Ce magazine vous est offert par

Transcription

Ce magazine vous est offert par
INTERNATIONAL
SPÉCIAL
SÉCURITÉ
JA P O N
N°014 - Prix : 18 F - Trimestriel : janvier, février, mars 2011
Lexsi Audit mobilise ses bases de connaissance
et son savoir-faire unique pour évaluer le niveau
de sécurité et la résistance des systèmes
d’information de ses clients.
Lexsi Conseil apporte une force d’innovation
tournée vers le management des risques et la
protection des systèmes d’information. Cette
activité bénéficie des retours opérationnels du
CERT et de l’Audit.
Le Cert-Lexsi est la division de veille et de lutte
contre la cybercriminalité et la fraude en ligne.
Centre de R&D et d’interventions d’urgence, le
CERT opère en 24/7 pour plus de 300 clients
internationaux.
L’Université Lexsi apporte aux professionnels
de la sécurité, des connaissances et des outils
au service de leur performance.
www.lexsi.com
Tél. : +33 (0)1 55 86 88 88 / [email protected]
Paris - Lyon - Singapour - Montréal
ÉDITORIAL
DE
MARC
JACOB
Comment se
mettre à nu
en toute
pudeur…
Se mettre à nu n’est jamais un exercice facile, même si
parfois ce peut-être pour la bonne cause… en particulier
devant son médecin pour vérifier la bonne santé de son
corps et de son esprit. C’est pourtant ce que doit faire
régulièrement toute entreprise soucieuse de sa forme, par la pratique de
tests d’intrusion réguliers. En effet, « cacher sous le tapis » les défauts de
la cuirasse est une position difficilement tenable sur le long terme…
D’autant qu’avec les « malfaisants » qui harcèlent de toutes parts le SI,
aucune entreprise n’est aujourd’hui à l’abri d’une fuite de données, d’un
acte de malveillance… et peut se trouver rapidement « à poil » sans y
prendre garde !
D’ailleurs, dans la fameuse roue de Deming, le « Check » est un des quatre piliers à mettre en œuvre si l’on veut améliorer la qualité de son SI…
avec, bien entendu, pour objectif de passer à « l’Act » en prenant les
mesures qui s’imposent.
Par contre, cet exercice est souvent éprouvant pour les équipes de sécurité
et, en particulier, pour le RSSI, car il peut mettre en avant leurs insuffisances. Sans compter, bien sûr, la confiance que le RSSI et ses équipes doivent
avoir en l’entreprise qu’ils vont mandater, car l’expert sera forcément un
« étranger » et aura un accès direct à toutes les données stratégiques de
son client. Ainsi, choisir un consultant pour effectuer des tests d’intrusion
est difficile et doit être fait avec prudence et discernement. Se mettre à nu,
oui, mais pas devant n’importe qui… et en toute pudeur bien entendu !
LISTE DES ANNONCEURS
APC
CERCLE DE LA SÉCURITÉ
ESPI
EXCELIANCE
FORTINET
GLOBAL KNOWLEGDE
GLOBAL SECURITY MAG
GS DAYS 2011
HSC
HTCS
INFOSECURITY LONDON
3EME
COUVERTURE
2
35
37
19 BIS
37 TER
14 BIS
51
8
23 & 27
25 BIS
6
BIS ET
IN THE SECURITY
I-TRACING
I-TRUST
LEXSI
MED IT
PRIM’X TECHNOLOGIES
SALON DOCUMATION
SIFARIS
SOLUTIONS RH
STONESOFT
VADERETRO
4
33
13
2EME
COUVERTURE
4EME
COUVERTURE
42 BIS
50
45
44
16
38
BIS
REVUE TRIMESTRIELLE
N°14 – janvier, février, mars 2011
www.globalsecuritymag.fr et
www.globalsecuritymag.com
ISSN : 1959 - 7061
Dépôt légal : à parution
Editée par SIMP
RCS Nanterre 339 849 648
17 avenue Marcelin Berthelot
92320 Châtillon
Tél. : +33 1 40 92 05 55
Fax. : +33 1 46 56 20 91
e-mail : [email protected]
REDACTION
Directeur de la Publication :
Marc Brami
Rédacteur en chef :
Marc Jacob
Rédactrice :
Emmanuelle Lamandé
Ont collaboré à ce numéro :
Diane Mullenex, Jacques Mandrillon,
Olivier Iteanu, Laurent besset,
Remy Febvre
Traduction :
Ian Nathan
Assistante :
Sylvie Levy
Responsable technique :
Raquel Ouakil
Photos :
Nobert Martiano, Marc Jacob
Comité scientifique :
Pierre Bagot, Francis Bruckmann
Eric Doyen, Catherine Gabay,
François Guillot, Olivier Iteanu,
Dominique Jouniot, Zbigniew
Kostur, Patrick Langrand,
Yves Maquet, Thierry Ramard,
Hervé Schauer, Michel Van Den
Berghe, Bruno Kérouanton,
Loïc Guézo.
PUBLICITE
SIM Publicité
Tél. : +33 1 40 92 05 55
Fax. : +33 1 46 56 20 91
PAO
Imadjinn sarl - tél. : 09 75 45 71 65
Image de couverture : © maraga
IMPRESSION
Imprimerie Hauguel
8-14 villa Léger
92240 Malakoff
Tél. 01 41 17 44 00
Fax 01 41 17 44 09
Imprimé avec des encres végétales
sur papier éco-responsable certifié
PEFC par un imprimeur adhérent à
Imprim’vert selon le procédé CTP
sans chimie.
ABONNEMENT
Prix au numéro :
18 € TTC (TVA 19,60%)
Abonnement annuel :
50 € TTC (TVA 19,60%)
ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com
1
THE LOGICAL & PHYSICAL SECURITY MAGAZINE
THÉMA
SOMMAIRE
18
TEST
D’INTRUSION
01 Edito : Comment se mettre à nu en toute pudeur
03 Editorial : How to strip off in all modesty ...
09 Agenda
LOGICAL & PHYSICAL IT SECURITY
10 DU CÔTÉ DE L’INTERNATIONAL
• Au pays du soleil levant, la protection des données
personnelles mobilise toutes les énergies
Par Marc Jacob et Emmanuelle Lamandé
• Cadre réglementaire au Japon : un juste équilibre
entre innovation et tradition
Par Diane Mullenex, Avocat à la Cour – Solicitor England
& Wales, et Jacques Mandrillon, Avocat à la Cour,
du cabinet Ichay & Mullenex Avocats
10
18 THÉMA - TEST D’INTRUSION
• L’artisanat a de l’avenir
• La confiance nécessite des preuves !
• Légalité du test d’intrusion : tous les chats sont gris
Par Olivier Iteanu, Avocat à la Cour
• Une sécurité à deux vitesses
• Le bêtisier 2010
38 MALWARES BUSTERS
La « cyberguerre » en cours d’industrialisation
SÉCURITÉ JAPON
18
38
THÉMA
MALWARES
BUSTERS
46 RISK MANAGEMENT
Protection des données sensibles, au-delà
des stratégies classiques de sécurité
Par Laurent Besset, Consultant Associé, I-TRACING
48 DATA CENTER
Les DSI doivent reprendre la main
Par Rémy Febvre, Directeur Général d’IP Energy
Retrouvez notre fil d'informations
sur la sécurité et le stockage sur :
www.globalsecuritymag.fr
46
48
RISK MANAGEMENT
DATA CENTER
5
3
ème
GSDAYS
Les Journées
Francophones
de la Sécurité
de l’Information
10 MAI 2011
À PARIS
Un cycle
de conférences
techniques
organisationnelles
et juridiques
3
Un c o l l o q u e s u r la s é c u r i t é
des S y s t è m e s d ’ I n f o r m a t i o n s
e x c l u s i v e m e n t en f r a n ç a i s
pour réunir : les RSSI, DSI,
Administrateurs Réseaux et
Sécurité, Experts Sécur ité…
Partenaires Institutionnels :
Le Gouvernement du Québec - ANSI (Tunisie)
Partenaires associations :
AFCDP - ARCSI - CLUSIF - FedISA - Forum ATENA
MEDEF 92 - LE CLUB 27001 - OSSIR - OWASP
Partenaires Presse :
Regard sur l’IE - Programmez !
Solutions & Logiciels - Security Vibes - SecuObs
Comité de programme :
Global Security Mag, Olivier Guérin du CLUSIF,
Hervé Schauer, HSC, Philippe Humeau, NBS
System, Paul Such, SCRT, Olivier Revenu,
EdelWeb, et Maître Diane Mullenex, Cabinet
Ichay et Mullenex.
