Pour éviter qu`ils rentrent, fournissez les clefs
Transcription
Pour éviter qu`ils rentrent, fournissez les clefs
Pour éviter qu’ils rentrent, fournissez les clefs … XXX Résumé Les logiciels libres rendent publics leurs fonctionnements intimes. Ce faisant, ils semblent faire courir à leur utilisateur un risque majeur en matière de sécurité. Pourtant, des organismes publics liés à la défense nationale promeuvent et adoptent ces logiciels. Cette apparente incongruité mérite une étude approfondie des relations entre logiciels libres et sécurité. Cette contribution, après avoir précisé et positionné la notion de sécurité des SI (SSI), fait état des arguments avancés tant par les éditeurs de logiciels propriétaires que par les tenants du libre. La relecture de ces arguments au travers de 3 affaires nous amène à proposer une stratégie de sécurisation basée sur l’hétérogénéité du parc. Mots clés: Logiciels libres, sécurité des systèmes d’information. 1. Introduction: Pour un chercheur en sciences de gestion, le « monde » du logiciel libre est un univers bien étrange. La théorisation classique de l’homo-economicus n’aide guère à comprendre qu’un ensemble d’individus généralement hautement qualifiés s’investissent pour développer des briques logicielles dans une optique de bien commun ([Holmstrom, 1999], [Hars, 2002], [Hertel, 2003]). Que des organisations s’apparentant à un bazar viennent saper les fondations de cathédrales industrielles représentant autant de joyaux de la nouvelle économie dénote à la fois de l’importance et de l’originalité du mouvement du logiciel libre [Raymond, 1998][Osterloh, 2003]. De nombreuses recherches tant en informatique qu’en gestion ont dressé les contours et caractérisé cet objet singulier. Le volume, la richesse et la pluralité de ces travaux en éclairent différentes facettes. Néanmoins, la variété des remises en cause laisse dans l’ombre nombre de thématiques. Par cette communication, nous aimerions souligner une incongruité rarement étudiée. A la différence des logiciels propriétaires marqués du sceau du secret, les logiciels libres présentent la caractéristique de révéler le code source. Cette stratégie de rendre publique, disponible et librement modifiable la totalité de l’information (code + documentation) peut apparaître comme étant préjudiciable à la sécurité. Pour le gestionnaire, cette dernière est classiquement associée à la notion de secret. En effet, comment imaginer qu’en donnant les clefs des coffres, la protection de leur contenu est améliorée. Et pourtant… différentes données valident cette idée singulière [Dupin, 2007]. Dans un univers en réseau, un point de fragilité essentiel est la sécurité des serveurs Web. Cependant, c’est pour cette fonctionnalité critique que la diffusion des OSS (Open-source software) est la plus massive. Près des deux tiers des serveurs Web dans le monde utilisent Apache. De l’autre côté de la chaîne de l’information, les utilisateurs finaux adoptent de plus en plus le navigateur en licence libre Firefox [Médiamétrie, 2005] qui offre un meilleur niveau de sécurité [Wheeler, 2006]. En outre, les principaux organismes publics recommandent l’adoption d’OSS. Ainsi, le département de la défense des Etats Unis (DoD) conseille dans sa directive 5000.1 : “OSS shall be employed, where feasible.”. La commission Européenne tient un discours similaire : “guidance needs to focus on open standards”. En France, la loi organique relative aux lois de finances privilégie les solutions libres [Carayon, 2004]. Les OSS sont d’ailleurs adoptés par des organismes pour lesquels la sécurité est essentielle (Gendarmerie, Ministère des Finances). Ainsi, bien que largement contre-intuitive, l’idée que les OSS sont des solutions accroissant la sécurité des SI semble accréditée par les faits. Cependant, différentes questions restent ouvertes. ! L’éventuelle amélioration de la sécurité provient-elle des caractéristiques techniques des produits ? ! La sécurité réside-t-elle dans le mode de développement communautaire des OSS ? ! Est-elle le fait de l’existence d’une culture de la sécurité prévenant par là même les comportements à risque ? ! Le gain en sécurité ne provient-il pas simplement de l’introduction d’hétérogénéité dans le parc ? C’est autour de ces diverses questions que va s’articuler notre communication. Elle procédera en quatre temps correspondant à autant de sections. La première dresse un rapide panorama de la situation et des usages en termes de sécurité des systèmes d’information (SSI). La seconde section détaille trois sources de vulnérabilités et évoque les apports en sécurité obtenus grâce au libre. La troisième partie approfondit ce questionnement en l’abordant à la fois sous l’angle technique et économique. Elle précise si la sécurité provient de l’existence de systèmes ouverts ou si elle n’est pas plutôt imputable aux standards ouverts [Wheeler 2006], si elle est liée aux grandes options prises en termes de technique de développement ou si le mouvement même du libre crée les conditions économiques nécessaires à l’amélioration de la sécurité. Par la suite, l’ensemble de ces éléments est discuté au travers de trois cas. L’accès à ces derniers nous a été possible grâce à la participation à la rédaction de cette communication d’un expert judiciaire auprès du tribunal de Paris spécialisé dans les questions de sécurité informatique. En revanche, des contraintes de confidentialité limitent logiquement les données présentées aux seuls éléments communicables. Finalement, l’idée d’un accroissement de la sécurité par hétérogénéisation du parc est discutée. 