Sécurité des réseaux et des SI - Orange Business Services

A la lumière du développement de certaines affaires (Zataz) et de certains de vos commentaires, il convient de faire un point sur ce que pourrait être « faire de la sécurité » ou « être expert sécurité » à l’heure actuelle. On s’aperçoit (mais n’est ce pas le cas depuis toujours)que la limite est floue entre le bon côté et le côte obscur de la sécurité. Quelle différence entre un pirate et un expert des tests d’intrusion ?

La virtualisation revient sur le devant de la scène au travers des fournisseurs de solutions ainsi que des conférences qui lui font la part belle, à l'image des 2008 RSA Security Conference. Revenons rapidement sur les bénéfices que peuvent apporter la virtualisation en terme de sécurité.

Les gains en terme de disponibilité sont les plus facilement identifiables. Dans un contexte virtualisé, un serveur et ses données correspondent à un fichier sur le système hôte. Il est donc aisé de remonter un serveur, même à infrastructure physique différente. La sauvegarde est assimilée à une simple copie de fichier, et les mises à jour peuvent être caricaturées à l'aide de trois actions : cloner, mettre à jour, remplacer. Enfin, la création/suppression de serveurs virtualisés peut se faire sans intervention en salle machine. Selon Mike Danseglio, Microsoft program manager, si une machine Windows est infectée (rootkit, spyware avancé, …) il faut tout supprimer et installer un nouveau système. Virtualiser rend l’opération plus facile, abordable et rapide. Il faut toutefois garder à l'esprit un certain nombre de points de vigilence. L'infrastructure physique concentrant l'ensemble des machines virtuelles peut rapidement constituer un "Single Point of Failure". Les impacts sur l’administration (plus de compétences nécessaires...), la gestion du changement, le HelpDesk… sont autant de points qu'il faut évaluer en détail avant de se lancer dans la virtualisation de tout ou partie de son infrastructure.

Miaou, miaou, miaou, miaou, mia [Traduction automatique] Vous me reconnaissez, je suis Sami le siamois, comme mes ancêtres spécialistes de l’intrusion physique, je me suis spécialisé dans l’intrusion logique des systèmes. Il s’agit d’une occupation où il faut moins donner de sa personne. Cela tombe bien, j’aime beaucoup dormir. Je profite que mon maitre tourne le dos pour vous parler un peu d’un de mes outils favori.

Que nous parlions de SCAMs (soit disant héritages demandant une assistance pour sortir les fonds illégalement dans le but d'obtenir des informations bancaires), ou autres lotteries dont nous sommes tous les gagnents, voire escroqueries sous toutes leurs formes (billets noircis...), les arnaques ne manquent pas sur le net.

Si souvent il suffit d'un peu de jugeotte pour détecter le risque, avec le phishing par exemple, les personnes inexpérimentées peuvent tomber dans le piège et ainsi divulguer leurs données d'accès de leurs comptes bancaires ou les informations liées à leur carte de paiement.

Afin de lutter contre ces mauvaises pratiques, notre Ministre de l'Intérieur, Michèle Alliot-Marie, a annoncé ce mercredi 7 janvier 2009 le lancement d'un vaste plan anti-escroqueries du net en partenariat avec eBay et la Fédération Bancaire Française.

Ce plan, dont le contenu est disponible ici, permet même à tout un chacun d'effectuer des signalements par l'intémédiaire du formulaire en bonne et due forme, ou d'un numéro de téléphone (0 811 02 02 17).

Ce plan explique aussi, par des exemples concrets, comment se présentent ou se passent ses cas classiques d'arnaques afin que nous puissions tous mieux comprendre et éviter ces situations.

« Si on écrivait un article pour présenter nos vœux, déjà que l’on est passé à côté du conte de Noël, alors… ? »… Stupeur, dans le comité de rédaction virtuel du blog, des regards anxieux s’échangent, car tout le monde redoute déjà la prochaine question. « Bon, qui s’y colle ? ». « Tu sais, j’ai un appel d’offre à rendre ». « J’ai un audit pressant à faire ». « Je viens de me rappeler que je dois faire une présentation ». « Je ne peux pas, j’ai piscine »…. « Bon, je me dévoue ».

Suite à mon dernier article portant sur le "in-session phishing" et alors que rédigeait une note de cadrage relative à un programme de sensibilisation tournant autour du thème de la sécurité des applications, je me suis dit qu'il était opportun de (re)-partager avec vous quelques techniques de protection disponibles pour les heureux utilisateurs de Mozilla Firefox.

Parmi l'une des dernières extensions que j'ai assez récemment installé, RequestPolicy est assez intéressante : Cette extension bloque par défaut toutes les requêtes en provenance d'une page vers des domaines ou URL n'appartenant à la page d'origine.

