Pour éviter qu`ils rentrent, fournissez les clefs

Pour éviter qu’ils rentrent, fournissez les
clefs …
XXX
Résumé
Les logiciels libres rendent publics leurs
fonctionnements intimes. Ce faisant, ils semblent faire
courir à leur utilisateur un risque majeur en matière de
sécurité. Pourtant, des organismes publics liés à la
défense nationale promeuvent et adoptent ces logiciels.
Cette apparente incongruité mérite une étude
approfondie des relations entre logiciels libres et
sécurité. Cette contribution, après avoir précisé et
positionné la notion de sécurité des SI (SSI), fait état
des arguments avancés tant par les éditeurs de logiciels
propriétaires que par les tenants du libre. La relecture
de ces arguments au travers de 3 affaires nous amène à
proposer une stratégie de sécurisation basée sur
l’hétérogénéité du parc.
Mots clés: Logiciels libres, sécurité des systèmes d’information.
1. Introduction:
Pour un chercheur en sciences de gestion, le « monde » du logiciel
libre est un univers bien étrange. La théorisation classique de
l’homo-economicus n’aide guère à comprendre qu’un ensemble
d’individus généralement hautement qualifiés s’investissent pour
développer des briques logicielles dans une optique de bien
commun ([Holmstrom, 1999], [Hars, 2002], [Hertel, 2003]). Que
des organisations s’apparentant à un bazar viennent saper les
fondations de cathédrales industrielles représentant autant de
joyaux de la nouvelle économie dénote à la fois de l’importance et
de l’originalité du mouvement du logiciel libre [Raymond,
1998][Osterloh, 2003]. De nombreuses recherches tant en
informatique qu’en gestion ont dressé les contours et caractérisé cet
objet singulier. Le volume, la richesse et la pluralité de ces travaux
en éclairent différentes facettes. Néanmoins, la variété des remises
en cause laisse dans l’ombre nombre de thématiques. Par cette
communication, nous aimerions souligner une incongruité rarement
étudiée. A la différence des logiciels propriétaires marqués du
sceau du secret, les logiciels libres présentent la caractéristique de
révéler le code source. Cette stratégie de rendre publique,
disponible et librement modifiable la totalité de l’information (code
+ documentation) peut apparaître comme étant préjudiciable à la
sécurité. Pour le gestionnaire, cette dernière est classiquement
associée à la notion de secret. En effet, comment imaginer qu’en
donnant les clefs des coffres, la protection de leur contenu est
améliorée. Et pourtant… différentes données valident cette idée
singulière [Dupin, 2007].
Dans un univers en réseau, un point de fragilité essentiel est la
sécurité des serveurs Web. Cependant, c’est pour cette
fonctionnalité critique que la diffusion des OSS (Open-source
software) est la plus massive. Près des deux tiers des serveurs Web
dans le monde utilisent Apache. De l’autre côté de la chaîne de
l’information, les utilisateurs finaux adoptent de plus en plus le
navigateur en licence libre Firefox [Médiamétrie, 2005] qui offre
un meilleur niveau de sécurité [Wheeler, 2006].
En outre, les principaux organismes publics recommandent
l’adoption d’OSS. Ainsi, le département de la défense des Etats
Unis (DoD) conseille dans sa directive 5000.1 : “OSS shall be
employed, where feasible.”. La commission Européenne tient un
discours similaire : “guidance needs to focus on open standards”.
En France, la loi organique relative aux lois de finances privilégie
les solutions libres [Carayon, 2004]. Les OSS sont d’ailleurs
adoptés par des organismes pour lesquels la sécurité est essentielle
(Gendarmerie, Ministère des Finances).
Ainsi, bien que largement contre-intuitive, l’idée que les OSS sont
des solutions accroissant la sécurité des SI semble accréditée par
les faits. Cependant, différentes questions restent ouvertes.
! L’éventuelle amélioration de la sécurité provient-elle des
caractéristiques techniques des produits ?
! La sécurité réside-t-elle dans le mode de développement
communautaire des OSS ?
! Est-elle le fait de l’existence d’une culture de la sécurité
prévenant par là même les comportements à risque ?
! Le gain en sécurité ne provient-il pas simplement de
l’introduction d’hétérogénéité dans le parc ?
C’est autour de ces diverses questions que va s’articuler notre
communication.
Elle procédera en quatre temps correspondant à autant de sections.
La première dresse un rapide panorama de la situation et des usages
en termes de sécurité des systèmes d’information (SSI). La seconde
section détaille trois sources de vulnérabilités et évoque les apports
en sécurité obtenus grâce au libre. La troisième partie approfondit
ce questionnement en l’abordant à la fois sous l’angle technique et
économique. Elle précise si la sécurité provient de l’existence de
systèmes ouverts ou si elle n’est pas plutôt imputable aux standards
ouverts [Wheeler 2006], si elle est liée aux grandes options prises
en termes de technique de développement ou si le mouvement
même du libre crée les conditions économiques nécessaires à
l’amélioration de la sécurité. Par la suite, l’ensemble de ces
éléments est discuté au travers de trois cas. L’accès à ces derniers
nous a été possible grâce à la participation à la rédaction de cette
communication d’un expert judiciaire auprès du tribunal de Paris
spécialisé dans les questions de sécurité informatique. En revanche,
des contraintes de confidentialité limitent logiquement les données
présentées aux seuls éléments communicables. Finalement, l’idée
d’un accroissement de la sécurité par hétérogénéisation du parc est
discutée.