2. La sécurité des SI : définitions, enjeux et faits marquants 2.1. Définitions La sécurité des SI (SSI), consubstantielle au SI, n’a réellement fait irruption dans l’univers gestionnaire qu’au courant des années 1970 à la suite des rapports [Ware, 1970] et [Anderson, 1972]. A cette date, elle déborde du domaine purement militaire, focalisé sur la cryptographie, et des avancées conceptuelles et pragmatiques sont effectuées [Neumann, 1976]. Des publications séminales comme l’Orange Book [DOD, 1983] jettent les bases d’une réelle gestion de la SSI. Le corpus de documents de référence s’est depuis largement étoffé et il regroupe actuellement deux types de sources. Il s’agit premièrement d’une série de normes et deuxièmement d’un ensemble de méthodes (Ebios, Cobit, Mehari, etc.). Les premières définissent et articulent différentes étapes dans une démarche structurée, les secondes permettent d’opérationnaliser ces dernières. Par exemple, la méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) permet d’instrumenter la phase d’identification des risques proposée par la norme ISO 27002. Cette nouvelle série de normes dédiées à la SSI (Série ISO 27000) est actuellement en plein développement et, à ce jour, le processus de publication de la norme de vocabulaire ISO 27 000 est en cours. Nous proposons alors la définition suivante qui reprend les éléments habituellement cités [Fisma, 2002], [SGDN, 2006] : La SSI articule un ensemble de moyens techniques, organisationnels, juridiques et humains nécessaires pour conserver, rétablir, et garantir la sécurité de l'information et du système d'information. Elle se focalise sur trois notions principales qui sont l’intégrité (altération et/ou destruction de l’information), la confidentialité (révélation à des tiers de données qui ne leur sont pas destinées) et la disponibilité du système (déni de service). Cette définition synthétise les caractéristiques habituelles de la SSI. Certains auteurs rajoutent néanmoins parfois d’autres considérations comme par exemple l’imputabilité (aptitude à identifier celui qui fait une action) ou la non répudiation (aptitude d’un système à empêcher l’utilisateur de nier une action réalisée). A ce stade, nous proposons de dresser un rapide panorama de la SSI. Il sera suivi de l’énoncé de quelques principes généraux permettant d’éclairer le cadre dans lequel se pose la question des éventuels gains en sécurité procurés par le recours à des OSS. 2.2. Enjeux L’enjeu économique de la SSI est significatif. Même s’il est difficile de chiffrer précisément le coût de la « non sécurité», à l’échelle globale, les pertes s’expriment en milliard de dollars. Les 313 répondant du rapport CSI-FBI 2006 évaluaient les coûts supportés par leurs entreprises à 52 ,5 millions de dollars. L’étude menée en Grande Bretagne par PWC [PWC, 2006] donne une évaluation moyenne du coût d’un incident majeur de 25 000 $. Cette somme atteint 200 000 $ pour les grandes entreprises. En pleine période de diffusion du virus « I love you », Current Analysis a estimé les pertes à 2,61 milliards de dollars. Le virus Melissa pour sa part a coûté 385 millions de dollars rien qu’aux Etats-Unis [ISCA, 2004] et la totalité des coûts des attaques virales a été estimé à 17,1 milliards en 2000. Plus récemment, le mois de février 2007 a été marqué par des attaques de déni de service pour 3 des 13 serveurs racines de la Toile, par l’exploitation de faiblesses sur des matériels Cisco, par l’identification de faille dans Internet Explorer 6 et 7 permettant de prendre le contrôle d’une machine à distance et par l’apparition d’une faille dans Google Desktop permettant à un utilisateur malveillant de lire le contenu d’un disque dur lors d’une visite sur un site grâce à l’exécution d’un code en JavaScript. Plus de la moitié de personnes interrogées dans le panel du FBI reconnaissent l’existence d’une utilisation non autorisée de leur SI et près de trois quarts estiment avoir été victimes d’au moins une attaque en 2006. Les coûts et la prégnance des menaces sont des faits avérés. Cependant, bien que les directions générales estiment massivement que la SSI joue un rôle capital dans l’atteinte de leurs objectifs stratégiques, cette dernière ne représente une priorité que pour 20% des décideurs sondés [E&Y, 2004]. Les sommes allouées à la SSI restent faibles (de l’ordre de 5% du budget SI) bien que les incidents liés à la sécurité dégradent l’image de marque des entreprises voire affecte leur valorisation boursière. Pour les Etats, davantage qu’un objet économique, la SSI constitue un enjeu de souveraineté nationale [SGDN, 2006]. 