N° 328 | FÉVRIER 2000 |
	La question de la sécurité informatique occupe Hervé Schauer depuis 1985, lors de ses premières échauffourées avec des pirates. En 1989, il fonde un des tout premiers cabinets spécialisés (Hervé Schauer Consultants) et travaille avec des organismes de recherche ou liés à la défense. En 1991, à une époque où Renater n'est encore qu'un projet, il signe avec le Centre national des études spatiales (CNES) un premier contrat exclusivement consacré à la sécurité sur Internet. Depuis, la Commission européenne (désormais Union) ou Hydro-Québec, par exemple, lui ont confié leur sécurité. Il est également animateur de l'Observatoire de la sécurité des systèmes d'information et des réseaux. Le Web, et encore le Web La fin prochaine des firewalls La sécurité sur Internet a longtemps été symbolisée par les murs pare-feu (firewalls). Devant les limites de cette approche, c'est l'ensemble du réseau, tant au niveau des protocoles, des systèmes de cryptographie que des routeurs, qui doit prendre en charge le problème. La Recherche : Comment définiriez-vous la sécurité sur Internet ? Hervé Schauer : La première idée qui vient souvent à l'esprit à propos de sécurité, c'est la protection des numéros de carte bancaire échangés sur le Net. Elle n'est qu'une illustration de ce qu'on appelle plus largement la protection des échanges. Mais plus important encore est, à mon avis, la protection contre les intrusions ou le trafic non voulu. Celle-ci nécessite de différencier un intérieur d'un extérieur, de définir un périmètre, une partie du réseau sur lequel une société souhaite exercer son contrôle. Surgissent immédiatement au moins deux problèmes. Tout d'abord, les sociétés souhaitent généralement permettre un accès de l'intérieur de leur périmètre vers l'extérieur, tout en empêchant l'inverse. Mais dans la réalité technique, toutes les communications sont bidirectionnelles. Ensuite, toutes les entreprises ont besoin d'avoir, visibles de l'extérieur (sur Internet), des services qui vont interagir directement avec le coeur même de leur système d'information. Le meilleur exemple en est le système bancaire et la consultation de comptes, ou le transfert d'ordres boursiers. Aujourd'hui, la difficulté à définir exactement et à gérer un large périmètre amène à sécuriser un grand nombre de machines. En raisonnant en termes de serveurs, le problème se simplifie, mais je ne connais pas de société qui ait réussi à sécuriser sur le long terme plus de 5 % de ses serveurs. C'est pourquoi la solution est d'appliquer, globalement, la sécurité sur tout le réseau. Est-ce là le rôle d'un firewall ? Attention, un firewall (mur pare-feu) n'est pas un objet précis. Un routeur ou un commutateur sont des boîtiers électroniques aux fonctions définies, comme orienter des données. Pas un firewall. Ce terme appartient au vocabulaire marketing et est dépourvu de réalité technique. Il recouvre un ensemble de fonctions, effectuées aujourd'hui, en général, par différents équipements, dont ceux cités plus haut. Ces fonctions sont pour l'essentiel le filtrage IP, c'est-à-dire un filtrage en fonction de l'adresse IP qui identifie l'expéditeur et le destinataire de l'information ; le contrôle des contenus, par exemple vérifier qu'il n'y a pas de virus ; enfin la journalisation, c'est-à-dire l'enregistrement de ce qui se passe, qui s'est connecté, quand, pour quoi faire... Les offres commerciales classiques de firewall regroupent souvent ces fonctions sous la forme d'un logiciel à installer sur un serveur. Elles sont appelées à disparaître. En effet, les routeurs et les commutateurs prennent en charge toujours davantage de fonctions. D'autres sont assurées directement par les protocoles de transfert eux-mêmes, que ce soit IPSEC (IP sécurisé), ou bientôt IPv6 (voir l'article de Patrick Cocquet p. 40). Ils vont probablement rendre caduque l'utilisation des firewalls pour la protection des serveurs à l'intérieur des réseaux. Quelles sont les principales difficultés ? Quand on audite une société, on constate que les firewalls sont souvent mal configurés. Il y a des trous partout. En effet, ce qui fait la sécurité, ce n'est pas tant la qualité de configuration initiale que la manière dont elle évolue : sa mise à jour. Ainsi, quand une nouvelle application est ajoutée, il faut la rendre conforme aux exigences du reste du système. Quand une autre est supprimée, il est nécessaire de bien vérifier que les trous ont été colmatés dans le système de sécurité. En fait, parce que les contraintes de l'exploitation et de la sécurité sont opposées, le niveau de sécurité a toujours tendance à baisser au cours du temps. Le facteur déterminant est donc plus humain que matériel ? Oui. Le problème est que les personnes compétentes sont rares. Dans