2. La sécurité des SI : définitions, enjeux et faits
marquants
2.1. Définitions
La sécurité des SI (SSI), consubstantielle au SI, n’a réellement fait
irruption dans l’univers gestionnaire qu’au courant des années 1970
à la suite des rapports [Ware, 1970] et [Anderson, 1972]. A cette
date, elle déborde du domaine purement militaire, focalisé sur la
cryptographie, et des avancées conceptuelles et pragmatiques sont
effectuées [Neumann, 1976]. Des publications séminales comme
l’Orange Book [DOD, 1983] jettent les bases d’une réelle gestion
de la SSI.
Le corpus de documents de référence s’est depuis largement étoffé
et il regroupe actuellement deux types de sources. Il s’agit
premièrement d’une série de normes et deuxièmement d’un
ensemble de méthodes (Ebios, Cobit, Mehari, etc.). Les premières
définissent et articulent différentes étapes dans une démarche
structurée, les secondes permettent d’opérationnaliser ces dernières.
Par exemple, la méthode EBIOS (Expression des Besoins et
Identification des Objectifs de Sécurité) permet d’instrumenter la
phase d’identification des risques proposée par la norme ISO 27002.
Cette nouvelle série de normes dédiées à la SSI (Série ISO 27000)
est actuellement en plein développement et, à ce jour, le processus
de publication de la norme de vocabulaire ISO 27 000 est en cours.
Nous proposons alors la définition suivante qui reprend les
éléments habituellement cités [Fisma, 2002], [SGDN, 2006] :
La SSI articule un ensemble de moyens techniques,
organisationnels, juridiques et humains nécessaires pour conserver,
rétablir, et garantir la sécurité de l'information et du système
d'information. Elle se focalise sur trois notions principales qui sont
l’intégrité (altération et/ou destruction de l’information), la
confidentialité (révélation à des tiers de données qui ne leur sont
pas destinées) et la disponibilité du système (déni de service).
Cette définition synthétise les caractéristiques habituelles de la SSI.
Certains auteurs rajoutent néanmoins parfois d’autres
considérations comme par exemple l’imputabilité (aptitude à
identifier celui qui fait une action) ou la non répudiation (aptitude
d’un système à empêcher l’utilisateur de nier une action réalisée).
A ce stade, nous proposons de dresser un rapide panorama de la
SSI. Il sera suivi de l’énoncé de quelques principes généraux
permettant d’éclairer le cadre dans lequel se pose la question des
éventuels gains en sécurité procurés par le recours à des OSS.
2.2. Enjeux
L’enjeu économique de la SSI est significatif. Même s’il est
difficile de chiffrer précisément le coût de la « non sécurité», à
l’échelle globale, les pertes s’expriment en milliard de dollars. Les
313 répondant du rapport CSI-FBI 2006 évaluaient les coûts
supportés par leurs entreprises à 52 ,5 millions de dollars. L’étude
menée en Grande Bretagne par PWC [PWC, 2006] donne une
évaluation moyenne du coût d’un incident majeur de 25 000 $.
Cette somme atteint 200 000 $ pour les grandes entreprises. En
pleine période de diffusion du virus « I love you », Current
Analysis a estimé les pertes à 2,61 milliards de dollars. Le virus
Melissa pour sa part a coûté 385 millions de dollars rien qu’aux
Etats-Unis [ISCA, 2004] et la totalité des coûts des attaques virales
a été estimé à 17,1 milliards en 2000. Plus récemment, le mois de
février 2007 a été marqué par des attaques de déni de service pour 3
des 13 serveurs racines de la Toile, par l’exploitation de faiblesses
sur des matériels Cisco, par l’identification de faille dans Internet
Explorer 6 et 7 permettant de prendre le contrôle d’une machine à
distance et par l’apparition d’une faille dans Google Desktop
permettant à un utilisateur malveillant de lire le contenu d’un
disque dur lors d’une visite sur un site grâce à l’exécution d’un
code en JavaScript.
Plus de la moitié de personnes interrogées dans le panel du FBI
reconnaissent l’existence d’une utilisation non autorisée de leur SI
et près de trois quarts estiment avoir été victimes d’au moins une
attaque en 2006. Les coûts et la prégnance des menaces sont des
faits avérés. Cependant, bien que les directions générales estiment
massivement que la SSI joue un rôle capital dans l’atteinte de leurs
objectifs stratégiques, cette dernière ne représente une priorité que
pour 20% des décideurs sondés [E&Y, 2004]. Les sommes allouées
à la SSI restent faibles (de l’ordre de 5% du budget SI) bien que les
incidents liés à la sécurité dégradent l’image de marque des
entreprises voire affecte leur valorisation boursière. Pour les Etats,
davantage qu’un objet économique, la SSI constitue un enjeu de
souveraineté nationale [SGDN, 2006].
2.3. Faits marquants :
La variété des attaques s’accroît et la vitesse de diffusion
s’accélère. L’inventivité grandissante des individus malveillants
pose régulièrement de nouveaux défis au responsable de la SSI.
Parallèlement au renouvellement des modes classiques d’action
(virus, attaque en DDoS), ils font face à de nouvelles formes
d’atteinte à la sécurité [Clusif, 2006]. Citons par exemple
l’utilisation de la VoIP pour réaliser du spam (SPIT) ou la
manipulation de cours de bourse (Pump and Dump) via l’utilisation
de spam (Stock Spam).
