 |
|
||
| You are here: Home > Resources > Articles > 2002, the year of all challenges |  |
 |
|
|
|
||||||||||
|
|||||||||||
|
|||||||||||
|
|||||||||||
|
Éditorial
On ne peut guère parler de l'année 2001 sans évoquer ce qu'il est désormais convenu d'appeler les évènements du 11 septembre. La vague d'incertitude qui en a résulté a en effet affecté l'ensemble des pays développés, renforçant l'attentisme des décideurs et aggravant une situation économique déjà précaire. Contrairement à ce qui avait été précipitamment déclaré par certains analystes financiers, ce drame n'a pas eu d'effet dopant sur le marché de la sécurité informatique des systèmes et réseaux. En effet, le commerce électronique, qui avait été l'un des principaux moteurs de la sécurité, a malheureusement aussi entraîné cette dernière dans sa chute. La période durant laquelle chaque grande banque était à l'origine de plusieurs bourses en ligne, et donc d'autant de projets de sécurité, est belle et bien révolue. C'est désormais le règne quasi sans partage des réorganisations, rachats, et autres fusions. La frénésie de réduction des coûts à court terme après les années de largesse ne laisse guère de chance aux prestations en sécurité, généralement considérées comme superflues. Mon sentiment est que, en ce qui concerne le marché de la sécurité, le 11 septembre a surtout fait prendre conscience de l'importance des plans de continuité. Ainsi que l'a déclaré Jean-Laurent Santoni lors de l'assemblée générale du Clusif : "Le problème n'est pas de se demander ce qu'il peut arriver ? Car tout peut arriver, mais plutôt comment continuer l'activité quoiqu'il arrive". Les analyses de risques permettaient d'établir des plans de secours viables, il convient dés lors de réaliser quels sont les vrais enjeux : l'organisation de la sécurité doit évoluer et les responsables d'entreprises doivent intégrer la sécurité informatique dans leurs responsabilités au même titre que les accidents du travail. L'industrialisation des méthodes de la sécurité s'inscrit dans cette nécessaire évolution, mais rend omniprésente la norme anglaise BS7799, qui devient alors une cible au lieu d'être un des guides de bonnes pratiques en matière de sécurité. D'un autre coté, les aspects techniques restent sous-évalués et la sécurité des réseaux IP n'est pas toujours suffisamment intégrée à la conception de ces réseaux comme dans la politique de sécurité des entreprises. Les vers Code Red et Nimda résultent de la monoculture, mais ont souvent mis à jour des lacunes dans la gestion des correctifs de sécurité d'une part et dans la gestion des incidents d'autre part. Très à la mode, les réseaux sans fil se multiplient sans contrôle, et donc sans sécurité. Ce sont ainsi des milliers de PME qui sont vulnérables, ce que des tests menés à Paris avec l'équipement adéquat suffisent à démontrer. Ces réseaux utilisent des bornes mal réglées, et ne fonctionnent jamais en configuration sécurisée. Dans ces conditions, quelles sont les responsabilités des vendeurs et installateurs de ces équipements ? Le nouveau protocole de l'Internet en entreprise est aujourd'hui HTTP, autorisé par les firewalls des entreprises. Les risques inhérents à cette situation peuvent être illustrés par deux phénomènes d'importance croissante : le détournement d'HTTP par les utilisateurs dans les entreprises, et la migration de l'EDI vers HTTP. En effet, les employés utilisent de plus en plus l'accès Internet par HTTP des entreprises pour exporter leur messagerie d'entreprise, leur agenda partagé et même leurs fichiers. Cette année certains responsables de sécurité ont ainsi découvert que leur politique de sécurité était contournée par des utilisateurs qui géraient leur messagerie hors de l'entreprise sur des portails dédiés. Quant à la migration du monde EDI/X400 et son explosion à venir avec la formalisation des échanges en XML, elles nous apportent de nouveaux protocoles, tous encapsulés dans HTTP, et pouvant donc contenir des commandes et du code mobile. En conséquence, de nouveaux risques de dénis de service, de falsification, d'usurpation d'identité, apparaîtront probablement dans les prochains mois. L'année qui a commencé s'annonce donc comme riche de challenges pour le monde de la sécurité. Pour vous aider à mieux appréhender ce domaine en perpétuelle évolution, le guide des acteurs du marché français est complété par le panorama de l'actualité en sécurité, un guide pour choisir un fournisseur de services d'infogérance, un lexique, ainsi que par les listes des associations, revues et manifestations en sécurité. Nous vous souhaitons à tous un bon salon Infosec 2002.
Panorama de l'actualité en sécurité Février 2001 - février 2002
Comme tout exercice de style, le choix des événements marquants de l'année ne prétend ni à l'exhaustivité, ni à la neutralité absolue. Les sujets retenus offriront au lecteur un panorama indépendant lui permettant de mieux appréhender les évolutions à venir.