Comité de pilotage :
Global Security Mag, Jean-Marc Laloy
de l’ARCSI, Francis Bruckmann, France Telecom
Orange, David Dupré, CommonIT,
Jean-Nicolas Piotrowski, ITrust
w w w. g s d a y s . f r
Renseignements :
Marc Jacob - SIMP
17 avenue Marcelin Berthelot
92320 Châtillon
Tél. : +33 (0)1 40 92 05 55
Fax. : +33 (0)1 46 56 20 91
[email protected]
Nos sponsors
Sponsors Platinium
Sponsors Silver
Sponsors
© Tom Mc Nemar
3
NotePad
AGENDA
MARS
AVRIL
1 - 5 mars - Hanovre (Allemagne)
CeBit
www.cebit.de
4 avril - Paris
Rencontres économiques et
technologiques France-Israël
Renseignements : 01.44.43.35.01/06
ou par mail : [email protected]
4 mars - Genève (Suisse)
Insomni’hack, Ethical hacking contest
www.scrt.ch
8 - 10 mars - Porte de Versailles - Paris
Solutions Ressources Humaines
www.solutions-ressources-humaines.com
InThe Cloud + InThe Datacenter +
InThe Security + InThe Saas
www.InThe-Business.com
CoIP - Communications over IP
www.salon-coip.com
Solutions intranet & travail collaboratif
www.salon-intranet.com
8 – 11 mars - Tokyo (Japon)
Security Show Tokyo
www.shopbiz.jp/en/ss/
10 mars - Paris
Petit Déjeuner SecurityVibes
www.securityvibes.com/community/fr
15 – 16 mars – Londres (UK)
E-Crime Congress
www.e-crimecongress.org/congress/
15 – 18 mars - Barcelone (Espagne)
Black Hat Briefings & Training Europe
www.blackhat.com
22 mars - Paris
JSSI - Journée de la Sécurité des
Systèmes d’Information
www.ossir.org
22 – 23 mars - Dresde (Allemagne)
Smart Systems Integration
www.smartsystemsintegration.com
23 - 24 mars – CNIT Paris La Défense
Documation
www.documation.fr
23 - 24 mars - Bruxelles (Belgique)
Infosecurity Belgium
www.infosecurity.be - www.storage-expo.be
5 - 8 avril - Las Vegas (USA)
ISC West
www.iscwest.com
6 – 8 avril – Copenhague (Danemark)
5th Annual Fraud & Corruption
Summit Europe
www.mistieurope.com
6 – 7 avril - Montréal (Canada)
9ème Boule de Cristal du CRIM
www.crim.ca
INU
ONT
EN C AG.FR
R
U
M
À JO CURITY
MIS
SE
NDA GLOBAL
E
G
L’A
W.
WW
SUR
10 mai - Paris
GS Days, les Journées
Francophones de la Sécurité
3ème édition
Renseignement : Marc Jacob Brami
Tél. : +33 1 40 92 05 55
Fax : +33 1 46 56 20 91
E-mail : [email protected]
Web : www.gsdays.fr
7 - 9 avril - Paris
HES
http://hackitoergosum.org
10 - 12 mai - CNIT - Paris La Défense
Solutions Linux + Opensource
www.solutionslinux.fr
7 – 9 avril - Ouarzazate (Maroc)
ICMCS
www.icmcs11.org
11 - 13 mai - Tokyo (Japon)
IST - Information Security Expo
www.ist-expo.jp/en/
18 – 20 avril - Orlando (USA)
InfoSec World
www.misti.com
11 - 13 mai - Tokyo (Japon)
DSE - Data Storage Expo
www.dse-expo.jp/en/
19 - 20 avril - Londres (UK)
Counter Terror Expo
www.counterterrorexpo.com
11 - 14 mai - Berlin (Allemagne)
Linux Tag
Salon Européen de l’Open Source
www.linuxtag.org
19 - 21 avril - Londres (UK)
Infosecurity Europe
www.infosec.co.uk
20 – 22 avril – Taipei (Taiwan)
Secutech
www.secutech.com
20 – 22 avril – Taipei (Taiwan)
CompoSec
www.composec.com
26 – 28 avril - Sao Paulo (Brésil)
ISC Brasil & Inter Security
www.iscexpo.com.br
28 avril (Paris)
Diner du Cercle Européen de la
Sécurité
www.lecercle.biz
MAI
RFID
www.rfid-show.com
2 - 4 mai - Sao Paulo (Brésil)
CARDS
www.cards2011.com.br
24 - 25 mars - Shanghai (Chine)
Counter e-Crime China Summit
www.pyxisconsult.com/e-crime/
5 - 6 mai, Nice (France)
Data Centres Europe
www.datacentres.com/dc2011
29 - 31 mars - Hong Kong (Chine)
Cartes in Asia
www.cartes-asia.com
8 - 12 mai - Las Vegas (USA)
Interop Las Vegas
www.interop.com/lasvegas/
12 mai - Paris
CSO Interchange (SecurityVibes)
www.securityvibes.com/community/fr
16 - 19 mai - NEC Birmingham (UK)
IFSEC
www.ifsec.co.uk
17 mai - Berlin (Allemagne)
The « European Data Protection Day »
www.edpd-conference.com
17 - 19 mai - Porte de Versailles - Paris
Hôpital Expo - HIT
www.health-it.fr
i-expo
www.i-expo.net
Mobile Payment Expo
www.mobilepaymentexpo.com
Online
www.online-expo.fr
25 – 27 mai - Saint-Tropez
7ème Rencontres de l’Identité et de
l’Audit et Management de la Sécurité
– RIAMS
www.les-riam.fr
INTERNATIONAL
Au Pays du Soleil Levant,
la protection des données
personnelles mobilise
toutes les énergies
Depuis 2005, les entreprises japonaises ont pris conscience de leur vulnérabilité
informatique, notamment en raison de l'étendue croissante des réseaux,
des bases de données et des échanges électroniques. Ce réveil a été provoqué,
entre autres, par de nombreux cas de fuites de bases de données nominatives,
de même que par de très fréquentes pertes de PC portables mal protégés par
des salariés. Depuis cette période, on ne compte plus les affaires de sécurité
au « Pays du Soleil Levant ». Ainsi, le 6 juillet 2009, le gouvernement japonais a
présenté, au IT Strategic Headquarters, le plan « i-Japan 2015 » qui a pour
principal objectif de faciliter l’usage des technologies numériques, notamment
en renforçant la sécurité. En effet, la protection des données personnelles est,
comme dans de nombreux pays, un sujet de préoccupation pour la société civile
qui mobilise toutes les énergies.
Jean-Dominique
François, Chef de
Pôle Nouvelles
Technologies –
Innovations –
Services Mission
Economique – UBIFRANCE au Japon,
estime que le secteur
des technologies de
l’information est le
véritable moteur de
la croissance japonaise. Le gouverneJean-Dominique François, UBIFRANCE ment, à travers plusieurs plans successifs, soutient les entreprises japonaises pour accroître leur
10
compétitivité et souhaite également faire du Japon, une
société dans laquelle les technologies numériques seront
acceptées et adoptées par tous. Le 6 juillet 2009 a été présenté, au IT Strategic Headquarters, le plan gouvernemental « i-Japan 2015 ». Cette stratégie a pour fondements de faciliter l’usage des technologies numériques,
d’enlever les barrières qui freinent leur adoption, de les
utiliser en toute sécurité et de créer un nouveau Japon, en
diffusant les technologies numériques et l’information à
travers l’économie et la société.
Un marché en forte croissance
La taille globale de l'industrie des systèmes de sécurité du
Japon, y compris les équipements et les services, a atteint
environ 4,5 Mrds d’euros en 2009 et devrait croître en
SPECIAL SECURITE
JAPON
apporter le support nécessaire à
leurs clients. De
plus, les opérateurs Telecom et les fournisseurs de services
sont eux aussi importants. D’ailleurs, les petites et moyennes entreprises utilisent souvent leurs services pour assurer la sécurité de leur SI. « Grâce à nos offres OEM et à nos
diverses alliances, nous pouvons également fournir à ces
sociétés des solutions complètes. Nous développons
notre activité en nous associant de façon très importante
avec Otsuka et Ricoh. Bien sûr, on trouve, en outre, des
acteurs étrangers comme IBM, HP, … Les entreprises
cherchent de plus en plus des solutions complètes associant la mise en place des réseaux à leur sécurisation, c’est
pourquoi nous nous sommes rapprochés de CTC (acteur
majeur dans l’intégration Réseau). En plus, nous travaillons avec des fournisseurs de services, tels que NTT
Communication, KDDI, Softbank Telecom, IIJ et Nifty,
pour la mise en œuvre de services dédiés aux Clouds ou
aux Data Centers opérés par ces derniers. »
©
moyenne de 9% par an pour les années à venir. Les marchés des équipements de surveillance sur IP et des solutions biométriques continuent de croître fortement. Celui
des logiciels de sécurité connait lui aussi une croissance
forte et régulière. Pour l’année 2008, il a atteint 2,6 Mrds
d’euros, soit une augmentation de 14,3% par rapport à
l’année précédente. On prévoit 10% de croissance
annuelle entre 2009 et 2011, ainsi il devrait atteindre les
3,52 Mrds d’euros. Le marché aura pratiquement doublé
en l’espace de 5 ans. Au Japon, il est très orienté BtoB.
Toutefois, il faut noter que celui de la sécurité privée progresse vite. Les propriétés privées sont classées quatrième
lieu d’intérêt pour l’installation d’un système de sécurité,
après les bureaux, buildings et magasins et devant les usines. Malgré le fait que le Japon soit un pays très sûr, les
Japonais se préoccupent de plus en plus de la sécurité des
biens et des personnes, explique Jean-Dominique
François. Selon
Omikawa Akihiko,
Executive Vice
President General
Manager JAPAN, LAR,
A PA C R e g i o n , d e
Trend Micro, sur le
marché de la sécurité, les intégrateurs
systèmes jouent un
rôle stratégique.
« C’est pourquoi,
non seulement nous
maintenons notre
réseau de partenaiOmikawa Akihiko, Trend Micro
res, mais nous intervenons aussi le plus en amont possible dans la chaîne de
valeurs en intégrant des partenaires dans les différents
métiers liés à la sécurité ».