Ces changements des modes d’action s’inscrivent dans un
environnement marqué par de rapides évolutions technologiques.
Ces dernières se caractérisant par l’accroissement des débits
(ADSL), le nomadisme rendu possible par des objets
communicants utilisant des technologies sans fil, la centralisation
de données (data warehouse). Assurer la SSI nécessite de ce fait
des compétences de plus en plus pointues et variées. Dans les
grandes structures, ceci intensifie la parcellisation des activités
d’administration du SI. Pour les plus petites structures, le recours à
de multiples prestataires extérieurs s’impose. Cette atomisation des
compétences complique la mise au point de stratégie globale de
sécurité.
Une transformation des motivations des attaquants. Sans verser
dans la paranoïa, force est de constater que les attaques sont de
moins en moins le fait de personnes isolées et douées visant des
exploits sous la forme de POC (Proof Of Concept). Les atteintes à
la sécurité sont régulièrement orchestrées par de groupes organisés
ne cherchant pas à démontrer l’existence d’une vulnérabilité mais à
l’exploiter à leurs fins. L’apparition d’un marché sur lequel des
attaques « 0 day » peuvent s’échanger en est le signe [Radianti,
2006]. Parallèlement à cette professionnalisation de la
cybercriminalité apparaît un second type de public présentant de
réels dangers. Ces personnes que nous baptisons « apprentis
sorciers » profitent de la disponibilité d’outils de hacking pour
tenter des actions malveillantes. Leur faible maîtrise des
fondements théoriques et informatiques des outils qu’ils mobilisent
les conduit à réaliser des actions sans qu’ils n’en mesurent
forcément toutes les conséquences [Riviere, 2003].
Au-delà de ces données factuelles illustrant à la fois l’importance
de la problématique de la SSI et les variations de l’environnement
dans lequel elle doit être assurée, nous proposons de rappeler
quelques principes liés à la sécurité informatique. Ces derniers nous
permettent alors de discuter des éventuelles contributions des
logiciels libres à la sécurité.
3. Composants à l’origines de l’insécurité
En ce qu’il met en œuvre des éléments matériels, logiciels et
humains, tous SI présentent potentiellement des défauts de sûreté.
3.1. Aspects matériels :
Ne serait-ce que sur le critère de disponibilité, la matérialité du SI
pose la question de la fiabilité des différents composants.
Différentes études et techniques sont disponibles pour quantifier le
MTBF (Mean Time Between Failure) tant au niveau d’un
composant (disque dur [Pinheiro, 2007]) qu’au niveau d’une
architecture d’ensemble. Remarquons que les possibilités de créer
des réseaux P2P compliquent l’évaluation de la fiabilité car la
topologie du réseau est mouvante. De manière générale, les
évolutions des technologies et la volonté d’accroître le degré
d’intégration entre partenaires économiques (B2B et B2C)
accroîssent la porosité du périmètre sécurisé [Herold, 2006]. La
notion même de périmètre, concept de base s’il en est de la SSI, est
profondément chamboulée : d’une représentation sous la forme de
domaine clairement délimité à protéger de menaces extérieures,
l’on s’oriente vers une représentation auto-organisante du périmètre
[SGDN, 2006]. En plus des questions de fiabilité, notons également
que certains éléments matériels peuvent servir à perpétrer ou
diffuser des attaques (clef USB 3G par exemple [CERT, 2006a]).
Sur ce point, l’apparition de logiciel libre ne modifie que
marginalement la sécurité. Les OSS fonctionnent sur le même type
de matériel que les systèmes propriétaires. Néanmoins, deux points
sont à signaler. Premièrement, les possibilités de paramétrage
offertes par les OSS permettent une gestion affinée des processus
activés par le système d’exploitation. Ceci permet d’adapter la
puissance de calcul des équipements aux besoins de son utilisateur
réduisant par là même le volume de ressources inutilisées
potentiellement exploitables par un intrus. Deuxièmement, les
développeurs d’OS en libre sont amenés à examiner les drivers
fournis par les fabricants de périphériques, ce qui permet
potentiellement d’identifier des vulnérabilités.
3.2. Aspects logiciels :
Il existe une impossibilité théorique à juger ex-ante de la sûreté
d’un logiciel. [Cohen, 1997] démontre grâce à une modélisation
recourant au formalisme de Turing, qu’il est impossible de détecter
une infection virale au vu des seules propriétés du code. Bien que
toujours discuté, ce résultat (théorème d’indécidabilité) laisse
entendre qu’en certaines situations, seule l’activation du virus le
rend décelable.
Sur le versant pragmatique, tout code est forcément entaché
d’erreurs. Il est communément admis qu’un taux de 1 à 5 erreurs
est présent par 1000 lignes de code (LOC). A titre d’exemple, avant
son lancement, 63 000 bugs ont été expurgés de la version
Windows 2000 comportant 35 millions de LOC. Cependant,
quelles que soient les précautions prises, il demeure des erreurs
résiduelles. Il suffit pour s’en convaincre de consulter les
statistiques de 2006 du CERT [CERT, 2006b] qui a mentionné
8 064 vulnérabilités et publié 422 notes concernant les plus
dangereuses. En exploitant les données du CERT, [Alhazmi, 2005]
ont développé un modèle prédictif du nombre de vulnérabilités à
l’aide d’une fonction logistique (sigmoïde). Leurs travaux montrent
qu’après une phase de croissance lors de la diffusion du logiciel, le
rythme d’apparition de nouvelles vulnérabilités tend à diminuer.
