octobre, 2010

C’est désormais devenu un rendez-vous annuel, que celui d’Alex Türk, Président de la Commission Nationale Informatique et Libertés –Cnil- à l’occasion des Assises de Monaco. L’occasion de faire le point sur l’état du « fichage » en France et en Europe, fichage effectué tant dans le monde administratif que dans l’industrie. Que faut-il craindre le plus ? Alex Türk ne tranche pas, il constate, il dénonce. Il dénonce tout d’abord la montée en puissance, souvent incontrôlée des caméras de surveillance (privées ou publiques) qui, indirectement, constituent un instrument de géolocalisation. Et de citer les quelques 60 000 caméras de surveillance qui constellent la Grande Bretagne et peuvent photographier jusqu’à 300 fois par jour un même individu au centre de Londres. Il existe, explique le « Monsieur Fichier » Français, de notables différences d’attitudes entre les différents pays de la communauté. Le Royaume-Uni peut nous sembler excessivement permissif en termes de libertés individuelles, l’Allemagne, de son côté, est considérablement plus regardante. La semaine précédant les Assises avait été marquée par une série d’articles de la presse Britannique sur le foisonnement d’information à traiter que constituait ce déluge de caméras, et sur le recrutement de particuliers « CCTV Watchers » qui passent leur temps à jouer les supplétifs de la police derrière un écran vidéo. Malgré la promotion de cette technique de surveillance dans les textes de la future Loppsi, le patron de la Cnil prétend demeurer vigilant et garder un œil critique sur les usages sécuritaires de la vidéosurveillance.

Mais tout n’est pas noir de l’autre côté de la Manche. Il faut bien admettre que ce pays est très en avance sur ce que nous connaissons en France en matière d’avertissement public sur les fuites d’information. Et notamment lorsqu’il s’agit de pertes de fichiers commises par l’Administration ou dans le secteur bancaire.

Autre sujet de préoccupation, la constitution abusive et injustifiée de fichiers à caractère personnel par des personnes ou organisme n’ayant aucune autorité en la matière. « Il nous est arrivé de trouver, au sein de fichiers tenus par des agences de location immobilière, les numéros NIR (numéro « insee » dit « numéro de sécu sans clef »). C’est totalement illégal, précise Alex Türk, et n’a jamais été approuvé par la Cnil. Nous restons très prudents quant aux usages que l’on peut faire de ce numéro »… et de citer le cas épineux de l’usage de ce fameux NIR dans le cadre d’études épidémiologiques… qui deviennent alors des fichiers nominatifs liés à des données médicales, mais pouvant être consultés à des fins statistiques, en dehors du cadre stricte d’un dossier médical et du secret qui l’entoure.

Inquiétudes, devant le peu de volonté manifeste que semble avoir l’Europe pour que se développe une autorité ou un conseil de surveillance chargé de ces questions. Türk fut un an durant à la tête du fameux « groupe 29 » (Article 29 Data protection Working Party), dont les rapports dénoncent souvent les dérives, les usagers abusifs de nouvelles technologies de flicage et de fichage. Devant l’absence de budget (« y compris pour traduire les documents de travail ou obtenir des crédits de fonctionnement »), Türk jette l’éponge et abandonne la présidence de cette institution à la fois si fragile et si importante.

Léger malaise enfin devant les effets de bord de l’Hadopi et de ses techniques de surveillance qui réduisent progressivement l’idée même de « neutralité du Net » et la liberté de l’internaute. « Léger » malaise, car le patron de la Cnil avoue avoir appuyé de son vote le passage de cette loi visant, selon lui, à protéger le droit d’auteur ».

L’avenir de la vie privée numérique ? Pour Alex Türk, elle dépend avant tout de l’individu et de son éducation. « L’on pourrait définir trois grands profils d’usagers des nouvelles technologies : les « innocents » –ou enfants de moins de 6 ans- qu’il est important d’éduquer pour les protéger contre toute dérive, les « naïfs » -des adolescents aux trentenaires- qui « surfent » avec une confiance sans borne sur les nouvelles vagues « 2.0 » et font peu de cas de leur identité numérique et des traces qu’ils laissent sur la Toile. Les « prosélytes » enfin, qui profitent du système et chantent les mérites de tel réseau social ou de telle technologie « conviviale ». Ce sont les Mark Zuckerberg (facebook) et autres Google qui font un fonds de commerce de la vie des autres.