La protection des données
personnelles est un sujet
de préoccupation
Jean-Dominique François estime que les principales
menaces sont, bien sûr, celles donnant lieu à des vols
INTERNATIONAL
IN THE LAND OF THE RISING SUN
PROTECTION OF PERSONAL
DATA TAKES THE LIMELIGHT
BY MARC JACOB AND EMMANUELLE LAMANDÉ
Des acteurs nombreux
qui proposent des services
de sécurité complets
Mis à part Trend Micro et les grands groupes Japonais,
également présents sur ce marché avec des offres de
stockage, de serveurs, de biométrie… comme NEC,
Hitachi, Fujistsu, Sony, Toshiba, etc., Jean-Dominique
François recense des groupes comme Secom, Daiwa
Securities, Nomura Securities, Yamawa Securities, NTT
Communications, ainsi que les associations Japan Security
Systems Association et Japan Association of Electronic
Article Surveillance Machines. Pour Omikawa Akihiko,
« des acteurs tels que Fujitsu, NEC, et Hitachi et ses filiales, …, ont la capacité de mettre en place un réseau complet et d’en assurer la maintenance. Ainsi, ils peuvent
Since 2005, Japanese enterprises have become increasingly
aware of the vulnerability of their information systems,
particularly with regard to the growth of networks, databases
and digital transactions. This alert has been caused, among
other things, by numerous cases of leaks of personal databases,
as well as by an alarmingly frequent loss of poorly protected
laptops by employees. Over the past few years there have been
countless security affairs in the "Land of the Rising Sun". Thus
on 6 July 2009, the Japanese government presented, via its
Strategic IT Headquarters department, the "i-Japan 2015"
plan whose main objective is to facilitate the use of digital
technologies, including strengthening security. By the same
token, the issue of the protection of personal data is now,
as in many countries, taking the limelight as a major
concern for civil society.
11
INTERNATIONAL
et/ou pertes de données, piratages de comptes, des
menaces sur la sécurité des transactions, etc. Ainsi, les
sociétés souhaitent disposer d’une protection complète
de leurs données, avoir un environnement sécurisé
(accès des employés, serveurs sécurisés, etc.). Avec le
développement des solutions de type SaaS, elles veulent
aussi avoir confiance en leurs prestataires.
Effectivement, reprend Omikawa Akihiko, au Japon, un
focus important est mis sur la protection des données
personnelles. Pour respecter les règles de la « Private
Information Protection Law », il faut à la fois déployer
beaucoup d’énergie et de budgets. En ce qui concerne
la conformité PCI-DSS, ces règles concernent des secteurs très particuliers comme la Finance et le commerce, mais, à l’avenir, elles devraient concerner plus
de secteurs. Du point de vue RSSI, il est important de
répondre à différentes règles de conformité tout en
maîtrisant les coûts. Par contre, pour les directions
informatiques, le challenge majeur réside dans la protection des données stratégiques alors que la virtualisation et le Cloud sont de plus en plus utilisés, et que les
environnements sont de plus en plus hétérogènes.
Aujourd’hui, au-delà de se protéger contre les menaces
externes grâce aux pare-feux et aux solutions antivirales, les entreprises doivent aussi faire face à des menaces internes en adoptant des solutions de chiffrement,
de contrôle d’accès et de prévention contre la fuite des
données.
Quelques affaires
de cybercriminalité
Parmi les faits marquants, ayant défrayé la chronique
au Japon en 2010, on se souviendra, entre autres, du
ransomware « Kenzero ». Ce virus, repéré par Trend
Micro, a semé le trouble chez les amateurs de mangas
pornographiques, plus connus sous le nom de « hentaï ».
Près de 5.500 internautes auraient été rançonnés par
« Kenzero » qui se cachait dans une copie illégale d’un
de ces jeux. La somme exigée par personne est estimée
à 1.500 yens, soit un peu plus de 12 euros. Yuji Endo,
un Japonais de 45 ans résidant à Hiroshima, a également marqué les esprits en 2010. Cet homme s'est fait
arrêter par la Police de la préfecture de Hyogo pour
avoir vendu, par l'intermédiaire de sites de ventes aux
enchères, des PSP accompagnées de jeux copiés, parmi
lesquels Monster Hunter Portable 2 et Final Fantasy
Dissidia. Sans compter les affaires de cyber-guerre, rappelle Jean-Dominique François, dont la dernière en
date a eu lieu en septembre. « Le Ministère de la
Défense et l’Agence Centrale de la police ont détecté des
attaques informatiques sur les sites gouvernementaux,
empêchant leurs utilisateurs d’accéder aux sites. Ces
12
attaques coïncidaient avec les tensions diplomatiques
entre le Japon et la Chine ».
Face aux menaces,
le gouvernement japonais a
renforcé sa stratégie en
matière de sécurité
Pour lutter contre toutes ces attaques, en mai 2010, le
nouveau gouvernement a émis une nouvelle stratégie
en matière de sécurité, explique Jean-Dominique
François. Les points principaux sont les suivants :
• Accroître la prévention et la protection contre les
cyber-attaques.
• Maximiser l’utilisation des technologies de l’information afin de renforcer la sécurité des biens et des personnes. Pour cela, il faut sécuriser l’environnement IT,
augmenter la confiance des utilisateurs dans ces technologies, profiter des innovations, telles que le cloud
computing, les appareils ménagers communicants, la
RFID, etc.
• Augmenter la coopération internationale et l’échange
d’information.
Concernant la sécurité des informations financières, le
15 février 2007, la Financial Services Agency, agence de
surveillance du système financier au Japon, a émis la
« Norme d’évaluation et d’audit du contrôle interne sur
le reporting financier » et la « Norme de mise en
œuvre de l’évaluation et de l’audit du contrôle interne
sur le reporting financier », donnant aux entreprises
cotées au Japon les directives à suivre afin d’améliorer
la fiabilité de leur reporting financier. Ces nouvelles
normes sont aussi informellement appelées « Japanese
SOX » (J-SOX) du fait que les directives à suivre sont très
proches de la loi Sarbanes-Oxley Act américain (US-SOX).
La loi SOX, qui est effective dans les entreprises japonaises depuis avril 2008, impose aux entreprises de protéger leurs informations personnelles et contribue donc
largement à la croissance des logiciels de sécurité. On
note une augmentation de la demande en renforcement du contrôle de l’environnement IT des sociétés.
… et les entreprises doivent
déployer des solutions de
sécurité en profondeur
De côté des entreprises, reprend Omikawa Akihiko, ces
menaces ont pour principale conséquence de rendre
critique, d’une part, le cycle de gestion des solutions de
sécurité (spécifications, déploiement, exploitation) et,
d’autre part, le processus constant d’amélioration.
L’utilisation des technologies de virtualisation, et des
différents types de Cloud va de façon certaine se généraliser ; ce qui va rendre obsolète ou caduque l’idée de
défense périmétrique. En effet, les pare-feux et IDS/IPS
réseaux opérant en frontière ne seront pas totalement
supprimés, mais c’est le concept de frontières ou de
« pont levis » qui doit évoluer grandement en raison
des services opérés dans le Cloud. Dans un tel environnement, une solution de sécurité en profondeur pourra
apporter des réponses aux problématiques de sécurisation de postes, de serveurs, et de services virtualisés.
Quelques salons au Japon
©
SPECIAL SECURITE
JAPON
Surveillance sur IP et biométrie
sont des marchés porteurs
Pour Jean-Dominique François, les marchés des équipements de surveillance sur IP ainsi que les solutions de
biométrie devraient croître fortement dans les années à
venir. Les réductions de prix pour les produits liés à la surveillance ainsi que les progrès technologiques devraient
soutenir la croissance de l’industrie. Il ne faut pas oublier
que les entreprises japonaises sont ouvertes aux solutions
étrangères, et si les entreprises françaises disposent d’une
bonne technologie, elles peuvent obtenir des contrats au
Japon et dans les marchés de pays tiers…
■■■
8 – 11 mars – Tokyo
Security Show
A cette occasion, la Mission Economique UBIFRANCE
organise des Rencontres Acheteurs sur le salon Security
Show. Ces rencontres auront lieu sur le stand
UBIFRANCE et donneront lieu à un programme de
rendez-vous individuels personnalisés avec l’assistance
d’une interprète. De plus, le stand donne un accès
direct à 2 autres salons que sont IC CARD WORLD et
RETAILTECH. Pour plus d’informations, rendez-vous sur
le site d’UBIFRANCE ou contactez la personne en
charge de cet évènement travaillant à la Mission
Economique UBIFRANCE de Tokyo : Cyril PILLARD à
l’adresse suivante [email protected] .
www.shopbiz.jp/en/ss/
11 – 13 mai – Tokyo
Grix - Green IT Expo Japan
www.grix-expo.jp/en/
11 - 13 mai - Tokyo
IST - Information Security Expo
www.ist-expo.jp/en/
11 - 13 mai - Tokyo
DSE - Data Storage Expo
www.dse-expo.jp/en/
6 – 10 juin – Tokyo
Interop Japan
www.interop.jp
13
INTERNATIONAL
Cadre règlementaire au Japon :
un juste équilibre entre
innovation et tradition
Par Diane Mullenex, Avocat à la Cour – Solicitor England & Wales, et Jacques Mandrillon,
Avocat à la Cour, du cabinet Ichay & Mullenex Avocats
Jacques Mandrillon
Diane Mullenex
La propriété intellectuelle
Tout comme en France, le droit de la propriété intellectuelle
se divise entre le droit d’auteur et les droits voisins. Sont ainsi
protégés tous les travaux « dans lesquels s’expriment de
façon originale les pensées ou les sentiments de leurs auteurs
et qui appartiennent au domaine littéraire, scientifique, artistique ou musical ».