2.3. Faits marquants : La variété des attaques s’accroît et la vitesse de diffusion s’accélère. L’inventivité grandissante des individus malveillants pose régulièrement de nouveaux défis au responsable de la SSI. Parallèlement au renouvellement des modes classiques d’action (virus, attaque en DDoS), ils font face à de nouvelles formes d’atteinte à la sécurité [Clusif, 2006]. Citons par exemple l’utilisation de la VoIP pour réaliser du spam (SPIT) ou la manipulation de cours de bourse (Pump and Dump) via l’utilisation de spam (Stock Spam). Ces changements des modes d’action s’inscrivent dans un environnement marqué par de rapides évolutions technologiques. Ces dernières se caractérisant par l’accroissement des débits (ADSL), le nomadisme rendu possible par des objets communicants utilisant des technologies sans fil, la centralisation de données (data warehouse). Assurer la SSI nécessite de ce fait des compétences de plus en plus pointues et variées. Dans les grandes structures, ceci intensifie la parcellisation des activités d’administration du SI. Pour les plus petites structures, le recours à de multiples prestataires extérieurs s’impose. Cette atomisation des compétences complique la mise au point de stratégie globale de sécurité. Une transformation des motivations des attaquants. Sans verser dans la paranoïa, force est de constater que les attaques sont de moins en moins le fait de personnes isolées et douées visant des exploits sous la forme de POC (Proof Of Concept). Les atteintes à la sécurité sont régulièrement orchestrées par de groupes organisés ne cherchant pas à démontrer l’existence d’une vulnérabilité mais à l’exploiter à leurs fins. L’apparition d’un marché sur lequel des attaques « 0 day » peuvent s’échanger en est le signe [Radianti, 2006]. Parallèlement à cette professionnalisation de la cybercriminalité apparaît un second type de public présentant de réels dangers. Ces personnes que nous baptisons « apprentis sorciers » profitent de la disponibilité d’outils de hacking pour tenter des actions malveillantes. Leur faible maîtrise des fondements théoriques et informatiques des outils qu’ils mobilisent les conduit à réaliser des actions sans qu’ils n’en mesurent forcément toutes les conséquences [Riviere, 2003]. Au-delà de ces données factuelles illustrant à la fois l’importance de la problématique de la SSI et les variations de l’environnement dans lequel elle doit être assurée, nous proposons de rappeler quelques principes liés à la sécurité informatique. Ces derniers nous permettent alors de discuter des éventuelles contributions des logiciels libres à la sécurité. 3. Composants à l’origines de l’insécurité En ce qu’il met en œuvre des éléments matériels, logiciels et humains, tous SI présentent potentiellement des défauts de sûreté. 3.1. Aspects matériels : Ne serait-ce que sur le critère de disponibilité, la matérialité du SI pose la question de la fiabilité des différents composants. Différentes études et techniques sont disponibles pour quantifier le MTBF (Mean Time Between Failure) tant au niveau d’un composant (disque dur [Pinheiro, 2007]) qu’au niveau d’une architecture d’ensemble. Remarquons que les possibilités de créer des réseaux P2P compliquent l’évaluation de la fiabilité car la topologie du réseau est mouvante. De manière générale, les évolutions des technologies et la volonté d’accroître le degré d’intégration entre partenaires économiques (B2B et B2C) accroîssent la porosité du périmètre sécurisé [Herold, 2006]. La notion même de périmètre, concept de base s’il en est de la SSI, est profondément chamboulée : d’une représentation sous la forme de domaine clairement délimité à protéger de menaces extérieures, l’on s’oriente vers une représentation auto-organisante du périmètre [SGDN, 2006]. En plus des questions de fiabilité, notons également que certains éléments matériels peuvent servir à perpétrer ou diffuser des attaques (clef USB 3G par exemple [CERT, 2006a]). Sur ce point, l’apparition de logiciel libre ne modifie que marginalement la sécurité. Les OSS fonctionnent sur le même type de matériel que les systèmes propriétaires. Néanmoins, deux points sont à signaler. Premièrement, les possibilités de paramétrage offertes par les OSS permettent une gestion affinée des processus activés par le système d’exploitation. Ceci permet d’adapter la puissance de calcul des équipements aux besoins de son utilisateur réduisant par là même le volume de ressources inutilisées potentiellement exploitables par un intrus. Deuxièmement, les développeurs d’OS en libre sont amenés à examiner les drivers fournis par les fabricants de périphériques, ce qui permet potentiellement d’identifier des vulnérabilités. 3.2. Aspects logiciels : Il existe une impossibilité théorique à juger ex-ante de la sûreté d’un logiciel. [Cohen, 1997] démontre grâce à une modélisation recourant au formalisme de Turing, qu’il est impossible de détecter une infection virale au vu des seules propriétés du code. Bien que toujours discuté, ce résultat (théorème d’indécidabilité) laisse entendre qu’en certaines situations, seule l’activation du virus le rend décelable. Sur le versant pragmatique, tout code est forcément entaché d’erreurs. Il est communément admis qu’un taux de 1 à 5 erreurs est présent par 1000 lignes de code (LOC). A titre d’exemple, avant son lancement, 63 000 bugs ont été expurgés de la version Windows 2000 comportant 35 millions de LOC. Cependant, quelles que soient les précautions prises, il demeure des erreurs résiduelles. Il suffit pour s’en