Ce Mercredi 14 Janvier, plusieurs milliers de sites Internet hébergés par GoDaddy.com ont été inaccessibles durant plusieurs heures de la journée [1] [2]. Les raisons de cette indisponibilité sont simples : Les plateformes de cette société spécialisée dans l'enregistrement de noms de domaines et l'hébergement de sites web ont été la cible d'attaques en DDoS (Distributed Denial of Service ou Déni de Service Distribué).

Seuls les sites web auraient été impactés : Les services de messagerie et de de noms de domaines (DNS) n'auraient pas soufferts.

Coté communication, la confusion aurait été visiblement assez importante.

Les attaques de hameçonnage (phishing) utilisent généralement le mail comme vecteur d'attaque : L'attaquant envoie des messages usurpant l'identité et le look&feel d'une banque ou autre organisme afin d"inciter les personnes peu soupçonneuses à cliquer sur un lien ; ce dans le but de collecter des informations personnelles de connexion.

L'une des variantes, connue sous le terme de "spear-phishing" se base sur le même principe de fonctionnement (envoi d'un mail avec un lien) mais vise une population de personnes plus ciblée ; donc avec potentiellement plus de victimes à la clef...

La créativité et l'adaptabilité aidant, une nouvelle technique baptisée "in-session phishing" vient d'être identifiée par des experts en sécurité de la société Trusteer. Au vu des informations à ma disposition, celle-ci serait d'une efficacité redoutable... Son principal défaut est quelle repose sur un ensemble de facteurs que l'attaquant ne maitrise pas totalement. Elle n'en reste pas moins des plus pernicieuse.

Je vous propose d'en découvrir les principales caractéristiques.

Ces dernières années, les attaques en déni de service (DDoS) sont devenues l'un des moyens les plus aisés pour rendre inaccessible l'accès à un site Internet. Les réseaux de machines zombies réparties sur la surface du globe sont l'arme de prédilection de ces attaquants d'un nouveau genre.

Les cibles d'attaques sont diverses et variées. Auparavant il s'agissait principalement de casinos en ligne, de journaux en ligne ou encore de sites gouvernementaux ou encore de groupes de lutte contre le spam.

Depuis quelques temps, se sont les sites indexant les fichiers (films, musique, logiciels) disponibles sur les réseau de partage en Peer-to-Peer (P2P) qui doivent encaisser ces assauts d'un nouveau type.

En septembre 2008 [1] le tracker Norvégien Norbits a été la cible d'attaques en DDoS. L'attaque lui a été finalement fatale car son hébergeur, agacé de voir l'ensemble de ses activités impactées à chaque incident, a finalement décidé d'arrêter de l'héberger [2]. Ces attaques seraient dues à des groupes de personnes spécialisées de la scène warez agacées par le succès du P2P

Plus récemment, c'est le tracker isoHunt qui a fait les frais d'une attaque en déni de service de niveau applicatif.

Commençons par poser le décor : Vous travaillez dans une grande entreprise spécialisée dans le domaine des systèmes managés de gestion (genre ERP ou autre truc bien critique).

Vos clients, principalement des grandes entreprises du CAC40 (banques, assurances, industries, ...) ont sélectionné les services de votre entreprise pour ses services performants, à un prix compétitif et une  position de leader sur le marché offrant des gages de confiance et de pérennité sans équivalent (ou presque).

Parmi les enjeux, il y a ceux de la sécurité du système. Certains de vos clients demanderont à regarder sous le capot et d'autres se satisferont d'une déclaration d'intention ou d'une impression générale de qualité acquise au fil des ans. Normal, vous êtes le ou l'un des leaders sur ce type d'application... et c'est bien connu, le leader sait recruter les meilleurs compétences, construire les meilleurs services et proposer les meilleurs garanties.

En tant que responsable sécurité vous avez la dure et délicate responsabilité de sécuriser le système d'information interne ainsi que les plateformes de service utilisées pour les services vendus.

Hélas, tout n'est pas rose. Et de loin : Les équipes en charge du développement de cet ERP sont réticentes à intégrer vos recommandations visant à sécuriser le système.

Creusons un peu le sujet pour savoir jusqu'où peuvent allez les choses. Bienvenue dans le monde des bisounours où tout le monde est gentil et où les incidents n'arrivent qu'aux autres (Wikipédia, Bisounours : Le terme est passé dans le langage courant pour désigner un individu aux idées exagérément naïves ou candides).