L'observateur attentif dans ce domaine aura détecté ce qui s'annonce comme une évolution majeure. En effet, afin de faciliter la gestion des réseaux et de leur sécurité, les fournisseurs de boîtiers commencent à développer des produits intégrant des systèmes de gestion. Ces nouveautés permettent de soutenir l'expansion des réseaux en visant à simplifier la gestion de réseau : gestion des configurations, de la sécurité, de la qualité de service, etc.
Le recul permet de constater que la crise s'est révélée un terrain fertile pour les rachats et autres fusions. En effet, nombreuses sont les sociétés qui, quand elles n'ont pas fait faillite, ont vu leurs difficultés financières s'aggraver considérablement. Ainsi Cashware, filiale de Thales, a fermé sa filiale CSP5 pour assainir ses finances. Matranet, intégrateur du FW Gauntlet et se battant sur le marché très concurrentiel des appliances et VPN intégrés aux FW, a dû mettre la clé sous la porte de sa filiale aux USA et dit "se recentrer sur la sécurité ". L'intégrateur Neurocom n'a quant à lui pas réussi à boucler son dernier tour de table et a donc dû se résoudre à mettre en vente sa filiale NetSecureSoftware pour espérer récupérer des fonds. ICS-Sign, le plus discret des tiers certificateurs français a dû se mettre hors circuit. Enfin, Baltimore, affecté par l'absence de décollage du marché des PKI, a mis en oeuvre des mesures drastiques de restructuration.
Mais, parallèlement aux annonces des entreprises en difficulté, celles de rachat prolifèrent. EADS-Telecom a ainsi repris les actifs Matranet et compte poursuivre la commercialisation des produits de ce dernier. Thales Secure Solutions ramène dans son panier les sociétés Experlan (Intégration de produits de sécurité), Global Control (Infogérance), ainsi que Neurocom, à l'exception de sa filiale NetSecureSoftware qui doit prendre son indépendance. Devoteam rachète quant à lui XP-Conseil à IB-Group pour renforcer son offre de conseil dans le domaine de la sécurité des systèmes d'information. Depuis l'élimination de Thawte, son principal concurrent, Verisign conforte sa place de leader de la fourniture de certificats. Sa stratégie passe par de nombreuses acquisitions. Dernière en date à tomber dans son giron, la société CyberCash, dont l'offre s'articule principalement autour de logiciels de payements et de vérification pour les payements de toute nature, notamment par carte de crédit. De son côté, l'opérateur poids lourd des télécommunications d'entreprise Colt a jeté son dévolu sur Apogée Communications et son offre de services et d'intégration en sécurité. Le marché des PKI continue à se structurer, et RSA rachète Securant, qui propose des logiciels de gestion centralisée des authentifications et droits des utilisateurs (Communiqué de presse de RSA : http://www.rsa.com/go/securant/). Dans le domaine des firewalls, Sonicwall a racheté Redcreek. Enfin, ActivCard a récupéré Safe Data Card, ce qui permettra une continuité chez les clients : http://www.safedata.com/ ou http://www.activcard.com/activ/newsroom/press_releases/070501_us.html
Toutes les sociétés ne cherchent cependant pas des acquéreurs, et nombreux sont les acteurs du marché ayant levé des fonds : Intranode, Netcelo, Solsoft, etc. Notons dans ce contexte le succès d'Openreach, société d'infogérance de tunnels IPsec. Elle a en effet reçu 31 millions de dollars pour assurer son développement dans un secteur où la concurrence entre nouveaux venus et opérateurs historiques se développe (communiqué de presse d'Openreach : http://www.openreach.com/press/funding_pr.htm).
L'ADSL étant désormais largement répandu, les offres sécurité n'ont pas manqué de se développer autour. France Telecom, qui accorde des services d'infogérance de FW avec ses services liaisons louées (Global Intranet, FT Oleane, Equant), intègre désormais des offres d'infogérance de firewalls à ses coffrets ADSL : Oleane Turbo DSL et Wanadoo
Netissimo 2. Jusqu'à présent, FT ne fournissait que des filtres simples dans le modem ADSL ; il s'agit désormais d'un service plus complet avec un FW-1 mutualisé chez Oleane et un anti-virus Trendmicro. Cette offre, très tardive sur le marché, devrait cibler les PME-PMI.
L'absence de câble ne met pas les réseaux sans fil GSM à l'abri des inconvénients et dangers des réseaux traditionnels. Ainsi, lors de la convention BlackHat à Amsterdam, Job de Haas, membre d'une société néerlandaise de conseils en sécurité, a fait la démonstration d'un déni de service sur les téléphones Nokia 6210, 3310 et 3330, en envoyant un message SMS mal formé aux téléphones. La marque aurait depuis publié des versions corrigées de son système, mais elles n'ont cependant pu être trouvées sur leur site Internet.
