas possible, un rootkit est destiné à un système d’exploitation comme Unix ou Windows. C’est un programme pratiquement indécelable, destiné à prendre le contrôle de la machine. Le plus célèbre d’entre eux est le désormais fameux « rootkit Sony ». A l’impossible Sebastian Muniz chercheur à Core Security Technologies n’était pas tenu. Il l’a fait, et montré le 22 Mai à la conférence EusecWest. Ce n’est pas à priori une nouveauté (voir Blackhat 2005 et Mike Lynn), mais la preuve de concept est réalisée. Bizarrement cette nouvelle n’a pas eu d’écho dans la presse française. Pourtant la défense américaine a pris très au sérieux cette menace potentielle.

NDA : Ce rootkit n’est pas fait pour prendre le contrôle de l’IOS (pour cela, il existe une quantité impressionnante de programmes), mais une fois installé, il prend le contrôle total de l’appareil. Autre remarque, il peut fonctionner sur presque tout les IOS !

L'organisation sécurité mise en place pour "l'offre IPVPN" ce calque sur le modèle PDCA (roue de Deming) utilisé par les normes ISO-20K et ISO-27001 notamment.
Encadré par le Direction de la Sécurité cette organisation de décline de maniére schématique ainsi :

La phase Plan est confié à l'entité SSM qui assure entre autre la rédaction des politiques de sécurité,....
La phase DO est porté par l'entité NIS qui fournit les recommandations sur le Network Design Evolution et le Network Security Configuration.
Les phases Check et Act sont portés par des entités opérationnelles GER entre autre.

Sans les services de résolution de noms du DNS, gigantesque base de données distribuée, l'Internet ne serait pas ce qu'il est actuellement : Imaginez-vous en train de manipuler des adresses IP en lieu et place d'URL pour accéder à des sites web ? Non. Au sein des réseaux Intranet, on retrouve les mêmes systèmes avec des configurations un peu (plus) spécifiques comme celles de "Split-DNS" qui fournissent une séparation entre espaces de nommages (interne vs externe) et apportent une petite touche de sécurité.

Je passerai sous silence (pour cette fois) les serveurs DNS insécurisés qui sont détournés (cf DNS poisoning) ou utilisés à leur insu comme des moyens d'amplification pour des attaques en déni de service (On reparlera de ce sujet).

Mon propos : L'intégrité des informations fournies par un service comme le DNS est un élément essentiel pour la sécurité des communications. Allez consulter le mauvais annuaire et vous êtes mis en relation avec un interlocuteur indélicat qui va vous rançonner/extorquer/flouer/.... de multiples manières les plus habiles les unes des autres.

Pendant deux minutes, imaginez simplement la puissance d'une attaque basée sur l'usurpation des adresses IP associées à http://espace-client.monprovider.com ou http://www.mabanqueamoi.com/ .... L'URL dans la barre d'adresse du navigateur est "impeccable", j'arrive sur le site : Je rentre mon login et mot de passe... Et hop, s'en est fini... mon webmail vient d'être détourné pour l'envoi de spam ou alors je vient de perdre subitement 400 USD... Certains diront "Mais le certificat SSL ne va pas correspondre, donc pop-up à l'utilisateur".... Oui. Mais je leur répondrai : Que même si il y en a un, combien d'utlisateurs "classiques" ont le syndrome du "clic OK/Continuer instantané" ? Beaucoup mon général, beaucoup... Une attaque très puissante donc avec peu de chances pour un utlisateur même un peu averti de se rendre compte qu'il a été abusé.... donc du temps pour le "pirate" de se faire la malle avec son magot.

Comment cela fonctionne ? Simplement encore une fois : Un petit "malware" qui reconfigure les paramètres de configuration réseau de votre poste, un équipement d'interconnexion (routeur, ou autre "Box") à la sécurité défaillante qui, suite à la consultation d'une page malicieuse (Bruce Schneier, Drive-By Pharming attacks, February 2007) est reconfiguré à votre insu ou alors des serveurs DNS locaux compromis... Et la liste n'est pas exhaustive.