convaincre de consulter les statistiques de 2006 du CERT [CERT, 2006b] qui a mentionné 8 064 vulnérabilités et publié 422 notes concernant les plus dangereuses. En exploitant les données du CERT, [Alhazmi, 2005] ont développé un modèle prédictif du nombre de vulnérabilités à l’aide d’une fonction logistique (sigmoïde). Leurs travaux montrent qu’après une phase de croissance lors de la diffusion du logiciel, le rythme d’apparition de nouvelles vulnérabilités tend à diminuer. Parce qu’elles constituent un point central de notre argumentaire, les contributions potentielles à la SSI provenant d’une adoption d’OSS font l’objet d’une présentation détaillée dans la section 4.1. Notons cependant dès à présent qu’à minima, tous les experts admettent que le niveau de sécurité offert par les OSS est au moins équivalent à ceux des systèmes propriétaires. 3.3. Aspects humains : Les comportements des utilisateurs entament régulièrement la SSI. Certains utilisateurs peuvent sciemment remettre en cause la SSI en cherchant à détourner en leur faveur les possibilités d’accès à des ressources (données, matériels). Dans [CSI-FBI, 2006], 20% des répondants pensent que les membres de leur organisation sont à l’origine de plus de 60% des pertes. Parallèlement à ces actions intentionnelles, un certain nombre de comportements peu précautionneux compromettent la sécurité. Le choix d’un mot de passe faible, la divulgation à un collègue de ses codes, la non-clôture de session lors de l’absence de son poste, la sensibilité à des hameçonnages (phishing) sont autant de remises en cause de la sécurité. Parallèlement, des manœuvres d’ingénierie sociale (manipulation consistant à obtenir un bien ou une information, en exploitant la confiance, l'ignorance ou la crédulité de tierces personnes) permettent à un assaillant d’obtenir des informations nécessaires à son attaque. Ces manœuvres complètent régulièrement des procédés purement techniques. Les attaques les plus réussies sont habituellement celles qui combinent des failles humaines avec des failles techniques. Longtemps, le recours à des logiciels libres a nécessité de réelles compétences techniques. Ils étaient de fait réservés à un public ayant une connaissance précise du fonctionnement de leurs équipements et des protocoles de communication. Ceci les conduisait à adopter des comportements prudents car ils pouvaient inférer les conséquences de leurs actions. Avec l’apparition d’OSS grand public, les comportements adoptés dans la sphère privée qui n’obéissent généralement pas au même degré d’exigence que ceux imposés dans l’univers professionnel sont reproduits au travail. En résumé, ayant montré qu’il convient de considérer les promesses de l’avènement prochain de SI parfaitement sûr avec perplexité, la question posée est celle du degré de risque acceptable et des modalités de gestion de ce dernier au sein d’un collectif. Si quelques éléments précédemment mentionnés donnent à penser que les OSS peuvent contribuer à sécuriser un SI, l’étude de cette question doit être systématisée. A cette fin, nous l’abordons dans sa globalité et de manière plurielle en privilégiant deux axes. Le premier est l’axe technique. Il s’agit de faire un état des lieux des arguments avancés par les promoteurs des OSS comme solutions assurant une sécurité accrue ainsi que les contre-arguments mentionnés par la partie adverse (logiciels propriétaires). Le second axe apporte un éclairage complémentaire : Arguant du fait que les seules considérations techniques sont insuffisantes pour expliquer les faibles progrès réalisés en matière de sécurité, un ensemble de chercheurs renouvellent la réflexion en mobilisant des outils théoriques classiques en économie. Ils soutiennent à la suite de [Anderson, 07] que « Economic analysis often explains failure better than technical analysis! » 4. Vulnérabilité des systèmes propriétaires vs open source : approche technico-économique La question de la supériorité respective des OSS vs logiciels propriétaires a fait l’objet de débats nombreux, houleux et passionnés. Souhaitant ici uniquement rendre compte des arguments avancés par les différentes parties, nous effectuons une rapide synthèse de la littérature. Celle-ci s’appuie prioritairement sur [Payne, 2002] [Boulanger, 2005] [Fitzgerald, 2002] [Brown, 2002] [Hoepman, 2007].et les arguments sont synthétisés dans le tableau ci-dessous. 4.1. La dimension technique : Synthèse des arguments Pour le moins la confrontation des arguments techniques ne donne aucun avantage décisif à la stratégie de “Security by obscurity” sur ‘‘Given enough eyeballs, all bugs become shallow.’’. Les experts admettent d’ailleurs quasi–unanimement que les OSS sont au moins aussi sûrs que les CSS. D’autres arguments d’ordre économique peuvent alors être avancés pour justifier de l’existence d’un différentiel de sécurité entre les deux catégories de logiciels. 