Alors que ces deux systèmes juridiques sont relativement
similaires, une des principales différences entre le droit
de la propriété intellectuelle français et le droit japonais
est que ce dernier ne reconnait pas la notion de domaine
public. Cette différence de conception implique que la
notion d’usage commercial a des contours différents
selon ces pays.
électronique », qui a vocation à réguler la formation des
contrats électroniques, le Japon a mis en place les mécanismes juridiques permettant d’encadrer et de sécuriser le
développement du commerce électronique. Cependant, il
n’existe pas de véritables dispositions régissant uniquement
les contrats électroniques. Ces derniers sont donc soumis au
droit commun. Toutefois, la loi précitée met en place des
systèmes de protection du consommateur.
E-commerce
Les difficultés de mise en œuvre de la réglementation viennent souvent du fait que plusieurs autorités sont compétentes sur les questions relatives à l’Internet et au e-commerce.
Ainsi, le Ministère de l’économie est en charge de la régulation du e-commerce, le Ministère des affaires intérieures et
de la communication surveille les tarifs pratiqués pour l’accès à Internet et l’Autorité de la consommation est responsable de la protection des consommateurs en matière de ecommerce.
Avec une croissance annuelle qui flirte avec les 10%, le marché du commerce électronique est florissant au Japon.
Téléchargement illicite…
Depuis la loi du 29 juin 2001, intitulée « Loi sur les amendements apportés au code civil en matière de contrats de
consommation électronique et procédure d’acceptation
14
Le Japon est le pays précurseur en
matière de technologies depuis de nombreuses années. Dès lors, il est légitime
de s’intéresser à la façon dont ce pays,
où se côtoient innovation et tradition,
encadre juridiquement les nouvelles
technologies. Nous vous proposons donc
une excursion au cœur du système légal
japonais au cour de laquelle nous nous
intéresserons plus particulièrement
à certaines composantes du cadre réglementaire des nouvelles technologies.
oui mais depuis peu !
Jusqu’à récemment, le téléchargement d’œuvres protégées
formations
& Certification professionnelle
Plus de 400 formations agréées par les éditeurs et constructeurs et 4000 sessions délivrées
par an font de Global Knowledge un organisme de formation référent en informatique,
en management des systèmes d’information et en gestion de projets IT.
Toutes nos formations sont éligibles au DIF
Un support de cours est remis à chaque participant
Solutions VMware
vSphere, View, ThinApp
Les Essentiels
Réseaux, Virtualisation, Voix, Sécurité
• Les réseaux : architectures, mise en oeuvre et perspectives
• Présentation des technologies et services IP new!
• Approche et réussite d’un projet de virtualisation new!
• Voix sur IP : les fondamentaux
• La Voix sur IP dans les réseaux Opérateurs new!
• Les systèmes par fibre optique new!
• Les fondamentaux de la sécurité informatique
• CISSP Préparation à la Certification
DataCenter
Solutions Cisco
Catalyst 4900/6500, Nexus, MDS 9000, UCS
• Mettre en oeuvre les réseaux IP Cisco routés (ROUTE)
• Mettre en oeuvre les réseaux IP Cisco commutés (SWITCH)
• Cisco Data Center Network Infrastructure (DCNI-1)
• Mettre en oeuvre Cisco Data Center Application Services (DCASI)
• Designing Cisco Data Center Application Services (DCASD)
• Cisco Data Center Network Infrastructure - 2 (DCNI-2)
• Concevoir les infrastructures réseaux Cisco Data Center (DCNID)
• Installer et configurer les Cisco Nexus 1000v (ICNX1V)
• Mettre en oeuvre & configurer Cisco Nexus 5000 (ICNX5)
• Mettre en oeuvre des solutions de stockage réseau Cisco (ICSNS)
• Mettre en oeuvre des solutions avancées de stockage réseau Cisco (IASNS)
• Concevoir des solutions de stockage réseau Cisco (DCSNS)
• Mettre en oeuvre Cisco Data Center Unified Computing (DCUCI)
• Cisco Data Center Unified Computing Design (DCUCD)
• Vue d’ensemble de la solution VMware vCloud new!
• VMware vSphere 4 : What’s New (mise à jour des connaissances)
• VMware vSphere 4.1 : Installation, configuration et administration
• VMware vSphere 4 : Skills for Operators
• VMware vSphere 4 : Troubleshooting
• VMware vSphere : Transition vers ESXi
• VMware vSphere 4 : Manage & Design for Security
• VMware vSphere 4 : Design
• VMware View 4.5 : Installation, configuration et administration
• Gestion de la virtualisation d’application avec VMware ThinApp
Virtualisation
Solutions Microsoft
Hyper-V, App-V, Med-V, VDI, RDS, System Center
• Mettre en oeuvre et gérer la virtualisation de serveurs Microsoft
• Mettre en oeuvre et gérer la virtualisation des postes de travail
• Administrer les postes de travail avec MDOP
• Planifier et concevoir des solutions de Virtualisation avec Microsoft new!
• Déployer et administrer System Center Virtual Machine Manager (SCVMM)
• Planifier, déployer et gérer System Center Configuration Manager (SCCM)
• Mettre en oeuvre et gérer System Center Operations Manager (SCOM)
• Planifier, déployer et administrer System Center Service Manager (SCSM) new!
Solutions Citrix
XenApp, XenServer, XenDesktop
• Mettre en oeuvre Citrix XenApp pour Windows Server 2008 (v5 ou 6)
• Mise en oeuvre de Citrix Desktop Delivery Infrastructure : XenServer,
XenDesktop, et Provisioning Server
• Administration de Citrix XenServer 5.6 new!
• Administration de Citrix XenDesktop 5
• Mettre en oeuvre une solution de virtualisation avec Citrix niveau CCEE
• Concevoir une solution de virtualisation avec Citrix niveau CCIA
Renseignements & Inscriptions :
• Tél.: 0821 20 25 00 (prix d’un appel local)
• [email protected]
Téléchargez le catalogue complet sur :
www.globalknowledge.fr
Global Knowledge France - Siège social - Tour Albert 1er - 65, avenue de Colmar - 92507 Rueil-Malmaison cedex - Tél.: 01 78 15 34 00 - Fax : 01 78 15 33 90 © 2011 Global Knowledge Training LLC.
SPECIAL SECURITE
JAPON
C’est désormais une situation révolue ! Le Parlement
japonais a adopté en juin 2009 des amendements à la Loi
sur le copyright de 1970 afin d’autoriser les ayants droit à
intenter des actions contre des internautes procédant à
des téléchargements d’œuvres protégées dès lors que ces
derniers avaient conscience de commettre un acte illicite.
Le téléchargement d’œuvres illicites est donc enfin
devenu illégal au 1er janvier 2010, date d’entrée en
vigueur de ces amendements.
Le respect des traditions au Japon a un impact jusque sur
la petite délinquance puisqu’il s’agit du pays où les incivilités et la petite délinquance sont proportionnellement
les plus faibles. Cependant, l’émergence des nouvelles
technologies est venue mettre à mal les valeurs traditionnelles. En complément de la nouvelle réglementation, les
associations de défense des intérêts des ayants droit organisent donc de nombreuses manifestations pour sensibiliser le grand public, et en particulier les enfants, aux
conséquences néfastes pour leurs industries du téléchargement illégal.
Pour Masami Hagino, membre de l’Association japonaise
des droits d’auteur de cinéma (Jimca), « sensibilisation
des enfants, moyens techniques de marquage des œuvres
et mesures légales sont les trois premiers moyens de
contrer la circulation illégale des œuvres ».
On notera qu’au Japon, il n’existe pas d’obligation de
sécurisation de sa connexion, contrairement aux dispositions introduites en France avec la loi Hadopi. En effet, la
sécurisation des informations échangées sur Internet est à
la charge des prestataires de services commerciaux ou
informatiques en fonction de la situation.
La définition de
l’expression
« donnée personnelle » retenue par la loi japonaise est très proche de notre
définition hexagonale. Ainsi, elle désigne toute information
sur un être vivant permettant de l’identifier en tant qu’individu, tel que sa date de naissance, son nom ou toute autre
information descriptive ou conduisant à son identification.
©
n’était pas sanctionné au Japon car il était assimilé à un acte
de reproduction pour copie privée, échappant ainsi aux prérogatives des ayants droit. Seules les personnes offrant au
téléchargement des contenus protégés pouvaient être poursuivies, c’est-à-dire essentiellement les sites d’hébergement
de contenus illicites et de peer-to-peer.
Contrairement aux normes européennes, un organisme
désirant collecter ou traiter des données personnelles n’a
pas besoin d’en faire la déclaration auprès d’un organisme
étatique spécialement affecté à la protection des données
personnelles (comme la CNIL en France). La loi japonaise
interdit toutefois, en principe, à un organisme commercial
de communiquer ces données à un tiers sans le consentement préalable du titulaire des données.
En cas de violation de ses obligations, un organisme pourra
faire l’objet d’une sommation, par l’autorité administrative
compétente, lui intimant de respecter ses obligations légales. Si cet organisme ne met pas en œuvre les dites recommandations, sans apporter de justifications valables, il
pourra être poursuivi et condamner à des peines allant
jusqu’à six mois de prison et environ 2.700 € d’amende.
Dans le cadre du traitement de données personnelles, l’organisme commercial doit notifier à chacune des personnes
dont les données ont été collectées le but de ce traitement
à moins qu’il ne décide de procéder à une annonce publique. S’il remplit ces conditions de déclaration, l’organisme
pourra traiter ces données afin de proposer, par exemple,
des publicités ciblées.
Enfin, le transfert de données collectées au Japon vers
l’étranger doit faire l’objet de déclaration auprès des autorités administratives compétentes (Competent minister) afin
qu’elles puissent le contrôler.