Il manque toutefois une quatrième catégorie à l’inventaire d’Alex Türk : les prudents, les avertis, les paranoïaques ou les vigilants, appellation à choisir selon le camp dans lequel on pense se trouver. Une catégorie d’usagers d’Internet qui, tout aussi conscients des risques de dérives du système, souhaiteraient une Cnil un peu moins « sage et réfléchie », plus combative, plus radicale, plus éloignée du pouvoir politique …

L’édition 2010 du « Livre Bleu » des Assises de la sécurité ne ressemble en rien à aux précédentes versions. En s’appuyant sur des études universitaires et des enquêtes conduites par l’Enisa, cet ouvrage d’une soixantaine de pages compare les métriques des années 2000 et les chiffres actuels, les attitudes du marché d’alors et les règles qui régissent les échanges aujourd’hui, et le métier d’homme sécurité tel qu’on l’envisageait au début du millénaire et ce qu’il est devenu depuis.

Côté chiffres, le monde IP est passé d’un réseaux de 400 millions d’internautes à près de 2 milliards d’usagers. Le développement des services haut débit et des accès mobiles, encore balbutiants de 200 à 2003, a brusquement décollé. Les Malwares aussi. Car l’an 2000, c’était aussi l’année de I love you, un virus étonnamment vivace qui touchera plus de 3 millions d’ordinateurs. Les choses changent peu en 2010, avec « entre 3,5 et 10 millions » d’infections provoquées par Conficker. Un virus tout frais issu des nouveaux outils de génération automatique de malwares, et dont on ne sait toujours pas ce qu’il pourrait détruire le jour où il se déclenchera.

Cette décennie aura également vu l’apparition d’une exploitation tactique et stratégique des outils internet ainsi en 2007 : affaire de « l’étudiante Chinoise » soupçonnée d’espionnage informatique. 2007 encore, avec l’attaque informatique dirigée contre l’Estonie par… on ne saura jamais officiellement. 2008 : première cyber-attaque officiellement constatée lors du conflit Russo-Géorgien. 2009 : multiplication des opérations de propagande et de « cyber-jihad » organisée par des groupuscules fondamentalistes. Les Etats se battent à fleurets mouchetés, masqués par les paravents des adresses IP, des mercenaires mafieux et l’anonymat des proxys.

Pendant ce temps, les auteurs de malwares d’origine mafieuses font tout autant de progrès. A peine connus en 2000, les grands botnets commencent à faire la loi et inondent les réseaux de campagnes de spam et de phishing et tendent d’accroître leur mainmise sur Internet sous des déluges de chevaux de Troie. Lorsque tombe McColo, l’un des « hosteurs » les plus véreux de la filière mafieuse Russe, le niveau de spam mondial chute brutalement et 450 000 relais se taisent. Hélas pas pour très longtemps. La criminalité, nous rappelle le Livre Bleu, n’est qu’une succession de prises de pouvoir entre cybergangs.

Et les hommes sécurité ? Eux aussi évoluent. Il est loin le temps du « business sécurité » reposant sur l’alarmisme et la terreur. L’antivirus et le firewall sont devenus des « commodités », le RSSI est plus accaparé par des questions de gouvernance que par des problèmes techniques purement binaires. « Plus architecte, moins politique » résume le Livre Bleu. L’opérationnel recule devant l’analyste-architecte, mouvement amorcé par ISO 27001, par la généralisation des CIL (Correspondants Informatique et Liberté), par la lente évangélisation en matière d’intelligence économique (considérée il n’y a pas 10 ans comme une perte de temps et une non-discipline). Les obligations de protection des données personnelles et des « avoirs numériques » de l’entreprise ont changé les mentalités. Et ces tendances à une sécurité de plus en plus architecturale se confirment en analysant les postes de dépense. Interrogés sur leurs priorités, les RSSI citent, dans 56% des cas, la gestion des identités et habilitations, puis, en second lieu (41%) les PRA/PCA et plans de secours. Le chiffrement des données et la préservation de la confidentialité des informations vient en troisième place (37%), suivis, ex-aequo, par le cloisonnement des réseaux/lutte anti-intrusion et les déploiements de correctifs (26%). Le RSSI de la deuxième décennie du siècle sera un organisateur ou ne sera pas.