Parce qu’elles constituent un point central de notre argumentaire,
les contributions potentielles à la SSI provenant d’une adoption
d’OSS font l’objet d’une présentation détaillée dans la section 4.1.
Notons cependant dès à présent qu’à minima, tous les experts
admettent que le niveau de sécurité offert par les OSS est au moins
équivalent à ceux des systèmes propriétaires.
3.3. Aspects humains :
Les comportements des utilisateurs entament régulièrement la SSI.
Certains utilisateurs peuvent sciemment remettre en cause la SSI en
cherchant à détourner en leur faveur les possibilités d’accès à des
ressources (données, matériels). Dans [CSI-FBI, 2006], 20% des
répondants pensent que les membres de leur organisation sont à
l’origine de plus de 60% des pertes.
Parallèlement à ces actions intentionnelles, un certain nombre de
comportements peu précautionneux compromettent la sécurité. Le
choix d’un mot de passe faible, la divulgation à un collègue de ses
codes, la non-clôture de session lors de l’absence de son poste, la
sensibilité à des hameçonnages (phishing) sont autant de remises en
cause de la sécurité. Parallèlement, des manœuvres d’ingénierie
sociale (manipulation consistant à obtenir un bien ou une
information, en exploitant la confiance, l'ignorance ou la crédulité
de tierces personnes) permettent à un assaillant d’obtenir des
informations nécessaires à son attaque. Ces manœuvres complètent
régulièrement des procédés purement techniques. Les attaques les
plus réussies sont habituellement celles qui combinent des failles
humaines avec des failles techniques.
Longtemps, le recours à des logiciels libres a nécessité de réelles
compétences techniques. Ils étaient de fait réservés à un public
ayant une connaissance précise du fonctionnement de leurs
équipements et des protocoles de communication. Ceci les
conduisait à adopter des comportements prudents car ils pouvaient
inférer les conséquences de leurs actions. Avec l’apparition d’OSS
grand public, les comportements adoptés dans la sphère privée qui
n’obéissent généralement pas au même degré d’exigence que ceux
imposés dans l’univers professionnel sont reproduits au travail.
En résumé, ayant montré qu’il convient de considérer les
promesses de l’avènement prochain de SI parfaitement sûr avec
perplexité, la question posée est celle du degré de risque acceptable
et des modalités de gestion de ce dernier au sein d’un collectif. Si
quelques éléments précédemment mentionnés donnent à penser que
les OSS peuvent contribuer à sécuriser un SI, l’étude de cette
question doit être systématisée.
A cette fin, nous l’abordons dans sa globalité et de manière
plurielle en privilégiant deux axes. Le premier est l’axe technique.
Il s’agit de faire un état des lieux des arguments avancés par les
promoteurs des OSS comme solutions assurant une sécurité accrue
ainsi que les contre-arguments mentionnés par la partie adverse
(logiciels propriétaires). Le second axe apporte un éclairage
complémentaire : Arguant du fait que les seules considérations
techniques sont insuffisantes pour expliquer les faibles progrès
réalisés en matière de sécurité, un ensemble de chercheurs
renouvellent la réflexion en mobilisant des outils théoriques
classiques en économie. Ils soutiennent à la suite de [Anderson, 07]
que « Economic analysis often explains failure better than technical
analysis! »
4. Vulnérabilité des systèmes propriétaires vs
open source : approche technico-économique
La question de la supériorité respective des OSS vs logiciels
propriétaires a fait l’objet de débats nombreux, houleux et
passionnés. Souhaitant ici uniquement rendre compte des
arguments avancés par les différentes parties, nous effectuons une
rapide synthèse de la littérature. Celle-ci s’appuie prioritairement
sur [Payne, 2002] [Boulanger, 2005] [Fitzgerald, 2002] [Brown,
2002] [Hoepman, 2007].et les arguments sont synthétisés dans le
tableau ci-dessous.
4.1. La dimension technique : Synthèse des
arguments
Pour le moins la confrontation des arguments techniques ne donne
aucun avantage décisif à la stratégie de “Security by obscurity” sur
‘‘Given enough eyeballs, all bugs become shallow.’’. Les experts
admettent d’ailleurs quasi–unanimement que les OSS sont au
moins aussi sûrs que les CSS. D’autres arguments d’ordre
économique peuvent alors être avancés pour justifier de l’existence
d’un différentiel de sécurité entre les deux catégories de logiciels.
4.2. Un regard croisé : L’approche économique
Si elle dépend des comportements individuels, la SSI est avant tout
une problématique collective. Peu d’autres situations de la vie
quotidienne présentent des propriétés similaires à celles de la
problématique de la SSI, c’est pourquoi cette notion est
difficilement appropriable par les utilisateurs. Avoir une pleine
conscience qu’il suffit qu’une seule machine soit mal protégée pour
remettre en cause l’ensemble d’un réseau, imaginer que pendant
que j’effectue mes activités quotidiennes, une partie de mes
ressources sert à porter une attaque, nécessite un travail de
sensibilisation de longue haleine. Ce travail est d’autant plus
difficile que, premièrement, l’explication des impacts d’une
négligence va faire appel à des considérations techniques dépassant
habituellement les compétences des utilisateurs, que deuxièmement,
les utilisateurs ont a priori confiance dans les systèmes et les
contacts qu’ils mobilisent et que, troisièmement, il existe une
habitude d’obtenir des fonctionnalités étendues sans rajout de
contraintes d’utilisation (plug & play).