4.2. Un regard croisé : L’approche économique Si elle dépend des comportements individuels, la SSI est avant tout une problématique collective. Peu d’autres situations de la vie quotidienne présentent des propriétés similaires à celles de la problématique de la SSI, c’est pourquoi cette notion est difficilement appropriable par les utilisateurs. Avoir une pleine conscience qu’il suffit qu’une seule machine soit mal protégée pour remettre en cause l’ensemble d’un réseau, imaginer que pendant que j’effectue mes activités quotidiennes, une partie de mes ressources sert à porter une attaque, nécessite un travail de sensibilisation de longue haleine. Ce travail est d’autant plus difficile que, premièrement, l’explication des impacts d’une négligence va faire appel à des considérations techniques dépassant habituellement les compétences des utilisateurs, que deuxièmement, les utilisateurs ont a priori confiance dans les systèmes et les contacts qu’ils mobilisent et que, troisièmement, il existe une habitude d’obtenir des fonctionnalités étendues sans rajout de contraintes d’utilisation (plug & play). Ces quelques considérations liminaires plaident pour une prise en compte du problème de sécurité allant au-delà de l’étude des seules spécificités techniques. Ces dernières sont riches d’enseignement sur les conditions des actions et les modalités pratiques permettant d’y faire face mais elles ne caractérisent pas explicitement les motivations des assaillants ni les conditions socioéconomiques dans lesquelles prennent place leurs agissements illicites. L’économie de la sécurité de l’information (notée ici ISE pour information security economics) dont [Anderson, 2007] donne une vision synthétique, cherche à combler cette insuffisance. Les chercheurs du domaine mobilisent l’appareillage classique des sciences de gestion notamment les travaux de [Shapiro, 1998] pour éclairer la question de la sécurité sous un jour nouveau. Trois éléments de base conditionnent toute réflexion autour de l’ISE. Premièrement, cette dernière concerne des produits ayant des coûts fixes élevés (forts coûts de développement) et de faibles coûts marginaux (coûts de production), deuxièmement, elle se déroule dans un espace marqué par l’asymétrie d’information, et finalement elle doit tenir compte de la présence d’externalités de réseau [Katz, 1985]. Ces trois caractéristiques induisent de délicats problèmes concernant la sécurité. Trois courtes questions théoriques illustrées par des exemples permettent de nous en convaincre. ! Le jeu des externalités de réseau peut-il expliquer la diffusion de logiciels faiblement sécurisés ? ! Les dispositifs de sécurité peuvent-ils être instrumentés pour accélérer les mécanismes de lock-in voire créer des barrières à l’entrée ? ! Les problèmes de passager clandestin ne sont ils pas inséparables de l’obtention de la sécurité ? La première question permet de comprendre la stratégie de certains éditeurs notamment Microsoft. Sur un marché où les externalités de réseau priment, le choix de diffuser très rapidement des logiciels faiblement sécurisés est parfaitement rationnel ; en l’état, tout autre comportement va à l’encontre des intérêts de la firme. Notons également que ces externalités jouent aussi pour l’attaquant : plus une fragilité est commune, plus les cibles sont nombreuses et l’attaque « rentable ». La seconde question permet d’expliquer que certains fabricants d’imprimantes aient adjoint à leurs produits des protocoles d’identification des cartouches faisant automatiquement baisser la définition lors de l’utilisation de cartouches concurrentes. Le fabricant d’imprimantes crée une clientèle captive pour ces imprimantes. L’étude de « Passport », une plateforme développée par Microsoft permettant à un utilisateur d’effectuer ses transactions sur l’ensemble des sites partenaires, nous apprend à la fois que l’éditeur cherchait à identifier les flux en vue de céder les informations « clients », et surtout que Microsoft recourait à un protocole d’authentification des transactions dont il était propriétaire. La sécurité sert ici de barrière à l’entrée. Le dernier exemple renvoie à la notion d’aléa moral et de sélection adverse. Il met en exergue la nécessaire réflexion sur l’élaboration de schémas incitatifs permettant d’obtenir un niveau de sécurité acceptable. En effet, différentes expériences ont montré que le consentement à payer pour un surcroît de protection obéit à un souci de protection purement individuel. L’agent est prêt à investir fortement pour protéger son propre équipement mais est très peu enclin à effectuer une dépense permettant de protéger des équipements partagés (serveurs). Plus généralement, l’EIS souligne le rôle joué par la distribution des responsabilités entre éditeur, distributeur et utilisateurs pour les questions de sécurité. Pour le cas des OSS, la question du passager clandestin et du bon schéma d’incitation est étudiée de manière détaillée dans [Varian, 2004]. L’auteur montre qu’en fonction de celui qui assume la question de la sécurité (programmeur, testeur, key user), celle-ci dépend soit de l’investissement de l’agent le plus faible, soit de la somme totale investie, soit de celle d’un individu leader. Notre évocation de l’EIS souligne l’importance du point de vue adopté (attaquant vs défenseur). La convergence des actions par le biais d’incitations suppose que l’on précise les hypothèses de comportements des acteurs. Celles-ci sont régulièrement formulées en recourant à la théorie des jeux et les hypothèses comportementales sont mises à l’épreuve dans des modèles d’économie expérimentale. Tant sur le versant technique que sur le versant économique, aucune des deux options (OSS vs CSS) ne peut se targuer de dominer. Les arguments respectifs ne permettant pas d’arbitrer entre les deux options, nous proposons par la suite de présenter des données relatives à trois attaques. Nous avons bénéficié d’un accès privilégié aux informations relatives à ces trois affaires car l’un des co-auteurs a participé aux enquêtes en tant qu’expert judiciaire. Par l’étude de ces trois cas concernant des CSS, nous souhaitons pointer les contributions éventuelles du choix d’un OSS pour les sociétés ayant été victimes des attaques. 