Systèmes de vidéo-intrusion : peut mieux faire semble dire Bruce Schneier dans un billet consacré à l’assassinat de Mahmoud al-Mabhouh quasi « filmé en temps réel ». 10 000 heures de vidéo, 1500 caméras de « sécurité », épluchage du personnel hôtelier, des factures etc… pour un résultat pratiquement nul

Reversing Android apps, ou petit traité de décompilation des applications sous Android à l’attention des développeurs soucieux de l’intégrité de leurs œuvres

Rien ne va plus entre McAfee et Winpatrol, outil de détection de modification des fichiers (sorte d’IDS orienté fichier). L’antivirus de McAfee aurait, deux jours durant, déclaré un faux positif

Rachat de Nemean Networks par Qualys, entreprise fondée par des universitaires ayant développé une technique capable de générer rapidement la « signature » d’un malware à l’aide d’outils d’analyse comportementale du code suspect

Nées avec le « bug de l’an 2000 » – l’une des peurs les plus fantasmées des systèmes d’information, les Assises de Monaco ont fêté leur dixième anniversaire. La sécurité des SI, qui était un sujet de spécialiste, est devenue une extension naturelle des DSI, un réflexe. Dix ans qui ont vu, témoignent les participants, la naissance du « software lifecycle » qui, espère-t-on, fera progressivement disparaître les « bugs de naissance », la montée d’une « industrie » des malwares et la disparition du « virus d’amateur », la presque dématérialisation des serveurs dédiés (avec l’arrivée des hyperviseurs et des machines virtuelles), la poussée progressive d’une informatique distante et diffusée « dans le nuage », la démultiplication des nouvelles formes de communication (mobiles, réseaux sociaux). Durant cette même période, nous avons tous été témoins de la discrète mais bien réelle militarisation de l’informatique accompagnée par les toutes premières opérations de « cyberguerre », sans oublier la très récente menace contre les infrastructures Scada qu’a représenté le rootkit Stuxnet. Durant ces dix ans, également, l’on a vu progressivement apparaître et croître de nouveaux chantiers d’Etat, avec notamment celui du DMP (dossier médical personnalisé) corolaire d’une informatisation se voulant « surprotégée » des établissements hospitaliers, celui aussi d’une police et d’une gendarmerie spécialisée, disposant de moyens d’investigation techniques modernes et adaptés. Une décennie enfin, marquée par une prise en compte progressive de la sécurité dans les textes de loi (LCEN, Lopsi, Loppsi, Hadopi…), les directives communautaires et les normalisations nécessaires (Bâle2, ISO27xx etc).

Aujourd’hui, alors qu’une crise économique qui ne veut pas dire son nom tend à restreindre les budgets informatiques en général et ceux de la sécurité en particulier (dépenses en baisse de 5 à 6% en moyenne par rapport à l’an passé), le volume des menaces, de son côté, ne fait que croître. Tout comme la cyberdélinquance, laquelle suit la croissance générale du marché informatique. En France, cette montée de la menace n’incite que 35 % des entreprises à maintenir ou augmenter leur budget sécurité cette année, contre 63 % dans le reste du monde. De plus en plus fréquemment, les contrats d’externalisation sont perçus comme une manière pratique d’effectuer des économies à court terme, particulièrement dans la tranche « petites et moyennes entreprises » -les grandes structures optant généralement pour des Cloud internes ou ne jugeant pas assez rentables cette nouvelle forme d’informatique « as a service ».

Qu’en sera-t-il dans dix ans ? Si l’on se réfère aux progrès réalisés durant cette même période, l’on se rend bien compte que cet exercice de divination est risqué. Les conférences données durant les Assises donnent quelques idées. A court terme, le Cloud et la multiplication des offres d’opérateurs dans ce domaine. Offre touchant à la fois le grand public et les entreprises… les particuliers constituant, une fois n’est pas coutume, un vecteur économique déclenchant dont profiteront à termes les industriels. Pour Michel Riguidel, professeur à l’ENST, il se pourrait bien que nous puissions assister à l’avènement d’une « ère du quantique », avec des calculateurs plus puissants, plus rapides, et des réseaux sécurisés, chiffrés avec des clefs pratiquement inviolables.