INTERNATIONAL
REGULATORY FRAMEWORK IN JAPAN: A BALANCE
BETWEEN INNOVATION AND TRADITION
Des données personnelles
bien protégées
Tout comme en France, la protection des données personnelles est un sujet très sensible au Japon. La loi sur la protection des données personnelles promulguée en mai 2003
et entrée en vigueur en avril 2005, après avoir été complétée, vient renforcer le système mis en place par des lois de
1981 et 1988. Ainsi, il existe des règles strictes concernant
l’utilisation et la collecte des données personnelles qui doivent être limitées et encadrées.
BY DIANE MULLENEX, LAWYER - SOLICITOR ENGLAND AND WALES,
AND JACQUES MANDRILLON, FRENCH LAWYER,
CABINET ICHAY & MULLENEX
Japan has been a pioneer of technology for many years
but it is also a country that combines tradition and
innovation. As such it is worth taking a closer look at its
legal framework for new technologies. We can offer you a trip
to the heart of the Japanese legal system where we will
focus our attention on certain aspects of the regulatory
framework for new technologies.
15
SPECIAL SECURITE
JAPON
législation similaire
En matière de noms de domaines, rien d’original, les règles
sont similaires à de nombreux pays. Toutefois, bien qu’il soit
officiellement possible d’enregistrer un nom de domaine
japonais quelle que soit sa nationalité, le Service des enregistrements prévient tout postulant que sa demande pourra être
refusée s’il ne possède pas un point de contact au Japon.
Un nom de domaine dont la notoriété auprès des utilisateurs
peut être démontrée permet à son titulaire d’invoquer les dispositions de la loi sur la prévention de la concurrence déloyale
pour se protéger si ledit nom de domaine est utilisé par des
tiers. De son côté, le titulaire d’une marque pourra également
poursuivre le titulaire d’un nom de domaine contrefacteur
sur le fondement du droit des marques.
La publicité sur Internet :
lutte contre les spams
Le Japon a mis en place une législation visant à lutter activement contre les spams, qui représentent plus de 82 % des
emails échangés dans le monde. Ainsi, la loi du 1er décembre 2008 sur la Régulation des transmissions d’emails spécifiés énonce que lorsqu’un internaute reçoit un email
publicitaire et qu’il notifie à l’expéditeur sa volonté de ne
plus recevoir d’emails, il est interdit à ce dernier de lui
envoyer d’autres publicités. En cas d’infractions répétées et
après notification par le Ministère des affaires intérieures et
de la communication, l’expéditeur peut être condamné
jusqu’à un an de prison et à environ 9.000 € d’amende.
Diffamation sur Internet :
un délit pris très au sérieux
• Il y avait des éléments permettant
raisonnablement
de penser qu’un tiers était diffamé ;
©
Noms de domaine,
• Une personne leur a adressé une notification expliquant
qu’elle était victime de diffamation et demandant aux FAI
d’empêcher la diffusion de ces supports diffamatoires.
Toutefois, le FAI doit enquêter auprès de l’expéditeur des prétendus supports diffamatoires, lui expliquer les mesures de
blocage envisagées et en l’absence de réponse de sa part dans
les 7 jours pourra mettre en œuvre les mesures annoncées.
Cryptologie :
un modèle ouvert
Au Japon, la politique en matière de cryptologie est basée sur
les lignes directrices énoncées par l’Organisation pour la
Coopération et le Développement Economique (OCDE), tout
comme en France. De plus, le Japon est signataire de
l’Arrangement de Wassenaar du 12 mai 1996 qui a vocation à
coordonner les politiques étatiques en matière d’exportation
d’armements conventionnels et de biens et technologies à
double usage, ce qui comprend les moyens de cryptologie.
Ainsi, le Japon a adopté une politique n’imposant aucune
restriction en matière d’importation et d’utilisation de produits et technologies cryptées.
Alors qu’en France, il a fallu attendre la loi du 21 juin 2004
pour que soit reconnu légalement le système de la signature électronique, le Japon s’est doté très tôt d’un arsenal
juridique consacrant ce système. Ainsi, la Loi sur la signature électronique et la certification d’affaires du 31 mai
2000 a validé ce système de reconnaissance de l’identité du
signataire.
Le blocage de connexion et de contenus a fait grand bruit
en France lors de l’adoption de la loi Hadopi et de la LOPPSI
2. Cette pratique de blocage au Japon est parfaitement
acceptée, notamment dans la lutte contre la diffamation en
ligne. Un sujet qui est culturellement et traditionnellement
considéré comme une atteinte personnelle grave.
En février 2009, le gouvernement japonais a adopté le
second plan national de stratégie sur l’information couvrant
la période 2009 à 2011 qui a vocation à énoncer les lignes
directrices gouvernementales en matière de sécurité et de
cryptologie. Par conséquent, l’année 2011 sera l’objet de
débats autour de la politique à mener autour des règles de
cryptologie pour le prochain exercice 2012 à 2014.
Ainsi, les fournisseurs d’accès à Internet (FAI) peuvent couper l’accès à un site ou à un contenu, voire couper la
connexion d’un individu publiant des éléments diffamants,
même en l’absence de décision judiciaire. En 2002, le
Ministère de l’économie a publié une recommandation à
l’adresse des FAI leur demandant de bloquer un site, sans
risque d’être poursuivi à leur tour, dès lors que :
En conclusion, bien qu’isolé du reste du Monde, le Japon ne
se laisse pas enfermer sur un îlot juridique et prend en
considération les évolutions juridiques internationales,
comme ce fut le cas en matière de téléchargements illicites.
Par ailleurs, le cadre réglementaire applicable aux nouvelles technologies est, comme toute chose au Japon, un juste
équilibre entre innovation et tradition.
■■■
17
THÉMA4TEST D’INTRUSION
L’artisanat a de l’avenir !
Le test d’intrusion est un exercice incontournable pour améliorer la sécurité de tout
système d’information. Toutefois, malmener un SI est tout un art qui nécessite doigté
et savoir-faire. Tels des « compagnons du Devoir », ces experts se construisent le plus
souvent leurs propres outils et préfèrent le test manuel. Encore un métier où l’artisanat
a de l’avenir !
Face au test d’intrusion, les motivations varient d’une
entreprise à l’autre. Ainsi, Paul Such, Directeur de la
société SCRT, explique que les entreprises font généralement appel à leurs services :
• Pour établir un état des lieux général du niveau de sécurité de la société
• Pour définir/établir les priorités de ce qui doit être amélioré
• Pour valider une nouveauté avant sa mise en production (application, infrastructure,…)
• Dans un contexte légal ou dans le cadre d’une certification (27001, PCI,…).
Effectivement, développe Thibault Koechlin, IT security
senior
consultant
chez NBS System, certaines sociétés sont
des adeptes du pentest, et en font effectuer à intervalles
réguliers. Ces dernières cherchent le plus
souvent à vérifier la
constance de leur
niveau d’exposition
vis-à-vis d’un attaquant externe non
renseigné. Elles souhaitent également
Thibault Koechlin, NBS System
augmenter
leur
niveau de sécurité sur le long terme, complète Christophe
Alladoum, Consultant Sécurité Informatique chez HSC.
Pour d’autres, reprend Thibault Koechlin, ce type de
démarche est nouveau : soit suite à un incident, une
prise de conscience, ou encore une prise de poste d’un
nouveau responsable sécurité. Elles décident de faire
effectuer un test d’intrusion externe, comprenant souvent
de l’ingénierie sociale. Bien que les résultats soient souvent « durs », puisque ce sont généralement des gens
peu préparés, cela a bien souvent l’effet escompté : un
électrochoc de la DSI à la DG. C’est d’ailleurs le cas le plus
18
fréquent, reprend Christophe Alladoum. Il est pratiqué de
façon sporadique pour avoir une vue globale du niveau
de sécurité de son infrastructure. C’est aussi un bon
moyen pour appuyer une demande de besoin pour protéger le SI.
Nous avons également comme clients des sociétés qui
veulent tester une partie spécifique de leur réseau ou de
leur architecture. Il peut s’agir d’un test applicatif, ou d’un
test système et réseau. Ces derniers comportent bien plus
rarement un volet sur l’ingénierie sociale, ajoute Thibault
Koechlin.
Christophe Alladoum, HSC
Enfin, pour certaines
entreprises, explique
Christophe Alladoum,
il s’agit de répondre à
des exigences légales
ou liées à une certification : c'est le cas
notamment pour les
entreprises de Jeux
en ligne (tests et
audit imposés par
l'Arjel), ou pour les
entreprises PCI-DSS
(test
d'intrusion
annuel).
Il faut préciser qu’un test d’intrusion est très rarement
une mesure prise pour sanctionner, rappelle Paul Such.
Bien sûr, rebondit Thibault Koechlin, car dans certains
cas, le DSI/RSSI est conscient du niveau de sécurité (ou
d’insécurité) et cherche juste une confirmation par un
point de vue extérieur. Le pentest, à défaut d’être exhaustif, est extrêmement démonstratif, puisque bien souvent,
on arrivera à extraire les données sensibles de l’entreprise,
mettant ainsi la DG (ou les managers) face à une réalité
business, chiffrable en terme de risques, qui est bien plus
concrète pour une DG qu’un DSI/RSSI s’inquiétant du
niveau de sécurité de l’entreprise.