Dans une optique similaire, les messages électronique non sollicités (SPAM) pourraient être interdits dans les réseaux sans fil aux Etats-Unis. Cela s'appliquerait notamment aux messages SMS. De façon plus générale, il apparaît que le développement des accès sans fil à Internet favorise dans de nombreux cas le contournement des politiques de sécurité d'une entreprise. Les méthodes et solutions varient. Voici l'une des possibilités pour ignorer ces systèmes de protection : l'utilisateur décide d'utiliser son téléphone/PDA ou son PDA/ordinateur portable comme système de travail, en étant connecté au Web par un moyen de type GSM auprès d'un opérateur. Il installe sur son PC de bureau un logiciel fourni par son opérateur, soit par un CD-ROM, soit en le téléchargeant sur Internet. Ce logiciel fait dès lors office de passerelle avec le système central de l'opérateur, en utilisant l'accès à Internet disponible à tous dans l'entreprise. De cette façon, l'utilisateur passe outre tous les systèmes de sécurité mis en place par celle-ci pour l'accès à distance (authentification, contrôle d'accès, etc.) et pour l'accès à l'Internet (contrôle d'accès, contrôle de contenu, etc.). Grâce à son accès Internet sans fil auprès du système de son opérateur, il peut accéder à sa messagerie interne à l'entreprise, à son agenda, et même aux fichiers qui sont sur son PC de bureau. Cet accès sans fil permet d'avoir un système unique, commun à son entreprise et à d'autres accès personnels (messagerie, agenda), accessible en toutes circonstances partout.
Dans un réseau d'entreprise, un tel système constitue une forme de porte dérobée similaire à celles utilisées par les virus et les pirates. Il convient donc de bien apprécier la facilité avec laquelle les gens peuvent "encapsuler" l'ensemble de leurs échanges dans HTTP, et ainsi contourner la sécurité. À la lueur de ces développements, on ne saurait trop recommander aux responsables IT de veiller à conserver la maîtrise de tous les clients dans l'entreprise et d'appliquer un contrôle d'accès et de contenu dans HTTP, avec une mise à jour des requêtes HTTP et leur analyse pour détecter le type de logiciel incriminé.
Pour aborder ce vaste domaine, on aura à coeur de revenir sur l'affaire des faux certificats qui, si elle s'estompe des mémoires, reste pourtant symptomatique de certaines lacunes. Rappel des faits : Verisign (propriétaire de Tawthe France et principal actionnaire de Certplus) a émis deux certificats de signature de code pour Microsoft, certificats qui n'avaient pas été demandés par Microsoft. Les 29 et 30 janvier 2001, un inconnu se faisant passer pour un employé de Microsoft a acheté chez Verisign deux certificats de signature de code de classe 3. Le nom associé à ces certificats est "Microsoft Corporation". Les certificats de classe 3 sont les plus forts délivrés par Verisign (leur énoncé des pratiques de certification (CPS = Certificate Practice Statement) se trouve sur http://www.verisign.com/repository/CPS/CPSCH2.HTM#_toc361806951). Une fois en leur possession, l'inconnu peut désormais envoyer du code de toute nature signé avec ses certificats, trompant la grande majorité des utilisateurs qui, croyant ce code réellement supervisé par Microsoft, l'exécuteront sans crainte. Il s'agit donc d'un risque majeur si l'usurpateur utilise effectivement les certificats qu'il a obtenus. Bien entendu, Verisign a révoqué ces deux certificats. Cependant cette liste de révocation (CRL = Certificate Revocation List) n'est d'aucun secours, car les certificats de signature de code de Verisign n'indiquent aucun moyen de récupérer une liste de révocation (pas de CRL Distribution Point). Microsoft a dès lors suggéré des correctifs de tous ses logiciels depuis 1995 pour intégrer localement, en dur, la liste de révocation de ces deux certificats. En attendant, ils proposent de supprimer le certificat racine de Verisign. L'avis du CERT propose quant à lui de télécharger la CRL sur http://crl.verisign.com/Class3SoftwarePublishers.crl (il faut la sauver sur son disque - l'ouvrir ne sert à rien, cela ne peut pas s'installer en l'ouvrant -, puis click bouton droit dans l'explorateur : installer la CRL). Malgré cette affaire, le marché des PKI, même s'il n'a pas tenu toutes ses promesses, est loin d'être enterré. De nouveaux acteurs arrivent en effet en France, avec notamment beTRUSTed, tiers de confiance privé de PricewaterhouseCoopers, qui utilise la technologie Entrust, et propose de l'infogérance de PKI, et le suédois Addtrust qui propose les mêmes services. La société Cashware, filiale du groupe Thales, prend son envol avec un centre d'opération sur plate-forme Solaris et le support de la plupart des technologies de PKI du marché (Entrust, Baltimore, etc.). À noter que Cashware a également lancé une certification téléTVA pour concurrencer Certplus dans l'infogérance des PKI des établissements délivrant des certificats pour la téléTVA, mais ne concentre pas son activité dans ce domaine. Mais, d'un autre côté, Entrust ferme sa filiale en France, à l'instar d'autres acteurs majeurs de la sécurité, comme F-Secure, et le secteur de Baltimore, qui revend la PKI, est en difficulté, malgré son leadership technologique sur Identrus dans le domaine bancaire. Le marché offre encore peu de projets de PKI dépassant le stade du prototype : il ne décolle donc pas. Il apparaît donc plus judicieux de se développer sur le service autour de la certification : infogérance, aide en ligne à tous les niveaux, etc., comme le font ou le feront les plates-formes d'intermédiation. Dans ce contexte, les PKI ouvertes, poussées par les pouvoirs publics, représentent encore la grande majorité des projets actuels en France. Un exemple récent : les tribunaux de commerce envisagent de délivrer dans le cadre des frais de création d'entreprise un certificat au créateur. Pour en savoir plus :