Note: 95% du contenu de ce post reflète la réalité : J'ai volontairement omis certains détails (les 5%) pour protéger la vierge et l'innocent. Effectivement, j'ai été amené à rencontrer ce type de situations dans des  contextes divers et variés. Je pense que vous y retrouverez un peu de votre expérience/vécu personnel...

Progressivement abandonnés dès 2007, les DRM à base de chiffrement ont poursuivi leur déclin au cours de l'année écoulée. Tout du moins dans le monde de la musique numérique. En effet les quatre grandes maisons de disques (EMI, Universal, Sony BMG, Warner) ainsi que leurs distributeurs (iTunes, Amazon, FnacMusic, VirginMedia, etc...) se sont enfin débarrassés des DRM, en profitant parfois de l'opération pour faire gonfler les prix.

En parallèle plusieurs organisations s'étaient engagés à expérimenter des solutions de filtrage (comme les FAI signataires de l'accord Olivennes: Orange, Free, Numericable, etc... ou à l'échelle internationale les membres de l'UGC Principles).

Ces solutions doivent permettre d'identifier une oeuvre numérique parmi un catalogue. Par exemple pour vérifier qu'une vidéo déposée par un utilisateur sur Youtube ou qu'un morceau de musique téléchargé depuis un réseau p2p ne sont pas protégés par des droits d'auteurs. Ce filtrage est aujourd'hui possible grâce a des DRM utilisant des technologies encore peu connues du grand public: la prise d'empreinte numérique (fingerprinting) qui ne modifie pas les fichiers et le tatouage numérique (watermarking) qui lui les modifie mais de manière imperceptible. La première solution est déjà utilisée par Dailymotion, Myspace, Canalplus ou France Televisions. La seconde est surtout déployé à grande échelle pour la télévision hertzienne mais s'installe progressivement sur la télévision IP. Moins coercitives que les DRM à base de chiffrement ces technologies plus discrètes permettront-elles enfin d'imposer l'utilisation de DRM pour les oeuvres numériques ? Permettront-elles enfin d'imposer un filtrage permanent d'Internet, comme se plait à l'imaginer la RIAA ?

Finalement permettront-elles d'introduire insidieusement une once de régulation sur Internet comme certains le souhaiteraient ? Citation: "Il est temps, mes chers collègues, que se réunisse un G20 du Net qui décide de réguler ce mode de communication moderne envahi par toutes les mafias du monde."

rédigé par Douhine Davy
Ingénieur Réseau et Sécurité

Tout "bon" professionnel dans la sécurité des système d'information devrait vous le dire : La sécurité est avant tout une affaire de personnes. Le meilleur des firewalls du marché déployé ou administré par une personne peu ou insuffisamment compétente fournira qu'un sentiment de sécurité relative.

Quand l'on pense "personnes sécurité", on pense immédiatement à celles ayant des compétences spécialisées ou pointues dans le domaine de la sécurité. Celles-ci sont souvent (mais pas tout le temps) à des postes clefs comme RSSI, CSO, Administrateurs sécurité, auditeurs, etc...

Une autre catégorie de personnes, moins connues mais néanmoins essentielles, sont celles que l'on qualifie comme "la bande", le "réseau", le "on" ou encore les "mens in black" :-).

Ces personnes sont en fait le Monsieur ou la Madame "tout-le-monde" n'ayant pas de mission sécurité en tant que tel dans l'organisation mais qui sont des sources ou relais d'informations de très bonne qualité et des personnes essentielles pour "sentir le terrain" et "coller à la réalité".

Qui sont ces personnes ? Pourquoi un responsable sécurité se doit de développer et d'entretenir un tel réseau ? Quelles recommandations, conseils ou astuces pour développer ou entretenir ce type de réseau ? Petit retour d'expérience.

De prime abord, l'affaire est plutôt cocasse : Le site Internet du Tribunal de Grande Instance de Bonneville aurait été la cible d'attaques informatiques et permettrait le téléchargement de films et logiciels piratés...

On pourrait se dire que les auteurs de ce méfait (doublement répréhensible par la loi) ne manquent pas d'humour et n'ont pas froid aux yeux : Chatouiller les doigts de pieds d'un géant peut être dangereux.

A la lecture des différents articles parus ici et là, je suis allé consulter cet après-midi le fameux site pour me faire une idée et je m'attendais à trouver un site "officiel" tout neuf tout propre. A ma grande surprise, ce n'était pas le cas.

Étrange pour un site appartenant à la sphère gouvernementale et bénéficiant donc de l'attention de personnes très compétentes dans le domaine de la sécurité des systèmes d'information. Bizarre, bizarre.

Pour faire simple, je dirai que nous n'avons pas eu affaire à une intrusion mais plutôt à un concours de circonstances.