THÉMA
TEST D’INTRUSION
A chacun sa méthode
Christophe Alladoum recense principalement deux types
de tests d'intrusion : les tests externes, où les consultants
auditent l'infrastructure du client ouverte sur Internet
(serveurs Web, mail, tête de pont VPN, etc.) ; et les tests
internes, se déroulant au sein même de la société, et
durant lesquels les consultants tentent de compromettre
un maximum de serveurs, voire même le plus souvent le
domaine entier.
Niveau méthodologie, trois grandes familles sont utilisées :
la boite noire, où aucune information n'est mise à disposition des consultants et ils doivent découvrir toute l'infrastructure ; la boite grise, où des accréditions minimales sont données au consultant, ces derniers tentant donc
d’élever ces privilèges pour devenir administrateur ;
enfin les tests boite blanche (également nommé audit à
caractère intrusif), où l'intégralité de la configuration est
mise à disposition des consultants. Il arrive même que les
informations fournies aillent jusqu'à la mise à disposition
du code source, ceci afin d'optimiser les recherches et
d'avoir une vue beaucoup plus exhaustive de la sécurité
de l'application.
Les grands types
de tests d’intrusion,
par Paul Such et Thibault Koechlin
• Test d’intrusion externe, avec ou sans ingénierie
sociale, avec ou sans connaissances préalables (boite
grise ou noire)
• Test d’intrusion applicatif, interne ou externe, ciblant
une application spécifique, avec ou sans connaissances
préalables
• Test d’intrusion interne, avec ou sans ingénierie
sociale, avec ou sans connaissances préalables
Pour chaque grande catégorie, de nombreuses
« options » sont possibles : cheval de Troie, wardialing,
wardriving, site survey, tests des systèmes, VOIP,…
périence des pentesters. C’est pour
cela que la phase
d’écoute et de
découverte des besoins du client est primordiale afin que
l’expert puisse aider l’entreprise dans son choix. Ainsi,
explique Christophe Alladoum, une entreprise bancaire
mettra l'accent sur le bon confinement des données utilisateur contre un intrus, alors qu'une société de e-commerce favorisera l'intégrité des données stockées et des
formulaires et surtout la protection de sa base client
(notamment les éventuelles données bancaires). Il n'y a
pas vraiment de cas général.
Le RSSI au cœur du pentest
Nos trois experts sont
d’accord : le responsable de la sécurité
informatique de l’entreprise est un musthave, ou à défaut le
dirigeant en charge
de ces sujets. Pour
Thibault Koechlin,
d’une manière générale, il faut impliquer
le moins de personnes possible afin de
rester dans la philosophie du test d’inPaul Such, SCRT
trusion. Cela permet
également de mettre à l’épreuve les capacités de détection et de réaction des incidents de sécurité informatique.
En revanche, selon Christophe Alladoum, « l'ensemble
du personnel concerné (en général le service informatique), aussi bien technique que managérial, doit être
PENETRATION TESTING
CRAFT HAS A FUTURE!
Le choix d’un type de test
dépend des objectifs
Choisir un type de test est souvent compliqué. Ainsi, pour
nos trois experts, faire un test sans but précis ne sert absolument à rien. Pour Paul Such, un test d’intrusion permet
de mesurer un ou des risques. Effectivement, reprend
Thibault Koechlin, il est également important de rappeler
à son client qu’un test d’intrusion n’a pas de vocation
exhaustive, la profondeur de test et la qualité des résultats dépendent très directement de l’expertise et de l’ex-
To reinforce the security of any information system the drill of
penetration testing is an essential exercise. However, assaulting an IS is
an art that requires finesse and know-how. And just like master-craftsmen from the "Compagnons du Devoir" - an ancient French trade
organisation still today pursuing the values of traditional workmanship
- experts generally prefer to make their own tools and do manual
testing. Another trade where craft has a future !
19
impliqué. En effet, nous mettons un accent particulier à
montrer l'impact de chaque faille (confidentialité,
atteinte à l'intégrité, etc.), ainsi qu'à expliquer la faille en
elle-même, comment elle peut être exploitée, etc. ».
Effectivement, reprend Paul Such, en outre, dans les cas
où il y a une attaque de type social engineering, les ressources humaines sont également impliquées.
L’idéal pour un test
est de ne restreindre
aucune infrastructure
Un bon test d’intrusion
Christophe Alladoum considère que le client possède sa
propre vision de ce qu'il souhaite auditer. Toutefois, elle
est parfois imprécise sur l'ensemble des applications/serveurs à inclure. C'est pourquoi la phase de qualification
de la prestation d'audit concerne principalement cette
définition du périmètre, durant laquelle les consultants et
le client vont tenter de cerner au mieux les équipements
à inclure. Les consultants ont alors un rôle important pour
conseiller et mettre en exergue les principaux risques liés
à telle ou telle partie du périmètre. Tout à fait d’accord,
reprend Paul Such, le périmètre doit être défini de
manière extrêmement claire et formelle, soit lors de l’offre commerciale, soit lors de la réunion de lancement. Ce
dernier consiste généralement en une liste de réseaux et
sous réseaux, une liste d’adresses IP, URL, une liste de
numéros de téléphone, les adresses des bâtiments.
Toutefois, l’idéal est de ne se restreindre à aucune infrastructure afin de ne pas dénaturer la manière dont un vrai
attaquant s’y prendrait, complète Thibault Koechlin.
Ensuite, on peut demander à appuyer le test d’une brique
particulière.
doit reproduire le plus
Chez NBS, nous utilisons généralement un système de
périmètre Blanc/Jaune/Rouge :
• Blanc : Tout est permis (sauf bien entendu les actions
destructives)
• Jaune : Le contact doit être prévenu et validé avant
d’attaquer une machine/équipement de ce périmètre
• Rouge : Interdiction de toucher.
Les points de vigilance
lors du pentest,
selon Paul Such
• Le périmètre
• Le type d’attaques autorisées et la provenance de ces
attaques
• Les points de contacts et la manière de communiquer
avec le client
• La manière dont seront traitées les données
20
Durant le test d’intrusion, un des principaux dangers
concerne surtout la disponibilité de la plateforme auditée,
analyse Christophe Alladoum. Cette disponibilité implique
une coopération entre l'équipe de consultants menant les
tests et le client. Un ralentissement du au test peut être dramatique pour le client selon son activité. Les consultants
doivent donc pouvoir cerner la criticité de l'environnement.
Ainsi, reprend Thibault Koechlin, une communication fréquente doit être mise en place avec le/les responsables du
test chez le client, afin de maintenir un niveau de vigilance
accru sur les incidents éventuels.
fidèlement possible les étapes
d’une attaque réelle
Selon Christophe Alladoum, les étapes des tests d'intrusion,
internes comme externes, tentent de reproduire le plus fidèlement les étapes d'une attaque réelle. Tout d'abord, la
découverte d'environnement permet de collecter un maximum d'informations sur la topologie attaquée. Puis, vient la
phase de recherche et l'exploitation de vulnérabilités permettant de corrompre l'accès à l'application ou au serveur.
Avec un premier accès, les consultants vont tenter de « piller » toutes les nouvelles données qui sont à leur disposition
grâce à cet accès, pour recommencer une nouvelle phase de
découverte d'information, et ainsi de suite, en rebondissant
éventuellement de serveur en serveur.
Par exemple, dans un test d’intrusion dit « en aveugle »,
analyse Thibault Koechlin, nous identifions en général plusieurs phases :
• Découverte du périmètre : il s’agit ici d’évaluer la quantité
de serveurs / plages d’adresses IP/ Sites web qui peuvent être
facilement « trouvés » sur Internet en utilisant des moyens
de recherche plus ou moins classiques. Cette phase se
conclut bien souvent par une mise en commun de nos informations avec le contact en charge du pentest chez le client,
afin de valider l’exhaustivité des résultats obtenus, et de
requalifier les périmètres en fonction de la sensibilité des
équipements.
• Phase de reconnaissance : après avoir mappé les équipements et serveurs présents, il s’agit d’identifier quelles solutions tournent sur quels équipements. Cette phase ne nécessite pas forcément de communication avec le client, mais
peut rentrer en compte dans l’évaluation globale du niveau
de sécurité, puisqu’une identification « trop » aisée facilitera la tâche du pirate. Cette étape permet aussi de préparer la phase d’attaque, en permettant parfois l’identification
de certaines vulnérabilités.
• Phase d’attaque : cette phase consiste à exploiter les vulnérabilités qui auront étés relevées lors des phases précédentes du test. En fonction de la sensibilité des équipe-
THÉMA
TEST D’INTRUSION
ments/services ciblés, une communication particulière sera
établie avec le client afin de s’assurer que ces
attaques ne risquent pas de perturber les services en
production.
• Phase de progression : une fois un ou plusieurs éléments
frontaux compromis (ou des postes clients si il y a eu attaque par ingénierie sociale), s’entame la phase de progression. Il s’agit pour nous de progresser dans le réseau, ou
d’arriver à passer de la DMZ au LAN, dans l’objectif d’accéder aux données « métier » qui intéressent plus généralement le client.
Le meilleur pentest doit rester
manuel avec des outils
chose d’évident et
vient en complément de l’analyse
manuelle qui, à
notre sens, reste indispensable. Evidemment, rebondit
Thibault Koechlin, en ce qui concerne les phases ultérieures
comme l’exploitation ou la progression dans le réseau, elles
ne sont pas (ou très peu) automatisées, notamment à cause
des risques associés. Par contre, chez HSC, explique
Christophe Alladoum, « la philosophie reste « l'artisanat »,
car aussi poussés que soient les outils d'analyse automatique, aucun ne parvient encore à rivaliser avec la curiosité et
l'ingéniosité du cerveau. Sauf demande explicite du client,
les consultants HSC ne se servent que rarement d'outils
automatiques ».