La conférence "Mise en oeuvre des ICP : retours d'expérience", organisée par le CLUSIF, a permis à quatre acteurs ayant participé au déploiement d'une infrastructure clé publique (ICP) à différentes étapes clés du projet, de faire part de leur expérience. En premier lieu, Bertrand Sevellec (Integris) a succinctement présenté la part de la composante PKI
dans l'architecture Bull eSentry, plate-forme d'accès à des applications depuis un Intranet ou Internet, issue de Bull et utilisée chez Bull dans son exemple. L'architecture eSentry ne requiert qu'une seule et unique authentification, via un serveur WebSSO et l'utilisation de certificats X509. C'est un mécanisme de type Single Sign On (SSO) dans un environnement PKI, présenté au CLUSIF lors de la conférence SSO. Dans un tout autre registre, Dominique Manenc, de la société Certplus, a dressé un panorama du marché des prestataires de services de certification, des rôles que ces derniers pouvaient tenir, ainsi que des pôles économiques susceptibles d'émerger, ventilés suivant les trois grandes catégories suivantes :
Au final, il apparaît que la mise en place d'une ICP doit suivre une logique métier, et non une approche purement technologique. Il n'y a pas d'élément probant de retour sur investissement, à moins d'infogérer. Il conviendra de noter que c'est une application comme TéléTVA qui aura sauvé économiquement, à court terme du moins, le marché des fournisseurs de services de confiance. Il ne faut cependant pas négliger les nombreux freins au déploiement d'une telle infrastructure : manque de jurisprudence pour la signature électronique, projets souvent à la croisée des chemins technologique, juridique et marketing, manque de maturité des offres du marché (qu'il s'agisse des produits en termes de compatibilité notamment, ou des acteurs dont l'expérience est essentiellement bâtie autour de projets pilotes). Malgré tout, les réussites existent, comme le service d'horodatage/estampillage de la Poste, ou l'infrastructure mise en place par le ministère des Finances pour les télépaiements. La problématique est cependant sensiblement différente de celle à laquelle sont confrontées les entreprises : il ne s'agit pas d'imposer une nouvelle organisation ou de remodeler son système d'information. Reste que les utilisateurs doivent suivre et en faire usage !
Enfin, Jean-Pierre Chabaneix a présenté la mise en place d'un projet pilote d'ICP à la SNCF, en relatant essentiellement son expérience en sa qualité d'utilisateur d'une telle infrastructure. Un usager comblé par l'introduction de systèmes à base de cartes à puce, technologie simplifiant la gestion des mots de passe grâce à une unification des méthodes
d'authentification. Une simplification d'autant plus appréciable qu'elle concerne aussi bien l'administrateur que l'utilisateur final.
Cette conférence aura permis de rappeler la fragilité économique de l'activité d'infogérance des PKI, l'importance des aides publiques dans leur soutien, ainsi que la difficulté à trouver des applications concrètes et déployées. Pourtant, en décembre 1999, Renault présentait déjà à l'OSSIR sa propre ICP, utilisée avec des applications dédiées par ses revendeurs, et comptant 40 000 utilisateurs authentifiés dans plus de 100 pays, et 200 applets signées. Pourtant, depuis ce premier déploiement en France, les tentatives de présentations d'expérience d'utilisateurs ne trouvent guère que des exemples de projets pilotes.
3COM et Secure Computing ont cette année annoncé un nouveau produit. Celui-ci repose sur l'utilisation dans les cartes Ethernet de 3COM d'un système de filtrage Ethernet intégré qui n'avait jusqu'alors jamais été exploité. Dans le cadre d'un projet financé par la DARPA du département américain de la Défense (DoD), 3COM a étendu ce filtrage à un mini firewall embarqué dans la carte Ethernet, et Secure Computing a présenté à RSA 2001, à San Francisco, un logiciel de gestion du filtrage IP des cartes Ethernet 3COM, permettant de déterminer des règles par PC (ou par utilisateur). Ces cartes Ethernet supportent 10 règles de filtrage IP sans perte de performances, et en supportent jusqu'à 60. Elles gèrent aussi l'anti-spoofing. À chaque démarrage de l'ordinateur, ce dernier va alors consulter son serveur de contrôle pour mettre à jour sa politique, et ce de manière sécurisée. Un tel produit, indépendant du système d'exploitation, concurrence le filtrage IP que Microsoft a instauré dans Windows XP, mais pourrait proposer une meilleure assurance du contrôle d'accès du PC sur le réseau. Il ne faut cependant pas perdre de vue qu'il suffira à l'utilisateur récalcitrant de changer de carte réseau, et que les ordinateurs portables sont désormais livrés avec des cartes Ethernet 10/100 et Ethernet sans fil (Wi-Fi / IEEE802.11b) en standard qui ne sont pas des 3COM (exemple : Toshiba Tecra). Il convient donc de garder à l'esprit que le contrôle d'accès sur le PC ou dans la carte Ethernet du PC reste complémentaire du contrôle d'accès déployé dans le réseau, qui demeure l'élément fondamental.