Ces quelques considérations liminaires plaident pour une prise en
compte du problème de sécurité allant au-delà de l’étude des seules
spécificités techniques. Ces dernières sont riches d’enseignement
sur les conditions des actions et les modalités pratiques permettant
d’y faire face mais elles ne caractérisent pas explicitement les
motivations des assaillants ni les conditions socioéconomiques
dans lesquelles prennent place leurs agissements illicites.
L’économie de la sécurité de l’information (notée ici ISE pour
information security economics) dont [Anderson, 2007] donne une
vision synthétique, cherche à combler cette insuffisance. Les
chercheurs du domaine mobilisent l’appareillage classique des
sciences de gestion notamment les travaux de [Shapiro, 1998] pour
éclairer la question de la sécurité sous un jour nouveau.
Trois éléments de base conditionnent toute réflexion autour de
l’ISE. Premièrement, cette dernière concerne des produits ayant des
coûts fixes élevés (forts coûts de développement) et de faibles coûts
marginaux (coûts de production), deuxièmement, elle se déroule
dans un espace marqué par l’asymétrie d’information, et finalement
elle doit tenir compte de la présence d’externalités de réseau [Katz,
1985]. Ces trois caractéristiques induisent de délicats problèmes
concernant la sécurité. Trois courtes questions théoriques illustrées
par des exemples permettent de nous en convaincre.
!
Le jeu des externalités de réseau peut-il expliquer la
diffusion de logiciels faiblement sécurisés ?
! Les dispositifs de sécurité peuvent-ils être instrumentés
pour accélérer les mécanismes de lock-in voire créer des
barrières à l’entrée ?
! Les problèmes de passager clandestin ne sont ils pas
inséparables de l’obtention de la sécurité ?
La première question permet de comprendre la stratégie de certains
éditeurs notamment Microsoft. Sur un marché où les externalités de
réseau priment, le choix de diffuser très rapidement des logiciels
faiblement sécurisés est parfaitement rationnel ; en l’état, tout autre
comportement va à l’encontre des intérêts de la firme. Notons
également que ces externalités jouent aussi pour l’attaquant : plus
une fragilité est commune, plus les cibles sont nombreuses et
l’attaque « rentable ».
La seconde question permet d’expliquer que certains fabricants
d’imprimantes aient adjoint à leurs produits des protocoles
d’identification des cartouches faisant automatiquement baisser la
définition lors de l’utilisation de cartouches concurrentes. Le
fabricant d’imprimantes crée une clientèle captive pour ces
imprimantes. L’étude de « Passport », une plateforme développée
par Microsoft permettant à un utilisateur d’effectuer ses
transactions sur l’ensemble des sites partenaires, nous apprend à la
fois que l’éditeur cherchait à identifier les flux en vue de céder les
informations « clients », et surtout que Microsoft recourait à un
protocole d’authentification des transactions dont il était
propriétaire. La sécurité sert ici de barrière à l’entrée.
Le dernier exemple renvoie à la notion d’aléa moral et de sélection
adverse. Il met en exergue la nécessaire réflexion sur l’élaboration
de schémas incitatifs permettant d’obtenir un niveau de sécurité
acceptable. En effet, différentes expériences ont montré que le
consentement à payer pour un surcroît de protection obéit à un
souci de protection purement individuel. L’agent est prêt à investir
fortement pour protéger son propre équipement mais est très peu
enclin à effectuer une dépense permettant de protéger des
équipements partagés (serveurs). Plus généralement, l’EIS souligne
le rôle joué par la distribution des responsabilités entre éditeur,
distributeur et utilisateurs pour les questions de sécurité.
Pour le cas des OSS, la question du passager clandestin et du bon
schéma d’incitation est étudiée de manière détaillée dans [Varian,
2004]. L’auteur montre qu’en fonction de celui qui assume la
question de la sécurité (programmeur, testeur, key user), celle-ci
dépend soit de l’investissement de l’agent le plus faible, soit de la
somme totale investie, soit de celle d’un individu leader.
Notre évocation de l’EIS souligne l’importance du point de vue
adopté (attaquant vs défenseur). La convergence des actions par le
biais d’incitations suppose que l’on précise les hypothèses de
comportements des acteurs. Celles-ci sont régulièrement formulées
en recourant à la théorie des jeux et les hypothèses
comportementales sont mises à l’épreuve dans des modèles
d’économie expérimentale.
Tant sur le versant technique que sur le versant économique,
aucune des deux options (OSS vs CSS) ne peut se targuer de
dominer. Les arguments respectifs ne permettant pas d’arbitrer
entre les deux options, nous proposons par la suite de présenter des
données relatives à trois attaques. Nous avons bénéficié d’un accès
privilégié aux informations relatives à ces trois affaires car l’un des
co-auteurs a participé aux enquêtes en tant qu’expert judiciaire. Par
l’étude de ces trois cas concernant des CSS, nous souhaitons
pointer les contributions éventuelles du choix d’un OSS pour les
sociétés ayant été victimes des attaques.