Mais que fait la police ? Elle préconise d'utiliser en lieu et place la version sécurisée du DNS, j'ai nommé DNSSEC. Est-ce déployé ? La réponse est non... Existe-t-il des services de DNS "sécurisés" ? Oui, bien sur. Business is business. :-)

Quel est le terme générique utilisé pour désigner ce type d'attaques : Le "Pharming". Wikipedia et plus généralement Google étant vos amis, je vous dispense de l'affront de vous donner les liens.

Comment se fait-il que je soit en train de rédiger un bulletin sur ce sujet ? Tout simplement que je suis tombé par hasard (?) sur un papier fort instructif : Corrupted DNS Resolution Paths: The Rise of a Malicious Resolution Authority, February 2008 (PDF).

Bonne lecture et bonne fin de journée à nos (très nombreux) lecteurs.

Vous avez toujours été un bon élève à l’école, pour la sécurité vous êtes très actifs. Vos serveurs et vos stations sont patchés régulièrement, votre firewall est parfaitement paramétré, vos signatures anti-virus sont à jour. Parfait. Et vous vous croyez protégé ? Grave erreur, je dirai même plus KOLOSSALE ERREUR (et je ne dirai pas fatale erreur, non je ne l’ai pas dit)… Vous n’êtes pas préparé aux nouveaux défis de la sécurité…

Le plus important des défis n’est pas le plus nouveau, mais personne n’a pourtant osé le défier : la sécurité des applications. Eh oui, tant qu’il y aura cette épée de Damoclès, pas de sécurité possible… Un petit buffer overflow, et hop… Toute l’infrastructure mise en place ne sert plus à rien. Et pourtant, il existe pas mal de méthodes de programmation « sécurisé », je suppose que presque personne ne les a lues (et même ceux qui les écrivent, voir les déboires de tous les éditeurs de logiciels). Tant que ce défi existe inutile de penser à autre chose, sauf au défi suivant qui est aussi important…

Imaginons que l’écriture de vos applications soit parfaite (on peut rêver), reste un autre problème fondamental : l’humain. « Si on ne peut attaquer la machine, attaquons le machin qui est derrière »(proverbe Hackien vingtième siécle). Un mot de passe évident, une un peu trop grande naïveté (social engineering), et c’en est fini de la sécurité, l’édifice s’écroule.

Après ces deux grands piliers fondamentaux, reste d’autres défis, qui paradoxalement font couler un peu plus d’encre journalistique (bizarre la vie ?). Les deux unes de la sécurité actuelles sont la sécurité du poste de travail, et la sécurité périmètrique.

La sécurité du poste de travail, en voici un beau numéro un qui est même parfaitement justifié (on ne sait pas faire de la sécurité applicative, et l’humain on n’en parle même pas donc faison ce que l'on croit savoir faire). En tant que bon élève, votre anti-virus poste est toujours à une heure près parfaitement à jour, c’est bien… Sisi, j’insiste beau boulot, dommage que cela ne serve à pas grand-chose. Comment je suis méchant ? Voyons, il existe plus de un million de signatures de malwares dans la nature, et vous pensez que votre anti-virus les reconnait tous ? Si vous avez un peu de temps faites ce test, les virus/troyens/keyloggers sont comme les logiciels du commerce et ont des numéros de version incrémentales. Essayez de mettre/installer une version de malware vieille de trois quatre ans, et attendez… Comment, il ne se passe rien ? Vous n’avez donc pas de virus présent sur votre machine… Pas de problème… Et surtout, ne croyez pas au certification de virus, ils ne prennent pas en compte les codes non répliquants (Or 75% des nouvelles attaques proviennent de troyen « stériles »). Le seul moyen serait de contrôler tout processus présents sur la machine, comme un Host IDS sait le faire. Mais, il est vrai que mettre au point ce type de logiciel requiert beaucoup de temps. Et encore… Le contre exemple est celui d’un browser Internet. A l’heure actuelle, la plupart des sites ne se contentent pas de simple HTML, mais possèdent des scripts ; Et c’est là que le bas blesse. Nous avons l’équation script égal programme, et comme ce programme s’exécute au sein du browser… Un IDS, même bien programmé, peut ne rien y voir… L’idéal étant donc de bloquer les scripts sur les sites non connus.