5. De l’apport potentiel du libre: Retour sur 3 affaires Notre réflexion sur la contribution éventuelle du libre à la SSI nous a permis d’identifier différents points d’attention tant d’un point de vue technique qu’économique. Les trois cas que nous présentons ci-après nous font penser que plutôt qu’une opposition de principes stérile, les propriétés intrinsèques des deux classes de logiciels peuvent se combiner. Nous soutenons alors que l'hétérogénéité du parc est une piste pertinente pour sécuriser un SI. Trois expériences différentes viennent étayer cette position: La première concerne l'affaire Panda Software. En 2001, cette société se voit accusée d’entretenir des liens économiques avec la secte de la Scientologie. Deux ministères d'importance, l'intérieur et l'éducation nationale en sont équipés (12% du parc du ministère de l'Intérieur). Une fois les faits avérés, l'administration décide de retirer ces produits au motif que l’anti-virus Panda a accès aux couches basses du système d'exploitation et peut communiquer indûment des informations à la secte. Cette dernière étant déjà connue pour ses manoeuvres d'intrusion et d'ingérence, la prudence dictait de retirer le produit. Pour ce premier cas, l'emploi d'une technologie anti-virus issue du logiciel libre aurait pu éviter bien des écueils. En particulier, l’utilisateur a la possibilité de recompiler le code source, afin d'avoir l'assurance que le programme final ne fait que ce qui est inscrit dans le code source. La deuxième expérience concerne des travaux prospectifs entrepris au début des années 2000 et financés par le ministère français de la Défense. L’objectif initial était double : d'une part, comprendre comment fonctionnaient certaines attaques informatiques, nouvelles à l'époque et, d'autre part, développer un outil d'investigation voire d'attaque pour la Défense Nationale. Le prototype produit alors était réellement novateur bien qu’entièrement développé avec des outils librement accessibles à tous programmeurs désireux d’effectuer des développements autours de Windows. La cible de ce prototype était le monde Windows, et pour des raisons de confidentialité, nous ne pouvons pas communiquer outre mesure sur les tenants et aboutissants techniques et d'emploi de ce projet (il relève de la classification Défense). Parallèlement à la mise en évidence de différentes fragilités, ce projet a eu une conséquence corollaire importante. La cible constituée d’infrastructures motorisées par des avatars de Windows a permis aux experts de constater l'extrême vulnérabilité d'un parc complet, fonctionnant exclusivement sous cet OS. En l'occurrence, Windows n’est pas en cause mais bien l'homogénéité du parc. Ainsi, les tests ont montré qu'une attaque ayant passé les premières lignes de défense, a nettement plus de chances de se propager à l'ensemble du parc, même si le réseau est divisé en unités fonctionnelles plus ou moins cloisonnées. La troisième expérience est une observation a posteriori. En 2004, plusieurs sociétés de communication et de presse ont été la cible d'attaques informatiques sur leurs serveurs WEB. Toutes les attaques, motivées par des raisons politiques, se sont étalées simultanément sur 4 jours et ont réussi à provoqué l'interruption des services Web. Le préjudice financier et matériel est resté limité mais ces événements ont fortement dégradé l'image de ces sociétés. Techniquement parlant, les assaillants ont bénéficié d'un nombre important de facteurs favorables. L'attaque déployée était de type DDOS. Ce type d’attaque est l’archétype des techniques exploitant l’homogénéité d'un parc ou réseau de machines. Cet épisode de 2004 est exemplaire puisque de nombreuses machines, dites « zombies », ont été utilisées pour relayer et amplifier l'attaque initiale et, par le même coup, masquer les identités des assaillants. Ceci a été rendu possible par la présence, connectée à Internet, d'un très grand nombre de micro-ordinteurs, fonctionnant sous différentes versions de Windows. Lors de l’enquête, l’analyse de la configuration de certaines machines a fait apparaître des paramétrages mettant en danger la sécurité. Aux remarques des enquêteurs, les utilisateurs ont opposé qu’ils faisaient confiance au système pré-installé et qu’ils pensaient être protégés puisqu’ils s’étaient dotés de logiciels de sécurité achetés sur étagère. Cette croyance en l’invulnérabilité offerte par la simple installation de logiciels de sécurité est largement diffusée. Lors de différentes enquêtes, nous avons pu constater qu’elle est également partagée par des décideurs informatiques de grandes entreprises, y