Le communiqué de presse chez 3COM : http://www.3com.com/corpinfo/en_US/pressbox/press_release.jsp?INFO_ID=2002706
Les assureurs intègrent les risques informatiques dans des polices multirisques. C'est pour cela qu'il qu'il n'est plus possible de les isoler dans les statistiques de sinistres de l'Association française des compagnies d'assurance. Devant l'impossibilité d'avoir des chiffres avec un sens, le CLUSIF n'avait donc pas publié de chiffres depuis 1996. Entre-temps, une enquête sur la sinistralité informatique a été menée par le cabinet CMV Conseil, sous la direction de Pascal Lointier, vice-président du CLUSIF. Celle-ci conclue notamment que, du côté des assureurs, la tendance est d'exclure les virus et les pertes de services essentiels des polices d'assurance. Pourtant, sur l'exemple concret de "Love Letter", il n'y a eu aucune déclaration de sinistre en France, contre 10 en Allemagne, où il existe beaucoup de polices d'assurance couvrant spécifiquement ce type de risque dans l'informatique. Cela relativise l'importance actuelle du coût des virus pour les assureurs, et montre que la crainte du marché de l'assurance n'est pas encore justifiée.
L'enquête du CLUSIF a été réalisée grâce à cinquante entretiens individuels dans les grands comptes, et auprès de 400 PME de 10 à 1 000 salariés, par téléphone et télécopie. Ce qui frappe est la très faible connectivité des entreprises qui ont répondu : un peu plus de la moitié seulement ont un site Web public et 40 % une messagerie généralisée ! La moitié ont un responsable sécurité identifié. Mon expérience personnelle m'incitait à considérer que la plupart des gens avaient des firewalls et qu'ils étaient généralement mal gérés, mais les chiffres obtenus par le CLUSIF font apparaître q'un quart des entreprises interrogées déclarent un accès généralisé à l'Internet sans aucun firewall. La conclusion du
CLUSIF est que les entreprises craignent plus les risques médiatisés, en décalage avec les risques réels en termes financiers, et que les technologies Internet/Intranet sont peut-être à l'origine d'une fragilité nouvelle.
S'il subsistait encore un doute, le rapport du parlement européen sur le système d'espionnage Échelon l'a définitivement levé. Il dévoile les dessous de ce système complexe qui a certainement permis aux États-Unis de se livrer à un espionnage industriel à grande échelle. Mais ce rapport limite les écoutes d'Échelon à des écoutes satellites. Ce qui contredit d'autres sources non vérifiables faisant état de liens terrestres à la base d'écoutes terrestres, liens situés sur des noeuds de transit de réseaux chez les opérateurs ou très proches des opérateurs installés à Londres, Washington, etc. Échelon a été dévoilé au grand public, des rumeurs ont fait état de portes dérobées dans le code de Windows et de PGP. C'est maintenant le FBI* qui a reconnu utiliser des vers/chevaux de Troie pour récupérer des clés de chiffrement à l'insu des utilisateurs : un programme baptisé "Magic Lantern ". Une technique complémentaire du réseau Échelon puisqu'elle permettrait de récupérer les clés nécessaires au décryptage des données "volées" par celui-ci. * Restreints à la mort de John Edgar Hoover en 1972, les pouvoirs du FBI ont été notablement augmentés sur décision du secrétaire d'État à la justice américain (qui et quand ?).