5. De l’apport potentiel du libre: Retour sur 3
affaires
Notre réflexion sur la contribution éventuelle du libre à la SSI nous
a permis d’identifier différents points d’attention tant d’un point de
vue technique qu’économique. Les trois cas que nous présentons
ci-après nous font penser que plutôt qu’une opposition de principes
stérile, les propriétés intrinsèques des deux classes de logiciels
peuvent se combiner. Nous soutenons alors que l'hétérogénéité du
parc est une piste pertinente pour sécuriser un SI. Trois
expériences différentes viennent étayer cette position:
La première concerne l'affaire Panda Software. En 2001, cette
société se voit accusée d’entretenir des liens économiques avec la
secte de la Scientologie. Deux ministères d'importance, l'intérieur et
l'éducation nationale en sont équipés (12% du parc du ministère de
l'Intérieur). Une fois les faits avérés, l'administration décide de
retirer ces produits au motif que l’anti-virus Panda a accès aux
couches basses du système d'exploitation et peut communiquer
indûment des informations à la secte. Cette dernière étant déjà
connue pour ses manoeuvres d'intrusion et d'ingérence, la prudence
dictait de retirer le produit.
Pour ce premier cas, l'emploi d'une technologie anti-virus issue du
logiciel libre aurait pu éviter bien des écueils. En particulier,
l’utilisateur a la possibilité de recompiler le code source, afin
d'avoir l'assurance que le programme final ne fait que ce qui est
inscrit dans le code source.
La deuxième expérience concerne des travaux prospectifs entrepris
au début des années 2000 et financés par le ministère français de la
Défense. L’objectif initial était double : d'une part, comprendre
comment fonctionnaient certaines attaques informatiques,
nouvelles à l'époque et, d'autre part, développer un outil
d'investigation voire d'attaque pour la Défense Nationale. Le
prototype produit alors était réellement novateur bien
qu’entièrement développé avec des outils librement accessibles à
tous programmeurs désireux d’effectuer des développements
autours de Windows. La cible de ce prototype était le monde
Windows, et pour des raisons de confidentialité, nous ne pouvons
pas communiquer outre mesure sur les tenants et aboutissants
techniques et d'emploi de ce projet (il relève de la classification
Défense).
Parallèlement à la mise en évidence de différentes fragilités, ce
projet a eu une conséquence corollaire importante. La cible
constituée d’infrastructures motorisées par des avatars de Windows
a permis aux experts de constater l'extrême vulnérabilité d'un parc
complet, fonctionnant exclusivement sous cet OS. En l'occurrence,
Windows n’est pas en cause mais bien l'homogénéité du parc. Ainsi,
les tests ont montré qu'une attaque ayant passé les premières lignes
de défense, a nettement plus de chances de se propager à l'ensemble
du parc, même si le réseau est divisé en unités fonctionnelles plus
ou moins cloisonnées.
La troisième expérience est une observation a posteriori. En 2004,
plusieurs sociétés de communication et de presse ont été la cible
d'attaques informatiques sur leurs serveurs WEB. Toutes les
attaques, motivées par des raisons politiques, se sont étalées
simultanément sur 4 jours et ont réussi à provoqué l'interruption des
services Web. Le préjudice financier et matériel est resté limité
mais ces événements ont fortement dégradé l'image de ces sociétés.
Techniquement parlant, les assaillants ont bénéficié d'un nombre
important de facteurs favorables. L'attaque déployée était de type
DDOS. Ce type d’attaque est l’archétype des techniques exploitant
l’homogénéité d'un parc ou réseau de machines. Cet épisode de
2004 est exemplaire puisque de nombreuses machines, dites
« zombies », ont été utilisées pour relayer et amplifier l'attaque
initiale et, par le même coup, masquer les identités des assaillants.
Ceci a été rendu possible par la présence, connectée à Internet, d'un
très grand nombre de micro-ordinteurs, fonctionnant sous
différentes versions de Windows. Lors de l’enquête, l’analyse de la
configuration de certaines machines a fait apparaître des
paramétrages mettant en danger la sécurité. Aux remarques des
enquêteurs, les utilisateurs ont opposé qu’ils faisaient confiance au
système pré-installé et qu’ils pensaient être protégés puisqu’ils
s’étaient dotés de logiciels de sécurité achetés sur étagère. Cette
croyance en l’invulnérabilité offerte par la simple installation de
logiciels de sécurité est largement diffusée. Lors de différentes
enquêtes, nous avons pu constater qu’elle est également partagée
par des décideurs informatiques de grandes entreprises, y compris
celles dont l'activité consiste à vendre du service informatique et
Internet. Le discours sur l’invincibilité véhiculé par les éditeurs de
logiciels propriétaires trouve un large écho à tous les niveaux.
Au delà la dichotomie libre vs propriétaire, l'hétérogénéité du parc
est, contrairement aux recommandations classiques de la SSI, un
facteur d'amélioration globale de la résistance du système
d'information aux attaques. Nous pourrions donc imaginer un parc
avec plusieurs OS propriétaires déployés pour obtenir cet
accroissement de sécurité.