compris celles dont l'activité consiste à vendre du service informatique et Internet. Le discours sur l’invincibilité véhiculé par les éditeurs de logiciels propriétaires trouve un large écho à tous les niveaux. Au delà la dichotomie libre vs propriétaire, l'hétérogénéité du parc est, contrairement aux recommandations classiques de la SSI, un facteur d'amélioration globale de la résistance du système d'information aux attaques. Nous pourrions donc imaginer un parc avec plusieurs OS propriétaires déployés pour obtenir cet accroissement de sécurité. Cette idée, qui est une transposition d’une idée classique en biologie (l’homogénéité d’une population est facteur de fragilité lors d’une infection) est explorée depuis peu. [Geer, 2003] plaide pour une diffusion des OSS car il voit dans la monoculture Microsoft un danger puisque l’ensemble du parc informatique est sensible à une même attaque. Cette idée est reprise dans le rapport [SGDN, 2006] « C’est en recherchant des architectures diversifiées sur le plan matériel et logiciel qu’il sera possible de maîtriser le risque d’attaques de grande ampleur ». Les travaux relatifs à cette question restent relativement peu nombreux. [Picker, 2004] l’aborde sous l’angle économique et affiche un scepticisme quant à la pertinence d’une politique volontariste de diversité. Illustrant son propos à l’aide de l’étude de la contamination des plantations de coton au début de XX siècle, il envisage la diversité comme un arbitrage « blé –coton ». Son argumentaire souligne différents points d’attention (différence entre perspective individuelle et collective, entre offre et demande de diversité) mais demeure insatisfaisant car ses conclusions sont valides pour des biens de consommation et non des moyens de production. L’apparition récente de solutions combinant OSS et CSS semble d’ailleurs démentir l’essentiel de ses conclusions. Notons néanmoins que la diversité n’est une parade qu’aux attaques s’appuyant sur l’homogénéité du parc (virus et DDOS). Pour les autres types d’attaques, elle ne fait que compliquer la tâche de l’assaillant. De plus, le principe d’un recours à la diversité est tout au plus un guide ; les bonnes pratiques pour son opérationnalisation restent largement à construire. Conclusion : La majorité des éléments que nous avons retenus lors de la présente étude de la littérature sur la SSI semble plaider pour une utilisation des OSS pour mettre en œuvre la SSI. Les avantages des OSS en matière de sécurité sont nombreux à la fois sur un plan technique mais aussi sur un plan économique. La principale faiblesse des OSS pour la SSI est l’exposition aux failles en tout début de mise à disposition du logiciel, mais la taille de la communauté et sa réactivité redonnent rapidement l’avantage aux OSS par rapport aux CSS. Une entreprise choisissant un OSS pour sa SSI devra donc porter attention à choisir des OSS suffisamment anciens pour garantir une exposition aux risques suffisamment faible. Les cas relatés dans la littérature ainsi que les exemples que nous avons pu étudier plaident également pour une hétérogénéité du parc informatique. D’une part les hackers sont généralement spécialisés dans la recherche et l’exploitation de failles sur un système d’exploitation ou un logiciel particulier. Ainsi Microsoft cristallise l’attention de la majorité des hackers, souvent motivés par des considérations idéologiques. D’autre part, de nombreuses attaques actuelles utilisent des techniques de diffusion virale ou sont des attaques distribuées (DDOS) utilisant des machines relais ayant un système d’exploitation commun. Or, il n’existe pour l’instant pas de virus infectant indifféremment plusieurs systèmes d’exploitation ou plus généralement de code binaire pouvant s’exécuter sur des machines ayant des systèmes d’exploitation différents. Cette hétérogénéité contrôlée, faite de différents OSS natifs voire modifiés, et de systèmes propriétaires variés, permet à l’entreprise de disposer d’un parc unique, ayant virtuellement une collection de failles uniques mais nécessitant de la part d’attaquants un travail important pour trouver un ensemble de failles pertinent. Ce travail ne pourra pas être réutilisé pour attaquer d’autres cibles. Ainsi, l’entreprise se protège des attaques de masse. Ces conseils sont à considérer comme pertinents pour une durée limitée. En effet, les attaquants s’adaptant aux techniques de défense mise en place, il semble inévitable que des virus se propageant dans des parcs hétérogènes fassent leur apparition un jour si l’hétérogénéité devient un moyen de défense pour les entreprises. Cette remarque vaut également pour l’adoption d’OSS pour la SSI : Les OSS offrent actuellement de nombreux avantages mais, s’ils viennent à sécuriser la majorité des parcs informatiques, les hackers délaisseront l’attaque de logiciels propriétaires pour concentrer leur attention sur les OSS. Ainsi, un des principaux risques pour l’avenir des OSS pour garantir la SSI est leur succès potentiel. References [Alhazmi, 2005] Alhazmi O. (2005) “Security Vulnerabilities in Software Systems: A Quantitative Perspective”, Lecture Notes in Computer Science, Volume 3654/2005, pp. 281-294. [Anderson, 1972] Anderson J. P. (1972) “Computer Security Technology