Une des tendances lourdes de l'année 2001 a été la recrudescence des attaques du code mobile. Sircam, Code Red, Nimda ou encore Goner, pour n'en citer que quelques-uns, sont les vers qui ont pendant quelques temps attirés sur eux les feux de l'actualité. Sircam est un ver utilisant le logiciel Microsoft Outlook pour envoyer des messages de manière automatique à toutes les personnes présentes dans le carnet d'adresses. Ces mails incluent des fichiers présents sur le disque dur, ce qui signifie l'envoi d'informations des plus anodines aux plus confidentielles. Code Rouge s'introduit quant à lui dans le serveur Web Microsoft IIS et s'active plus tard pour lancer des attaques en déni de service sur d'autres sites. Mais Nimda est peut-être celui qui a le plus marqué l'année écoulée. En effet, si aucune vulnérabilité nouvelle n'est à la source de ce dernier, l'une de ses originalités réside dans la diversité de ses techniques de propagation entre machines infectées et cibles. En effet, contrairement à un Code Red ou Blue qui concentre ses attaques sur des vulnérabilités propres au serveur Web de Microsoft IIS, Nimda, en se limitant à un mode de transmission de serveur à serveur, accélère considérablement son déploiement en mettant à profit de manière combinée de nombreuses failles d'IIS, du navigateur Internet Explorer et de Microsoft Outlook, impliquant ainsi les postes des utilisateurs dans l'infection générale. L'auteur de Nimda a opté pour les modes suivants de transmission du ver : de poste client infecté vers le serveur Web IIS, de serveur Web IIS à navigateur Internet Explorer, par courrier électronique, utilisant une faille du logiciel Outlook, par volumes partagés, éventuellement en utilisant une faille de Microsoft Office 2000. Comme nous allons le voir, les conditions de chaque infection sont loin d'être novatrices, mais cette variété dans les méthodes de propagation garantit la rapidité de la généralisation du ver à tout le réseau. Elle assure aussi la contamination d'une manière ou d'une autre des environnements peu surveillés, rarement à jour, construits essentiellement autour de logiciels de surcroît naturellement vulnérables, et qu'il est enfin difficile de tenir vraiment à jour tant les problèmes sont fréquents. Les différentes formes d'attaques perpétrées depuis une machine infectée par Nimda ayant été largement décrites dans tous les avis de veille en sécurité des organismes spécialisés, nous ne ferons que rappeler brièvement leurs caractéristiques, à titre d'information. Une machine infectée tentera systématiquement de contaminer une plage d'adresses plus ou moins aléatoire, sans se soucier de la nature de sa cible (client ou serveur, IIS ou autre). Ainsi, le ver peut engendrer malgré tout des situations de déni de service sur des réseaux sans produits vulnérables. Au regard des attaques par déni de service, il est possible de citer l'exemple de Steve Gibson, de Gibson Research Corporation, qui a subi durant le mois de mai une attaque en déni de service réparti*, par un enfant de 13 ans. On lira ainsi avec profit le compte rendu détaillé rédigé par Steve Gibson sur la façon dont il a découvert, contré et géré cette situation, ainsi que son avis sur la question : http://grc.com/dos/grcdos.htm.
* Les dénis de service répartis apparaissent également dans deux présentations sur le Web d'HSC :
Domaine en perpétuelle évolution, la sécurité des systèmes et réseaux fait depuis quelques temps déjà l'objet de diverses tentatives de normalisation, pour une bonne part initiées par les pays anglo-saxons.
L'un de ces projets, qui connaît déjà une certaine notoriété est celui de la norme anglaise BS7799. Celle-ci est composée de deux parties. La première, BS7799-1, propose des recommandations et a été soumise à l'ISO dans une procédure de "fast track", pour éviter les commentaires. Elle est passée à une seule voix près, sachant que la Suède n'a voté le "oui" que du bout des lèvres. Quoi qu'il en soit, la conformité à un document de recommandation n'est pas vérifiable. Seule la conformité à la deuxième partie de la norme, soit BS7799-2, l'est vérifiable. Mais cette partie n'a pas été soumise à l'ISO et le BSI britannique indique qu'il n'a pas pour projet de soumettre cette partie à l'ISO. Sans cette deuxième partie, la norme n'est pas vérifiable. Or, au sens normalisé, une norme ISO ne peut exister que si la conformité à celle-ci est vérifiable. En conséquence et jusqu'à nouvel ordre, la BS7799 est une norme ISO bancale.
L'année 2001 a également vu fleurir les projets de label orientés sécurité, pensés notamment comme un moyen de développer la confiance sur laquelle repose le commerce électronique. L'ACSEL, née de la fusion de l'AFCEE avec l'AFTEL, a ainsi publié un document de neuf recommandations dans ce sens. S'il faut reconnaître un certain mérite à cette idée, la prudence reste de mise. Les outils et techniques actuels ne permettent en effet en aucun cas de garantir un niveau de sécurité d'un site de commerce électronique en rapport avec un label. Ainsi, aucun label reconnu n'a encore vu le jour.
La norme ebXML est un successeur aux normes actuelles d'EDI. Elle est composée d'une collection de spécifications dans tous les domaines, démultipliant les possibilités d'échanges dématérialisés entre les entreprises par le simple envoi de messages XML sur HTTP ou SMTP sur Internet. La norme est basée sur des composants objets, avec toutes les caractéristiques des objets, y compris avec des répertoires (ou entrepôts) pour découvrir les objets disponibles. Le modèle vient du métamodèle UMM réalisé par UN/CEFACT (Nation Unies). Le standard XMLEDI est construit pour l'intersectorialité, alors que EDIFACT était conçu à chaque fois comme interne à un secteur d'activité. Le protocole d'échange est SOAP 2.0, la sécurité se limite au chiffrement TLS et à la signature XML, avec des couches de transport HTTP ou SMTP et l'utilisation d'une enveloppe MIME. Ce type de fonctionnalités, actuellement limitées aux logiciels de type SAP, devraient être intégrées dans l'ensemble des progiciels pour PME-PMI dans les années à venir.