une entreprise, elles sont rapidement très sollicitées, et manquent de temps pour s'occuper de la sécurité. Or il faut des gens qui se consacrent exclusivement à l'administration des systèmes. Certaines entreprises choisissent donc d'externaliser. Mais confier sa sécurité à une autre société, qui peut gérer avec la même équipe la sécurité d'une entreprise concurrente, avec des gens qui sont eux-mêmes en régie d'une autre société, n'est pas une décision dénuée de problèmes. Clairement, la qualité du suivi est beaucoup plus importante que le prix des produits. Il existe ainsi un grand nombre de logiciels libres qui sont d'une très grande qualité technique (en particulier l'excellent Nessus). Hormis le matraquage mercatique, il n'y a souvent pas de réelle justification à acheter des produits très chers. A l'heure où l'industrie réalise que, dans certains cas, il est plus intéressant de se procurer des logiciels libres, il est donc assez surprenant que le monde du « public » (y compris le CNRS) en soit à acheter des logiciels de sécurité. Passons maintenant à la sécurité des échanges. Le gouvernement français a autorisé depuis mars 1999 le chiffrement de messages à l'aide de clés à 128 bits. Qu'est-ce que cela change ? La limite de 40 bits posait problème dans la mesure où elle n'offrait qu'une protection bien insuffisante puisqu'elle est crackable depuis plusieurs années déjà. Bien sûr, une autorisation générale aurait été préférable... Il y a ainsi beaucoup de gens qui travaillent avec un code, dit en triple DES, en 168 bits. Tout un ensemble de produits sont donc encore soumis à la législation habituelle de demande d'autorisation. Quoi qu'il en soit, le chiffrement est la seule protection contre le système Echelon. Celui-ci désigne le réseau mondial de surveillance mis en place par la NSA, la DST américaine et ses partenaires au Royaume-Uni, en Australie, au Canada et en Nouvelle-Zélande. Echelon serait en mesure d'intercepter les communications tant téléphoniques qu'Internet, dans le monde entier. Il s'agit non seulement de se prémunir de quelques individus mal intentionnés, qui procèdent par défi ou par ennui, mais de puissances qui ont développé un système d'espionnage industriel d'une ampleur inégalée. Dans la même veine, il faut noter que les Etats-Unis investissent aujourd'hui dans les sociétés de sécurité européennes, ce qui pose également des problèmes de confidentialité. Les clés à 128 bits assurent-elles une sécurité suffisante ? C'est un fait que les calculs ont toujours surestimé le temps nécessaire pour casser les codes secrets. En général parce qu'ils ont négligé le fait que certains algorithmes étaient fortement parallélisables. Ce qui est sûr aussi, c'est que les chercheurs qui travaillent sur le décryptage sont bien plus nombreux que ceux travaillant sur le chiffrement. A ce propos, il est intéressant de noter que la NSA emploie à elle seule plusieurs centaines de mathématiciens. Ce qui donne une idée des enjeux. Mais il est difficile de savoir exactement ce qu'ils ont les moyens de faire. Par ailleurs, un problème largement sous-estimé est la manière d'intégrer la cryptologie dans les programmes de chiffrement. De nombreuses petites entreprises qui se sont lancées dans la commercialisation de tels logiciels ont fait des erreurs. Non pas dans les algorithmes cryptographiques eux-mêmes - ils représentent 1 % du code -, mais dans le reste du programme. Plusieurs versions plus tard, les logiciels sont toujours imparfaits, et il est encore facile de passer au travers. Quant au système des clés publiques, qu'en pensez-vous ? C'est un système extrêmement prometteur. Il repose sur l'association de deux clés. La première est publique, elle sert à chiffrer un message. La seconde est secrète, elle seule permet de déchiffrer le message codé avec la clé publique. Les infrastructures de clés publiques (PKI pour Public Key Infrastructure) s'organisent autour d'autorités d'enregistrement qui authentifient les clés publiques et délivrent des certificats, en quelque sorte des cartes d'identité informatiques. Alors que les techniques de clés publiques sont déjà utilisées pour sécuriser les échanges, elles pourraient l'être également pour protéger des périmètres. Il existe ainsi déjà des certificats pour serveurs (leur adresse commence par https, s pour sécurité). On peut tout à fait imaginer des certificats clients, c'est-à-dire l'identification de postes précis et donc de leurs utilisateurs. Alors qu'aujourd'hui, on filtre les accès en fonction des adresses IP ou du contenu, on peut penser qu'un jour on saura filtrer sur des certificats. Le problème est qu'il faut s'accorder sur une norme. Actuellement, il en existe plusieurs. Propos recueillis par Olivier Blond SPÉCIAL INTERNET ENTRETIEN