« faits maison »
Le test interne,
Nos trois experts sont une fois de plus d’accord, un bon pentest doit rester manuel. D’ailleurs, chacun d’entre eux travaille avec des outils du marché, mais aussi des outils faits
sur mesure. Ainsi, chez SCRT, les experts utilisent la plupart
du temps :
• des outils génériques et Opensource, comme nmap,
Nessus et metasploit
• des outils développés par SCRT, comme Webshag,
MiniSQLator, XSSploit, ...*
• des outils/scripts spécifiques (ex : script python pour une
injection SQL en aveugle).
un exercice délicat
Même discours chez NBS Systems, les consultants utilisent
des scanners de ports, scanners de vulnérabilités, scanners
applicatifs web … mais tout cela fait partie de l’arsenal
commun des pentesters ; la valeur ajouté se trouve souvent
au niveau de l’expérience des consultants et des outils
« maison » : trojans, exploits, outils d’assistance à l’exploitation web, systèmes de phishing.
L'armada d'outils utilisés pour les tests d’intrusion chez HSC
suit beaucoup la philosophie Unix, « un outil pour une
action ». Aussi, on retrouvera des outils comme nmap pour
le scan de port, nikto ou wfuzz pour déterminer les vulnérabilités basiques des applications Web. Wireshark est très
précieux pour les tests d’intrusion internes et Wifi. Ensuite,
les consultants sont souvent amenés à coder leur propre
outil dès lors qu'il n'en existe pas déjà, ou bien que ceux
existant ne soient pas assez efficaces. Dernièrement, un
consultant HSC a écrit un outil, webef, dont le fonctionnement s'apparente à wfuzz, mais est largement plus rapide
grâce à l'implémentation de mécanismes avancés.
Mais bien sûr, complète Paul Such, l’automatisation est
nécessaire pour certains types d’attaques, comme par
exemple les injections SQL en aveugle (blind) ou les attaques
de type « brute force ». L’automatisation des découvertes
de failles permet juste de ne pas passer à côté de quelque
Le test d’intrusion interne qui permet d’identifier les vulnérabilités et malversations qu'un pirate interne pourrait réaliser sur les systèmes et applications du réseau interne est
un exercice délicat. En effet, il cible l'ensemble du Système
d'Information : contrôleurs de domaine, bases de données,
routeurs, messagerie, WiFi, serveurs de fichiers, ... Comme le
confie Paul Such, lorsqu’une société effectue un test d’intrusion interne, la personne qui va jouer le rôle de l’attaquant
va très probablement avoir accès à des données sensibles
(salaires, liste de clients, …) : elle devra donc être d’une
confiance absolue avec un grand sens de l’éthique.
*NDLR :
outils présentés
lors de l’édition
2009 des GS
Days
L’analyse et le débriefing :
pour sensibiliser les directions
L’analyse et le débriefing représentent une nouvelle
épreuve pour les équipes sécurité et sont considérés comme
une arme à double tranchant : si l’expert trouve des vulnérabilités critiques, l’effet de manche peut débloquer miraculeusement des budgets. Par contre, dans le cas contraire,
l’utilité de la sécurité même pourrait être remise en cause
en renforçant le sentiment d’invulnérabilité, … Pour
Christophe Alladoum, tout dépend des clients, mais cette
phase se passe généralement bien, lorsque les vulnérabilités sont bien exposées et leurs impacts concrètement traduits. Les consultants s'adaptent aux différents publics
qu'ils peuvent rencontrer : mise en exergue de l'aspect
technique ou de l'aspect orienté « risque » selon la population à l'écoute. Aussi, chez SCRT, l’habitude est de travailler au moins en binôme, avec une forte interaction entre
collègues en fonction des spécialisations de chacun.
D’ailleurs, un outil développé en interne (SCRTool) est utilisé
pour mener à bien cette phase collaborative. Chez NBS
System, les phases d’analyse et de débriefing sont séparées
21
en deux parties :
• Une partie technique : ce volet comprend toutes les informations techniques, aussi bien sur les analyses des vulnérabilités que les attaques qui s’en sont suivies, leurs résultats
et conclusions éventuels. Ce document couvre aussi une
analyse technique des correctifs à mettre en place.
• Un document destiné au comité de direction / décideurs :
ce document décrit les risques métiers associés aux résultats
du test d’intrusion. Laissant de côté l’aspect technique, cette
version « ultra vulgarisée » se concentre sur les risques à
l’échelle de l’entreprise. De même, le plan d’action est
défendu dans cette partie, puisqu’il est nécessaire que la
direction de la société concernée prenne conscience de la
nécessité d’agir afin d’épauler sa DSI.
…Mais l’action n’est pas
toujours au rendez-vous
Suite au débriefing, les entreprises ont des comportements
différents. Ainsi, selon nos trois experts, certaines ne font
rien ou alors le strict minimum pour ne pas se faire « taper
sur les doigts ». Pour les autres, tout dépend des compétences en interne. Si elles disposent des compétences nécessaires, elles mettent en place le plan d’action proposé ou un de
ses dérivés. Lorsque ce n’est pas le cas, elles se font parfois
accompagner, que ce soit sur le court/moyen ou long terme,
afin de reprendre en main leur sécurité et de pérenniser le
niveau de sécurité atteint. Dans les deux derniers cas, elles
définissent des priorités et utilisent le rapport de test
comme outil de travail. Évidemment, le facteur temps joue
fortement: toutes nos recommandations ne peuvent s'appliquer en un jour. Il est relativement fréquent que les entreprises fassent appel à nous pour vérifier que les correctifs
aient bien été implémentés. Il arrive quand même régulièrement qu'au fur et à mesure des tests, il n'y ait plus grand
chose à trouver.
Un test par an est un minimum
Le test d’intrusion est comparable à un check up pour un
Homme de 50 ans : un minimum d’une fois par an est
recommandé. Bien sûr, tout dépend des budgets alloués, de
l’exposition des éléments à tester, de la confiance dans les
tests réalisés, ... Par ailleurs, effectuer un test tous les ans
permet de vérifier l’intégration des recommandations entre
deux tests. Toutefois, certaines souhaitent effectuer un test
tous les trimestres sur un périmètre plus restreint. Cette
approche est très intéressante, car elle permet de disposer
d’un état des lieux régulier et de corriger les problèmes plus
rapidement. Pour Thibault Koechlin, « c’est une bonne idée
de faire pentester une application ou un actif critique pour
votre business à chaque évolution majeure : changement
de prestataire, changement de version majeure, changement d’architecture, nouvelle application ». Dans tous les
22
cas, Paul Such explique : « à notre sens, le plus important
est de faire un test qui soit utile, c’est-à-dire dont les résultats vont pouvoir être utilisés par la société pour progresser.
Ces tests doivent donc réellement être intégrés dans les processus en place ».
Pour compléter le pentest,
d’autres types de test
sont préconisés
Nos trois experts estiment qu’un pentest n’est jamais
exhaustif. Thibault Koechlin s’exclame : « celui qui vous
vendra quelque chose d’exhaustif est un escroc ! Vous n’aurez jamais en 10 jours avec 2 consultants ce que la mafia
russe trouvera en 2 mois avec 10 personnes motivées. La
vraie question à se poser est systématiquement : de quelles
menaces est-ce que je cherche à me protéger ? ». De plus,
reprend Christophe Alladoum, en cas de découverte d'une
faille majeure, le consultant va s'acharner à l'exploiter et à
tester jusqu'où il pourra aller, et ce en passant évidemment
moins de temps sur d'autres failles cachées ailleurs.
Pour ces raisons, il est important de coupler le test d’intrusion à des démarches alternatives, explique Thibault
Koechlin. Ainsi, il cite l’audit de configuration en boite blanche, ou l’audit de code source (dans le cas d’un audit applicatif), voire même l’utilisation d’outils d’analyse statique qui
offrent une démarche plus exhaustive, mais bien moins
démonstrative. Tout dépend de l’objectif recherché complète Paul Such. Pour évaluer son niveau de sécurité actuel,
le pentest sera recommandé. Si l’on souhaite améliorer un
niveau de sécurité déjà acquis et consolidé, il faudra s’inscrire dans une démarche exhaustive, de type audit en boite
blanche, audit de code source etc. Enfin, il peut s’agir aussi
d’audit organisationnel, d’audit suivant une norme ou un
référentiel particulier (27001, PCI, etc.),... Christophe
Alladoum reprend : « les audits boite blanche à caractère
intrusif ont pour but de confronter les vulnérabilités découvertes dans le code ou la configuration avec l'implémentation en production, pour décrire au mieux les conditions et
les raisons de l'exploitation. L'audit de code aura un but
d'exhaustivité sur le développement d'une application. Tout
comme un audit de configuration visera l'exhaustivité de la
configuration sécurisée d'un équipement ou d'une
machine. Ces audits prennent évidemment plus de temps et
sont donc plus coûteux. Ils répondent, en conséquent, à un
besoin à plus long terme ». Effectivement, explique Paul
Such, « un test d’intrusion va, par exemple, permettre
d’identifier un problème technique (résultante) alors qu’un
audit organisationnel va permettre d’en déterminer la cause ».
Thibault Koechlin pense que le type de test dépend vraiment de ce que recherche le client. Le test d’intrusion est
idéal pour évaluer une première fois son niveau de sécurité,
THÉMA
TEST D’INTRUSION
ou retester un périmètre sur lequel des actions précises ont
étés prises afin de corriger certaines vulnérabilités. En
revanche, ce dernier n’est pas forcément adapté comme
première étape d’une démarche à long terme, dans laquelle
on compte mettre en place un plan d’action exhaustif des
mesures de sécurité à mettre en œuvre.