On peut ainsi envisager un scénario d'achat entièrement automatique jusqu'au règlement, avec toutes les possibilités d'utilisation de crédit et d'assurance, et ne nécessitant qu'un minimum d'intervention humaine. Il ne faut cependant pas oublier que la dématérialisation des documents commerciaux n'altère en rien les obligations fiscales. Dans cette optique, la signature électronique à toute facture dématérialisée sera rendue obligatoire par une directive européenne dans quelques mois. Pour promouvoir le système, la directive devrait également interdire à une entreprise acceptant des factures dématérialisées de les prendre pour certains clients et de les refuser pour d'autres, à l'intérieur de l'Union européenne. Tout doit être archivé pour respecter les obligations fiscales. Alors que le principe fiscal reposait sur la comparaison des pièces commerciales et comptables chez le client et le fournisseur, la directive va autoriser un archivage unique, sur une plate-forme d'intermédiation, sans que les obligations d'agrément pour celle-ci ne soient encore connues.
La conférence IPsec 2001 s'est tenue du 23 au 26 octobre 2001 à Paris et a réuni les principaux acteurs d'IPsec, avec une participation importante des auteurs de drafts et des responsables des groupes de normalisation à l'IETF (92 inscrits au total). Dès le premier jour, un débat sur les déploiements IPsec et l'avenir a permis de dégager deux opinions divergentes dans ce domaine. Éric Vyncke, de Cisco, a ainsi déclaré qu'IPsec décollait en indiquant qu'il avait connaissance d'un projet majeur toutes les deux semaines. Hervé Schauer a cependant attiré l'attention sur le fait que 25 projets par an n'étaient pas si significatifs, spécialement au regard des 2 500 entreprises et organisations en Europe qui pourraient avoir de tels projets.
Cette conférence a également vu une démonstration d'interopérabilité réalisée par Ghislaine Labouret (Hervé Schauer Consultants). La démonstration regroupait dix périphériques de huit fournisseurs, tous reliés entre eux par 45 tunnels IPsec dans un réseau totalement maillé. Les principaux fournisseurs, comme Nortel, Netscreen et Cisco, étaient présents avec trois IPsec différents : IOS, PIX et VPN3000 ; tout comme les acteurs français : 6WIND, Netasq et Netcelo, et les implémentations libres d'IPsec FreeS/WAN et OpenBSD. Les tunnels fonctionnaient avec l'initiative du tunnel dans les deux sens, soit 90 tests. Tous les tunnels utilisaient IKE et des certificats générés par la PKI IDX-PKI.
Moins d'une dizaine de cas n'ont pas fonctionné, même si le paramétrage par défaut a souvent dû être modifié. Ce succès a permis de montrer la maturité technique qu'IPsec avait acquis depuis l'année précédente. Cependant, certaines des sociétés ayant participé aux précédentes éditions n'étaient pas présentes, certaines pour cause de faillite (Radguard et le revendeur de Redcreek), et des acteurs qui semblaient importants ont refusé de participer, tels que Check Point et Nokia. Les fournisseurs d'infrastructure de clés n'ont quant à eux pas pu réunir les moyens pour participer, à l'exception d'IDEALX, avec sa PKI qui est un logiciel libre.
Diverses conférences ont abordé des sujets tels que les nombreux risques apportés par l'utilisation de tunnels IPsec en accès distant par Internet, ou encore l'évolution des travaux sur l'application à IPsec de PCIM (Policy Core Information Model). Le retour d'expérience d'Asdrubal Pichardo de SAP déterminait qu'IPsec est effectivement fonctionnel, mais qu'il affecte la performance et rend difficile la résolution des problèmes réseau, nécessitant des compétences pointues.
Pour terminer la conférence, deux fournisseurs de solutions de sécurité sans fil ont été présentés, Certicom et Bluesocket, ainsi qu'une société de conseil, @stake. IPsec a donc fait preuve d'une certaine maturité, mais ne rencontre pour l'heure qu'un succès encore limité, étant plus souvent utilisé pour construire l'infrastructure réseau des entreprises que pour appliquer une politique de sécurité.