Planning Study” ESD-TR-73-51, ESD/AFSC, Hanscom AFB, Bedford, MA [NTIS AD-758 206] Vol I et II [Anderson, 2007] Anderson R., Moore T. (2007) “The Economics of Information Security: A Survey and Open Questions”, Fouth Biannual Conference on the economics of software and the Internet Industries, Janvier, Toulouse, 27 pp. [Boulanger, 2005] Boulanger A. (2005)”Open-source versus proprietary software: Is one more reliable and secure than the other?”, IBM Systems Journal, Vol. 44, NO 2, pp. 239-248 [Brown, 2002] Brown K. (2002) “Opening the Open Source Debate” White paper, Alexis de Tocqueville Institution, pp. 33, http://www.adti.net/opensource.pdf. [Carayon, 2004] Carayon B. (2004) “Rapport d'information sur la stratégie de sécurité économique nationale"disponible à http://www.assemblee-nationale.fr/12/pdf/rap-info/i1664.pdf [CERT 2006a] http://www.cert-ist.com/fra/ressources/ publications_ArticlesBulletins/Veilletechnologique/SecuriteUSB/ [CERT 2006b] http://www.cert.org/stats/cert_stats.html [Clusif, 2006] CLUSIF (2006) “Panorama de la cybercriminalité" 94 pp. [Cohen, 1897] Cohen F. (1987) “Computer Viruses: Theory and Experiments”, Computers and Security , Vol. 6 pp. 22-35. [DOD, 1983] Department of Defense Computer Security Evaluation Center; Trusted Computer System Evaluation Criteria [Dupin, 2007] "Salon solutions Linux 2007: les chiffres clés du marché" ZDNet France du 29/01/2007 [E&Y, 2004] Ernst & Young (2004) “La sécurité des systèmes d'information dans les entreprises françaises en 2004 : Notre éclairage sur la vision comparée de la France et du monde", 28 pp. [Fisma, 2002] ‘‘Federal Information Security Management Act of 2002’’ 44 USC Sec. 3542 [Fitzgerald, 2002] Fitzgerald B., Krehbiel F. (2002) “Open Source Software: More placebo thn Panacea?” http://flossproject.org/workshop/papers/fitzgerald.html [Geer, 2003] Geer & Alli (2003) “CyberInsecurity: The cost of monopoly how the dominance of Microsoft’s products poses a risk to security”, http://www.securityforest.com/ [Hars, 2002] Hars, A., S. Ou (2002) ”Working for Free? Motivations for Participating in Open-Source Projects”, International Journal of Electronic Commerce, Vol. 6 (3), pp. 25-39. [Hertel, 2003] Hertel G., Niedner S., Hermann S. (2003) “Motivation of software developers in the F/OSS projects: an Internet-based survey of contributors to the Linux kernel”, Research Policy, 327, pp. 1159-1177. [Herold, 2006] Herold P. (2006) “The definitive guide: Security Inside the Perimeter” Realtime Publisher, 211 pp [Hoepman, 2007] Hoepman JH, Jacobs B. (2007) “INCREASED SECURITY Through Open Source” Communications of the ACM Vol. 50, No. 1, pp. 79 – 83 [Holmstrom, 1999] Holmstrom, B. (1999) “Managerial Incentive Problems: A Dynamic Perspective”, Review of Economic Studies, 66, pp. 169-182. [ISCA, 2004] Etude ICSA International Computer Security Association cité à l’adresse http://www.symantec.com/region/fr/resources/melissa.html [Katz, 1985] Katz M., Shapiro C. (1985) “Network Externalities, Competition, and Compatibility”, The American Economic Review Vol. 75 N° 3 pp 424–440. [Koch, 2002] Koch S., Schneider G. (2002) “Effort, Cooperation and Coordination in an Open Source Software Project: GNOME”, Information Systems Journal (2002) Vol. 12, pp. 27-42. [Médiamétrie, 2005] Mediametrie –eStats / @position (2005) “ Panorama Médiamétrie e-Stats Mai 2005” [Neumann, 1976] Neumann P. et al. (1976) “A Provably Secure Operating System” [Osterloh, 2003] Osterloh M. & alli ( 2003) “Open Source Software Production: Climbing on the Shoulders of Giants”, opensource.mit.edu/papers/osterlohrotakuster.pdf, 34 pp. [Payne, 2002] Payne C. (2002) “On the security of open source software”, Information Systems Journal, Vol. 12, pp. 61–78. [Picker, 2004] Picker R.C. (2004) “Cyber Security: Of Heterogeneity and Autarky” U Chicago Law & Economics, Olin Working Paper No. 223 [Pinheiro, 2007] Pinheiro E. & alli (2007) “Failure Trends in a Large Disk Drive Population” Proceedings of the 5th USENIX Conference on File and Storage Technologies [PWC, 2006] Security Breaches Survey Technical Report (URN 06/803) disponible à www.security-survey.gov.uk [Radianti, 2006] Radianti J., Gonzalez J. ( 2006) “Toward a Dynamic Modeling of the Vulnerability Black Market” The Workshop on the Economics of Securing the Information Infrastructure, 19 pp. [Raymond, 1998] Raymond E.S. (1998) "The Cathedral and the Bazaar" www.firstmonday.org/issues/issue3_3/raymond/index.html [Riviere, 2003] Riviere J (2003) "Il faut gagner la confiance des internautes", Journal du net du 29/01/03 [Shapiro, 1998] Shapiro C., Varian H. (1998) ‘Information Rules’, Harvard Business School Press, 352 pages [SGDN, 2006] Secrétariat Générale de la Défense Nationale “Orientation des travaux de recherche et développement en matière de sécurité des systèmes d’information" Rapport public N° 2571,12 [Varian, 2004] Varian H. (2004) “System Reliability and Free Riding”, in Economics of Information Security, Kluwer pp 1–15 [Ware, 1970] Ware W.(1970) “Security Controls for Computer Systems: Report of Defense Science Board Task Force on Computer Security” Rand Report R609-1 [Wheeler, 2006] Wheeler (2006) “Open Standards and Security” www.dwheeler.com/essays/open-standards-security.pdf