Cette idée, qui est une transposition d’une idée classique en
biologie (l’homogénéité d’une population est facteur de fragilité
lors d’une infection) est explorée depuis peu. [Geer, 2003] plaide
pour une diffusion des OSS car il voit dans la monoculture
Microsoft un danger puisque l’ensemble du parc informatique est
sensible à une même attaque. Cette idée est reprise dans le rapport
[SGDN, 2006] « C’est en recherchant des architectures diversifiées
sur le plan matériel et logiciel qu’il sera possible de maîtriser le
risque d’attaques de grande ampleur ». Les travaux relatifs à cette
question restent relativement peu nombreux. [Picker, 2004]
l’aborde sous l’angle économique et affiche un scepticisme quant à
la pertinence d’une politique volontariste de diversité. Illustrant son
propos à l’aide de l’étude de la contamination des plantations de
coton au début de XX siècle, il envisage la diversité comme un
arbitrage « blé –coton ». Son argumentaire souligne différents
points d’attention (différence entre perspective individuelle et
collective, entre offre et demande de diversité) mais demeure
insatisfaisant car ses conclusions sont valides pour des biens de
consommation et non des moyens de production. L’apparition
récente de solutions combinant OSS et CSS semble d’ailleurs
démentir l’essentiel de ses conclusions.
Notons néanmoins que la diversité n’est une parade qu’aux attaques
s’appuyant sur l’homogénéité du parc (virus et DDOS). Pour les
autres types d’attaques, elle ne fait que compliquer la tâche de
l’assaillant. De plus, le principe d’un recours à la diversité est tout
au plus un guide ; les bonnes pratiques pour son opérationnalisation
restent largement à construire.
Conclusion :
La majorité des éléments que nous avons retenus lors de la présente
étude de la littérature sur la SSI semble plaider pour une utilisation
des OSS pour mettre en œuvre la SSI. Les avantages des OSS en
matière de sécurité sont nombreux à la fois sur un plan technique
mais aussi sur un plan économique. La principale faiblesse des
OSS pour la SSI est l’exposition aux failles en tout début de mise à
disposition du logiciel, mais la taille de la communauté et sa
réactivité redonnent rapidement l’avantage aux OSS par rapport
aux CSS. Une entreprise choisissant un OSS pour sa SSI devra
donc porter attention à choisir des OSS suffisamment anciens pour
garantir une exposition aux risques suffisamment faible.
Les cas relatés dans la littérature ainsi que les exemples que nous
avons pu étudier plaident également pour une hétérogénéité du parc
informatique. D’une part les hackers sont généralement spécialisés
dans la recherche et l’exploitation de failles sur un système
d’exploitation ou un logiciel particulier. Ainsi Microsoft cristallise
l’attention de la majorité des hackers, souvent motivés par des
considérations idéologiques. D’autre part, de nombreuses attaques
actuelles utilisent des techniques de diffusion virale ou sont des
attaques distribuées (DDOS) utilisant des machines relais ayant un
système d’exploitation commun. Or, il n’existe pour l’instant pas
de virus infectant indifféremment plusieurs systèmes d’exploitation
ou plus généralement de code binaire pouvant s’exécuter sur des
machines ayant des systèmes d’exploitation différents.
Cette hétérogénéité contrôlée, faite de différents OSS natifs voire
modifiés, et de systèmes propriétaires variés, permet à l’entreprise
de disposer d’un parc unique, ayant virtuellement une collection de
failles uniques mais nécessitant de la part d’attaquants un travail
important pour trouver un ensemble de failles pertinent. Ce travail
ne pourra pas être réutilisé pour attaquer d’autres cibles. Ainsi,
l’entreprise se protège des attaques de masse.
Ces conseils sont à considérer comme pertinents pour une durée
limitée. En effet, les attaquants s’adaptant aux techniques de
défense mise en place, il semble inévitable que des virus se
propageant dans des parcs hétérogènes fassent leur apparition un
jour si l’hétérogénéité devient un moyen de défense pour les
entreprises. Cette remarque vaut également pour l’adoption d’OSS
pour la SSI : Les OSS offrent actuellement de nombreux avantages
mais, s’ils viennent à sécuriser la majorité des parcs informatiques,
les hackers délaisseront l’attaque de logiciels propriétaires pour
concentrer leur attention sur les OSS. Ainsi, un des principaux
risques pour l’avenir des OSS pour garantir la SSI est leur succès
potentiel.
References
[Alhazmi, 2005] Alhazmi O. (2005) “Security Vulnerabilities in
Software Systems: A Quantitative Perspective”, Lecture Notes in
Computer Science, Volume 3654/2005, pp. 281-294.
[Anderson, 1972] Anderson J. P. (1972) “Computer Security
Technology Planning Study” ESD-TR-73-51, ESD/AFSC,
Hanscom AFB, Bedford, MA [NTIS AD-758 206] Vol I et II
[Anderson, 2007] Anderson R., Moore T. (2007) “The Economics
of Information Security: A Survey and Open Questions”, Fouth Biannual Conference on the economics of software and the Internet
Industries, Janvier, Toulouse, 27 pp.
[Boulanger, 2005] Boulanger A. (2005)”Open-source versus
proprietary software: Is one more reliable and secure than the
other?”, IBM Systems Journal, Vol. 44, NO 2, pp. 239-248
[Brown, 2002] Brown K. (2002) “Opening the Open Source
Debate” White paper, Alexis de Tocqueville Institution, pp. 33,
http://www.adti.net/opensource.pdf.