De par leur impact médiatique, les évènements du 11 septembre ont été à l'origine de nombreuses initiatives visant à renforcer la lutte contre la cybercriminalité au sens large. Le ministère américain de la Justice a ainsi fait une proposition visant à redéfinir les actes de terrorismes aux États-Unis. Dans cette définition, les délits informatiques de piratage de serveur ou de publication de programmes malveillants entrent dans les actes de terrorisme. Le projet de loi anti-terroriste américain peut être consulté à l'adresse suivante : http://www.eff.org/Privacy/Surveillance/20010919_ata_bill.html Dans cette optique, un article de Duncan Campbell fournit un contrepoint intéressant à l'idée selon laquelle les terroristes utilisent des moyens électroniques très évolués. Il rappelle qu'il suffit à ces terroristes d'utiliser des cybercafés, des comptes hotmail, de simples codes avec des messages en clair pour se fondre dans la masse des échanges électroniques anodins et échapper à la vigilance de la NSA. Cet article peut être consulté à l'adresse ci-dessous : http://www.guardian.co.uk/waronterror/story/0,1361,558371,00.html
Cette volonté renforcée de lutte contre la cybercriminalité a trouvé un écho en Europe, et la Convention européenne, par le biais des délégués des ministres du Conseil de l'Europe, a approuvé le projet de convention sur la cybercriminalité. On pourra pour plus de détails consulter l'article de 01net à ce sujet : http://www.01net.com/rdn?oid=160278 Dans l'ombre du terrorisme et de la criminalité à grand spectacle, les délits habituels liés aux réseaux perdurent et se développent. Parmi eux, les vers Internet se sont octroyés une place de choix en 2001. Sans revenir sur les faits déjà cités précédemment, évoquons cependant le virus BadTrans, qui recherche les mots de passe de l'utilisateur et les informations sensibles sur son PC pour les renvoyer à des sites, des forums et des adresses électroniques. Les conflits sur les noms de domaines se multiplient également, et ceux qui n'ont pas déposé tous les noms se rapportant à leur marque dans tous les domaines de premier niveau (.com, .biz, .net, .info, .tv, etc.) doivent parfois engager des procédures longues et coûteuses. Les noms de domaines parasités sont aussi parfois utilisés pour des sites Web parodiant le site original. Le cas de l'Organisation mondiale du commerce (www.wto.org, parodié sur www.gatt.org) a ainsi permis à de faux représentants de l'OMC d'être invités à une conférence dont les responsables s'étaient adressés au site www.gatt.org par erreur. Bien sûr, Internet reste également le moyen idéal de propagation des rumeurs les plus diverses, avec parfois des conséquences importantes sur le cours de Bourse d'une entreprise, par exemple. Parallèlement, des affaires de faux sites d'investissement ont porté sur des montants supérieurs à un million de dollars détournés.
L'affaire de la "Yescard" a également défrayé la chronique. Un logiciel permettant de fabriquer une carte bancaire qui dit "oui" ("Yescard") est en effet librement disponible sur Internet. Il permet de fabriquer des cartes bancaires utilisables dans certains type d'automates de payement, notamment ceux de la RATP, les cabines téléphoniques France
Télécom, les parkings, etc. En effet, pour des transactions portant sur des petits montants, sur certains automates comme les distributeurs de carburant ou de cassette vidéo, l'authentification du porteur est faite en local. Les "Yescard" répondent toujours affirmativement à l'authentification et permettent de payer aux frais du commerçant ou du propriétaire de la carte de même numéro, en cas de collision. La "Yescard" utilise la faiblesse conceptuelle des cartes à puce, qui a fini par être connue malgré les efforts du GIE carte bancaire pour garder le secret. LCI a d'ailleurs fait une
démonstration télévisuelle de l'utilisation réussie d'une fausse carte : http://parodie.com/monetique/brevelci_demo_20072001.htm
Dans une veine similaire, des chercheurs de l'université de Cambridge ont " cassé " le processeur cryptographique DES IBM 4758, le plus répandu sur la planète, utilisé notamment dans les distributeurs de billets. Ils ont envoyé l'information à IBM il y a plus d'un an, mais aucune correction n'a été effectuée par IBM. Le risque est le vol des numéros de carte bancaire et des codes PIN par des malfaiteurs. En France, la possession d'un équipement de décryptage des contenus numériques est interdite depuis bientôt 15 ans, pour protéger les télévisions à péage et lutter contre les décodeurs Canal + pirates. La question de la protection de ces contenus est récemment revenue sur le devant de la scène grâce à un informaticien russe ayant publié la méthode permettant de déjouer le système de protection d'eBooks d'Adobe. Il a été arrêté aux États-Unis et attend son procès. Les enjeux économiques croissants de la maîtrise des contenus numériques ont provoqué une débauche de moyens et de législations coercitives. Face à la médiatisation et aux rumeurs, il convient de travailler à la gestion de son information. Face aux vers et virus, l'antivirus demeure incontournable, et les technologies propices à ces infections sont à éviter. Face à la "Yescard" et aux attaques des contenus numériques, le débat revient inlassablement sur l'obscurité : une sécurité basée sur le secret de sa conception n'est pas pérenne. Une bonne sécurité est celle dont la conception et les algorithmes peuvent être publiés sans affecter le niveau de sécurité du système final. Les orientations actuelles des législations poussent la sécurité par l'obscurité, par exemple le DMCA aux États-Unis. Le lobby des éditeurs de contenus est à la source des législations. La conséquence est que, pour lutter contre les usages frauduleux, les législations en sont venues à interdire aux professionnels de la sécurité de travailler. |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Last modified on 26 Mars 2003 at 09:50:25 CET - webmaster@hsc.fr
Information on this server - © 1989-2007 Hervé Schauer Consultants |
|
![[Service]](/gif/icone.services.png){kind=small}
![[Presentation]](/gif/icone.supports.png){kind=small}
]
]
![[Article]](/gif/icone.articles.png){kind=small}