Ces 10 prochaines années pourraient aussi nous réserver des surprises moins agréables, avec une militarisation plus fréquentes des attaques sur Internet, au fur et à mesure que se constitueront les moyens de cyberdéfense et de riposte des grandes nations numérisées (USA, Chine, ex-URSS…). Un durcissement de l’usage qui, dans la vie civile, devra se traduire par un renforcement des instances de régulation et de protection de l’entreprise numérique et des gens qui y travaillent

Facebook, service Web2.0 régulièrement en délicatesse avec les notions de préservation de la vie privée, annonce la disponibilité d’une nouvelle méthode d’identification/connexion reposant sur un mot de passe à usage unique transmis par SMS à l’usager demandeur. Cette fonction n’est pour l’instant offerte que sur le territoire US et devrait pratiquement bloquer toute tentative d’usurpation de compte par un autre usager. L’histoire ne dit pas si cet OTP protège également les usagers contre les incursions provenant des mécanismes de Facebook même.

Outre cette mesure plus cosmétique qu’utile (Facebook n’étant jamais qu’une vitrine égotiste peu comparable peut-être à une base de données ou un serveur de messagerie) un second service, dit de « déconnexion à distance » a également été ouvert. Le but de ce service est de permettre aux usagers nomades utilisant un terminal étranger, de clore après coup une session Facebook en cas d’oubli de déconnexion. Comme l’accès à cette console de télé-déconnexion est elle-même dépendante d’une authentification classique, et qu’il ne se passe pas une semaine sans que l’on découvre de nouvelles techniques d’attaque en social engineering pour kidnapper les crédences des facebookiens crédules, on peut s’attendre à quelques belles histoires de « batailles de remote-shutdown » dans les semaines à venir …

Serait-ce pour saluer la proximité de la date-anniversaire de William Henry Gates troisième du nom ? Toujours est-il que le « patch Tuesday » de ce mois d’octobre est l’un des plus importants de l’histoire Microsoftienne. 16 rustines « seulement », mais du cumulatif d’anthologie puisque lesdits bouchons de sécurité colmatent 51 CVE, dont 10 d’entre eux sont exploitables à distance et 3 pourraient servir à des élévations de privilèges. Les alertes MS10-071, 75,76 et 77 sont estimées comme critiques par le MSRC. 12 bulletins « station » obtiennent la pourpre cardinalice en matière d’indice d’exploitation, et 4 sur le créneau des serveurs. Cette débauche de carmin ne doit toutefois pas déclencher de panique, puisque seuls les bulletins 10-077, 82 et 83 se voient qualifiés par le Sans d’un avertissement « patch now ». A noter également le nombre important de découvertes créditées à la société Française Vupen. Le prix de la rustine la plus lourde est, une fois de plus remportée par l’inévitable « cumulative Internet Explorer 10-071 ».

Java 6 update 22ferme, de son côté, 29 CVE officiellement reconnues par Oracle. C’est, avec Flash et le lecteur Acrobat, l’un des vecteurs d’attaque les plus prisés par les auteurs d’exploits et d’infections. La mise à jour est donc obligatoire… et parfois même la désinstallation conseillée, surtout si cet « add-in » n’est pas utilisé. Ajoutons qu’il est parfois difficile de chasser d’anciennes versions « fossilisées » qui sont autant de vulnérabilités insoupçonnées que seul un inventaire scrupuleux des failles peut mettre en évidence. Les particuliers, TPE et artisans peuvent recourir à certains outils gratuits tels que le Personal Software Inspector de Secunia.

Il fut également colossal, le tout dernier « mardi des rustines » publié par Oracle. La CPU compte cette fois près de 85 failles référencées, affectant le SGBD, les middlewares, les suites E-Business, les applications, le catalogue PeopleSoft Primavera et Sun, les VM… les tables de disponibilité et les listes des correctifs cumulatifs ou uniques sont détaillées au fil du bulletin d’alerte publié pour l’occasion. Quelques spécialistes précisent que certains de ces trous de sécurité cumulent à la fois des risques d’élévation de privilège via une injection SQL, la possibilité de changer le statut d’un job et même d’exécuter à distance un nouveau job. Ces affirmations sont avancées sans preuve ni PoC pour l’instant. Aucune autre publication officielle (Sans ou Cert US) ne vient renforcer le degré d’urgence à observer dans l’application des correctifs.