[Carayon, 2004] Carayon B. (2004) “Rapport d'information sur la
stratégie de sécurité économique nationale"disponible à
http://www.assemblee-nationale.fr/12/pdf/rap-info/i1664.pdf
[CERT
2006a]
http://www.cert-ist.com/fra/ressources/
publications_ArticlesBulletins/Veilletechnologique/SecuriteUSB/
[CERT 2006b] http://www.cert.org/stats/cert_stats.html
[Clusif, 2006] CLUSIF (2006) “Panorama de la cybercriminalité"
94 pp.
[Cohen, 1897] Cohen F. (1987) “Computer Viruses: Theory and
Experiments”, Computers and Security , Vol. 6 pp. 22-35.
[DOD, 1983] Department of Defense Computer Security
Evaluation Center; Trusted Computer System Evaluation Criteria
[Dupin, 2007] "Salon solutions Linux 2007: les chiffres clés du
marché" ZDNet France du 29/01/2007
[E&Y, 2004] Ernst & Young (2004) “La sécurité des systèmes
d'information dans les entreprises françaises en 2004 : Notre
éclairage sur la vision comparée de la France et du monde", 28 pp.
[Fisma, 2002] ‘‘Federal Information Security Management Act of
2002’’ 44 USC Sec. 3542
[Fitzgerald, 2002] Fitzgerald B., Krehbiel F. (2002) “Open Source
Software:
More
placebo
thn
Panacea?”
http://flossproject.org/workshop/papers/fitzgerald.html
[Geer, 2003] Geer & Alli (2003) “CyberInsecurity: The cost of
monopoly how the dominance of Microsoft’s products poses a risk
to security”, http://www.securityforest.com/
[Hars, 2002] Hars, A., S. Ou (2002) ”Working for Free?
Motivations for Participating in Open-Source Projects”,
International Journal of Electronic Commerce, Vol. 6 (3), pp. 25-39.
[Hertel, 2003] Hertel G., Niedner S., Hermann S. (2003)
“Motivation of software developers in the F/OSS projects: an
Internet-based survey of contributors to the Linux kernel”,
Research Policy, 327, pp. 1159-1177.
[Herold, 2006] Herold P. (2006) “The definitive guide: Security
Inside the Perimeter” Realtime Publisher, 211 pp
[Hoepman, 2007] Hoepman JH, Jacobs B. (2007) “INCREASED
SECURITY Through Open Source” Communications of the ACM
Vol. 50, No. 1, pp. 79 – 83
[Holmstrom, 1999] Holmstrom, B. (1999) “Managerial Incentive
Problems: A Dynamic Perspective”, Review of Economic Studies,
66, pp. 169-182.
[ISCA, 2004] Etude ICSA International Computer Security
Association
cité
à
l’adresse
http://www.symantec.com/region/fr/resources/melissa.html
[Katz, 1985] Katz M., Shapiro C. (1985) “Network Externalities,
Competition, and Compatibility”, The American Economic Review
Vol. 75 N° 3 pp 424–440.
[Koch, 2002] Koch S., Schneider G. (2002) “Effort, Cooperation
and Coordination in an Open Source Software Project: GNOME”,
Information Systems Journal (2002) Vol. 12, pp. 27-42.
[Médiamétrie, 2005] Mediametrie –eStats / @position (2005)
“ Panorama Médiamétrie e-Stats Mai 2005”
[Neumann, 1976] Neumann P. et al. (1976) “A Provably Secure
Operating System”
[Osterloh, 2003] Osterloh M. & alli ( 2003) “Open Source Software
Production: Climbing on the Shoulders of Giants”,
opensource.mit.edu/papers/osterlohrotakuster.pdf, 34 pp.
[Payne, 2002] Payne C. (2002) “On the security of open source
software”, Information Systems Journal, Vol. 12, pp. 61–78.
[Picker, 2004] Picker R.C. (2004) “Cyber Security: Of
Heterogeneity and Autarky” U Chicago Law & Economics, Olin
Working Paper No. 223
[Pinheiro, 2007] Pinheiro E. & alli (2007) “Failure Trends in a
Large Disk Drive Population” Proceedings of the 5th USENIX
Conference on File and Storage Technologies
[PWC, 2006] Security Breaches Survey Technical Report (URN
06/803) disponible à www.security-survey.gov.uk
[Radianti, 2006] Radianti J., Gonzalez J. ( 2006) “Toward a
Dynamic Modeling of the Vulnerability Black Market” The
Workshop on the Economics of Securing the Information
Infrastructure, 19 pp.
[Raymond, 1998] Raymond E.S. (1998) "The Cathedral and the
Bazaar" www.firstmonday.org/issues/issue3_3/raymond/index.html
[Riviere, 2003] Riviere J (2003) "Il faut gagner la confiance des
internautes", Journal du net du 29/01/03
[Shapiro, 1998] Shapiro C., Varian H. (1998) ‘Information Rules’,
Harvard Business School Press, 352 pages
[SGDN, 2006] Secrétariat Générale de la Défense Nationale
“Orientation des travaux de recherche et développement en matière
de sécurité des systèmes d’information" Rapport public N° 2571,12
[Varian, 2004] Varian H. (2004) “System Reliability and Free
Riding”, in Economics of Information Security, Kluwer pp 1–15
[Ware, 1970] Ware W.(1970) “Security Controls for Computer
Systems: Report of Defense Science Board Task Force on
Computer Security” Rand Report R609-1
[Wheeler, 2006] Wheeler (2006) “Open Standards and Security”
www.dwheeler.com/essays/open-standards-security.pdf