Le second de ce top sécurité est la sécurité périmètrique, le recordman de nombre d’années de présence dans ce hit-parade. On a longtemps cru que la sécurité logique se traitait comme la sécurité physique, et qu’il suffisait de sécuriser le périmètre de la société (c'est-à-dire, ces point d’accès vers l’extérieur), d’où le succès des firewalls, IDS, et autres. Je ne sais pas si vous lisez la presse, si vous l’aviez lue, vous auriez vu que au hasard, une grande banque, une société de consultant, une grosse administration ont perdu leur ordinateur portable contenant (bien sûr, sans cela, ce ne serait pas drôle) des données confidentielles. Toute l’artillerie lourde mise en place qui coûte chère (non, j’évite la répétition…)… Et vous croyez que je suis méchant, alors il y a plus méchant que moi (ne craigniez rien, je vais bientôt le surpasser), Joshua Corman IBM ISS déclare un peu partout « Croire à la défense périmètrique, c'est comme croire au Père Noël ». Vivement le 25 décembre, que je lui dise bonjour (Il est évident que le père Noël existe, hein ! non ?).

D’autres défis existent, comme croire qu’acheter un produit de sécurité, et le brancher cela suffit. Tout produit de sécurité exige un paramétrage au besoin métier de votre entreprise, sans cela c’est un leurre. La recherche de la conformité peut aussi l’être, dans le sens, qu’aucune norme n’est parfaite (j’adore enfoncer des portes ouvertes), et le fait d’être conforme ne vous protège pas de tout.(Et en plus, vos attaquants potentiels connaissent vos méthodes de protection).

Pour nos lecteurs à la recherche d'informations sur des sujets de fond et variés, la publication "IEEE Security & Privacy" editée par le "Computer Society" de l'IEEE est un petit moment de bonheur auquel vous pouvez vous abonner.
Comme je suis lancé, dans la série des publications de l'IEEE Computer Society vous trouverez l'incontournable "Computer Magazine" mais aussi Spectrum ou encore "IT Professional". Des lectures qui vont au dela de la sécurité. Si je devais donner une mention spéciale elle irait à Spectrum... Je vous laisse découvrir cela et vous souhaite une bonne et agréable nuit. :-)

PS: Pour dormir l'esprit encore plus tranquille, allez jeter un oeil sur le "SANS Internet Storm Center", ou la "météo sécurité du Net". Une source d'information d'un très bon niveau avec une mise à jour à minima quotidienne, bref encore une source d'informations à intégrer (si pas déjà le cas) dans votre lecteur de flux RSS.

Dans le cas d'attaques en DDoS (Distributed Denial of Service), les adresses IP sources des paquets sont soit fantaisistes (aléatoires ou très-trop dispersées) ou alors bien réelles. Dans le premier cas, le ou les attaquants ont "forgé" les adresses IP sources des paquets alors que dans le second cas il n'en ont que faire car ils s'agit de machine de type "'zombies" de moindre valeur.

Le spoofing des adresses sources est un classique.... Même si cela fait quelques bonnes années que des bonnes pratiques (cf RFC 3013) existent sur le sujet cela est très rarement mis en oeuvre dans la vraie vie par les ISPs et opérateurs....

Mais qu'en est-il ? Quels sont les réseaux qui bloquent les paquets contenant des adresses "spoofées" ? Quel est le comportement de votre fournisseur ? A quel niveau cette vérification est-elle effectuée ? Est-il possible d'avoir une vision consolidée sur le sujet ?

Un (début) de réponse à ces questions est amené via un projet du MIT appellé "Spoofer Project". Outre l'aggrégation des données, vous pouvez télécharger des outils de tests pour tester votre connexion Internet.

PS: A noter que les chiffres sont à prendre avec des pincettes car à la date d'aujourd'hui seul un peu plus de 12.000 tests ont été réalisés.

Forte actualité CNIL ce mois-ci.

La Cnil réclame son indépendance financière

La Cnil veut initier les réseaux sociaux au respect de la vie privée

Enfin
La Cnil était fermement opposée aux modalités du passeport biométrique
BONNE LECTURE

La conférence SSTIC 2008 se déroulera à Rennes les 4/5/6 Juin.

Pour ceux qui n'ont pas eu de place nous vous ferons un retour sur les interventions.

Lien SSTIC : http://www.sstic.org/SSTIC08/info.do

Dans la mouvance des club ISO-27001 de Paris et Toulouse il a été décidé par un ensemble d'intervenant sécurité Rennais (expert sécurité OBS notamment) de créer un club ISO-27001 sur Rennes.

L'objectif du club ISO-27001 et de discuter et d'approfondir des points de la norme ISO 27001 sous la forme de présentations.

Des invités pourront être conviés à présenter des outils ou des méthodologies provenant d'autres normes et applicables ISO-27001.

Les membres (ou pas) du club se réunion 3 à 4 fois par an. Ces rencontres se dérouleront à la CCI de Rennes. La première réunion se déroulera courant juin (date non fixé).

Je ne sais pas si vous êtes comme moi, mais j'ai l'angoisse de l'écran noir, ou plutôt comme on disait au siècle dernier de la page blanche. Voilà, c'est fait, Le blog de sécurité existe, et je l'ai rencontré, il mesure 51 cm, 4 Kg, et a déjà toutes ses dents.
Arrive maintenant un nouveau problème, que dire ?
Suis-je bête, nous allons vous parler de la sécurité, avec une approche, je l'espère, un peu différente.

Comme tout le monde, nous allons avoir des éditorialistes nombrilistes (surtout votre serviteur), des nouvelles neuves (enfin presque, disons des bonnes occasions), des rubriques récurrentes, et même la rubrique des chats écrasés, chez nous, cela s'appellera « qui a piraté l'ordinateur de Madame Michu », la gendarmerie enquête....
Nous allons vous parler sécurité d'une façon générale, en se concentrant sur la sécurité informatique, et celle des télécommunications...

Je m'interromps, mon chien aboie...
Wouf wouf wouf wouf... Ou plutôt veut parler, à ce qu'il me semble... wouf wouf, pardon, j'avais oublié que vous humains ne comprenez pas notre langage évolué. Je vais donc parler votre langage. J'interviens, car mon maître oublie qu'il n'existe pas une, mais des sécurités. En tant que berger allemand, je suis un spécialiste de la sécurité physique, du gardiennage. Et la sécurité, n'en déplaise à mon maître, c'est aussi cela... wouf.

C'est vrai, mon chien a raison, comme d'habitude, lorsque l'on parle de sécurité, il faut aussi parler de sécurité physique, mais aussi de la sécurité organisationnelle, des personnes, et aussi des biens... C'est aussi un des gros problèmes de la sécurité, le traitement d'un problème, nécessite des compétences techniques, mais aussi humaines et organisationnelles. Comme bien souvent cela a été le cas par le passé, la résolution d'un « incident » sécurité se résolvait par une approche techno centrique, genre je mets un firewall, un anti virus, et c'est bon. Or, les statistiques ne se trompent pas (ou presque) plus de 80% des problèmes de sécurité viennent de l'intérieur, alors à quoi sert un firewall d'accès à Internet dans ce cas ?
Il faut avoir une approche de la sécurité globale pour l'entreprise, en sachant tout d'abord ce qu'il faut protéger, quels valeurs ont ces biens, à quel risques sont ils soumis ?, etc.... Il faut aussi sensibiliser les employés à la sécurité, ceci est primordial pour éviter l'ingénierie sociale, ou social engineering dans la langue de Shelley.
La sécurité, c'est tout cela, et nous allons tenter d'en parler.

PS : Miaou Miaou ... Traduction automatique : Je ne vais pas comme le chien, m'abaisser à parler comme vous, mon maître traduira. Je suis un siamois, et mes arrière arrière arrière grand parents étaient employés par les cambrioleurs à la fin du 19^e siècle, début du 20^e, à crocheter les serrures, nous sommes naturellement doués pour cela. Mais nous avons su évoluer, et aujourd'hui, c'est sur Internet que j'exerce mes activités. J'essaierai de vous montrer comment détourner les anti virus, les firewalls, et autres IDS dans le futur, si mon maître me le permet. Au fait, je n'ai pas du tout apprécié la rubrique des chats écrasés, je préfère celle des chiens écrasés.