Le test d’intrusion, par
son effet spectaculaire, est
un bon outil de sensibilisation
Selon Thibault Koechlin, l’avantage principal du test d’intrusion repose sur son aspect « réel » et démonstratif. Il
permet de voir la mise en pratique d’attaques potentielles qui peuvent être relevées au cours des audits, tels que
les audits en boite blanche. A l’inverse, les audits plus
basés sur un mode coopératif, tels que les audits de configuration ou encore l’audit de code, permettent d’identi-
fier de manière
exhaustive les faiblesses en termes
de sécurité, ce qui
est tout à fait adapté pour établir, par exemple, un plan
d’action des correctifs. Paul Such considère qu’un test
d’intrusion est généralement très factuel (attaque réussie
ou non) et permet de tirer des conclusions immédiates, il
ne se veut pas exhaustif et reflète la difficulté qu’aurait un
pirate à attaquer une société sur une période de temps
donnée ; il va répondre à la question « Que pourrait
faire un pirate qui passerait x jours à attaquer notre
société ? ». Pour conclure, Christophe Alladoum rappelle
qu’avant tout, de nombreuses vulnérabilités sont rendues
possibles par des défauts de configuration, qui sont souvent de la négligence. En effet, il tient du bon sens que
des mots de passe triviaux seront tentés pour accéder aux
interfaces d'administration. D'autre part, pour bien sécuriser, il faut bien connaître ses équipements ou ses applications, ce qui demande du temps…
■■■
la confiance nécessite
des preuves !
Interview par Marc Jacob et Emmanuelle Lamandé
Le test d’intrusion est interdit en France… sauf contrat écrit et dument signé par les deux
parties : le donneur d’ordre et le consultant. Toutefois, trouver un prestataire de qualité
et de confiance, à qui prêter « les clés de son SI », peut s’avérer un choix cornélien pour
le client. Pour Jean-Nicolas Piotrowski, Directeur Général d’ITrust, et Olivier Revenu,
Consultant Sécurité Senior d’EdelWeb – Groupe ON-X, fournir des références, faire
signer un contrat en bonne et due forme sont des pré-requis a minima pour choisir un
prestataire. Dans tous les cas, tout est question de confiance ! Il faut donc se méfier
des entreprises qui dissimulent des informations. C’est un peu comme dans la fable de
La Fontaine « Les Poissons et le Cormoran », où le cormoran apprend aux poissons
en les mangeant « Que l'on ne doit jamais avoir de confiance, en ceux qui sont
mangeurs de gens ».
GS Mag : En France, quelles sont les spécificités réglementaires et contractuelles concernant la pratique de
tests d’intrusion en entreprise ?
Olivier
Revenu :
Sans entrer dans le
détail, il faut rappeler
que l’intrusion dans
un système d’information est régie par
la loi Godfrain du 5
janvier 1988 relative
à la fraude informatique et elle sanctionne toute volonté
de s’introduire ou de
se maintenir sans
droit dans un sysOlivier Revenu, EdelWeb-Groupe ON-X tème d’information.
Heureusement, une
jurisprudence de 2002 rend l’intrusion licite dans la
mesure où une autorisation explicite est signée par les
contreparties.
Jean-Nicolas Piotrowski : Effectivement, je préciserais
24
qu’en France le simple scan de ports est interdit. Nous
avons de nombreux clients qui reçoivent des appels ou
des mails de « gentils hackers » leur listant leurs vulnérabilités. Il faut savoir que cela est interdit. Un scan ou test
d’intrusion d’un système d’information n’est autorisé
qu’avec l’accord écrit d’un client. Au sein d’ITrust, nous
n’effectuons jamais de tests sans accord écrit. La procédure est claire, elle fait partie du process d’audit. Il nous
est arrivé d’annuler des tests chez un client qui nous autorisait mais que son hébergeur refusait.
Le contrat est un point clé
pour la bonne conduite
de tout test d’intrusion
GS Mag : Quels sont les points de vigilance à prendre en
compte dans l’élaboration du contrat ?
Jean-Nicolas Piotrowski : Dans l’entreprise étendue,
avec des applications et des SI clients de plus en plus
ouverts, il est difficile de savoir qui appartient à qui :
une application développée en TMA par un tiers appar-
THÉMA
TEST D’INTRUSION
tient au client, elle est hébergée dans une « web
Agency » qui loue un serveur virtualisé chez un hébergeur.
Olivier Revenu : L’élaboration du contrat est donc un
point clé pour la bonne conduite d’un test d’intrusion
en toute légalité, en dehors des clauses traditionnelles,
il faut définir notamment les éléments suivants :
• Les consultants en charge de la prestation ;
• Les engagements de confidentialité ;
• Les conditions particulières :
- Le mandat de prestation signé par une personne habilitée du client et stipulant la nature et le périmètre de
la mission confiée, la plage horaire de test, ainsi que le
mandat donné. Il mentionnera le nom et les coordonnées de l'interlocuteur client qui sera chargé du suivi de
l'exécution de la prestation et attestera que l’entreprise
est responsable de la cible du test (décharge de responsabilité du prestataire dans le cas où les équipements
testés n’appartiennent pas au client).
- La terminaison imprévue dans le cas d’une suspension
de l’exécution de la prestation.
- La traçabilité des actions réalisées lors du test et des
informations collectées, leur stockage et leur destruction.
- La garantie d’intégrité des ressources.
- La déontologie : en tant que membre fondateur de la
FPTI (Fédération des Professionnels des Tests Intrusifs)
créée en 1999, nous adhérons à un code déontologique
décrit dans la "Charte des Professionnels de l’Intrusion"
bâti sur les quatre principes suivants : la Moralité, la
Transparence, la Confidentialité et la Probité.
GS Mag : Dans de tels cas, complexes, qui doit donner son accord de test d’intrusion : le client, le développeur, l’exploitant, l’hébergeur, … ?
Jean-Nicolas
Piotrowski :
Règlementairement,
c’est le propriétaire
de l’adresse IP. Il
suffit donc d’effectuer une requête
Whois. Le responsable de l’IP (qui
apparaît en premier
dans la réponse
Whois) doit valider
l’audit intrusif.
Au sein d’ITrust,
nous préférons aller
Jean-Nicolas Piotrowski, ITrust
plus loin et demandons au possesseur de garantir qu’il a l’autorisation des
tiers pour réaliser les tests. Dans des cas plus risqués,
nous demandons à tous les intervenants de signer l’accord d’audit.
G S M a g : Comment définir les
responsabilités de
chacun ?
Jean-Nicolas Piotrowski : Nous n’avons jamais eu de problème à ce niveau. Le client est informé par écrit et signe un
protocole d’accord dans lequel nous l’informons des risques
d’un test. Bien entendu, nous mettons tout en œuvre pour ne
pas paralyser une production ou éviter les effets de bords. En
quelques années, nous n’avons eu à déplorer qu’un seul problème mineur : mieux vaut souvent que nous détections un
problème avant une personne mal intentionnée.
Olivier Revenu : Les responsabilités de chacun se trouvent définies dans les éléments ci-dessous :
• la proposition commerciale ;
• le contrat et le mandat de prestation ;
• la réunion de lancement.
Généralement, le prestataire s’engage à :
• réaliser la prestation avec diligence et compétence ;
• protéger et conserver les documents et informations
confiés par le client ;
• ne pas altérer les données accédées ;
• informer le client de toute détection d’anomalies ;
• transmettre au client tous les résultats obtenus lors de
la prestation ;
• ne pas divulguer à quiconque tout ou partie des résultats obtenus (sans autorisation expresse du client) ;
• transmettre sur simple demande du client la souscription d’une police d’assurance couvrant sa responsabilité
civile professionnelle.
PENETRATION TESTING
PENETRATION TEST: BUYER BEWARE!
IINTERVIEW BY MARC JACOB AND EMMANUELLE LAMANDÉ
The penetration test is banned in France ... unless there is a written
contract duly signed by both parties: the buyer client and the provider
consultant. However, finding a provider of quality and trustworthiness,
to whom one can hand over the "keys of the IS" can be a tough choice
between a rock and a hard place for the customer. Providing references,
and signing a contract in due form are the minimal prerequisites for
selecting a provider according to Jean-Nicolas Piotrowski, CEO of iTrust,
and Olivier Revenue, Senior Security Consultant at Edelweb-ON-X Group.
The bottom line is, it's all about trustworthiness ! A buyer should thus
be wary of companies that hide information. As in the fable of La
Fontaine "The Fishes and the Cormorant", where the helpful cormorant
deceives the fish in order to eat them, the lesson is that a client should
be cautious when dealing with 'man-eaters'.
25
Le client s’engage, quant à lui, à mettre à disposition du
prestataire les moyens, ressources et informations précises
et nécessaires à la bonne exécution de la prestation.
GS Mag : Quels rôles doivent jouer les assurances ?
Olivier Revenu : Tout prestataire sérieux se doit de disposer au minimum d’une :
• assurance de responsabilité civile « exploitation » couvrant les risques à l’égard de tiers pendant le déroulement de la prestation (c’est-à-dire avant son achèvement) : dommages corporels, matériels, et immatériels
causés à toute personne physique ou morale ;
• assurance de responsabilité civile « professionnelle »
plus globale couvrant les dommages causés du fait des
prestations effectuées par l’entreprise, y compris après
la livraison de la prestation.
En 15 ans de pratique de tests d’intrusion, nous
n’avons jamais eu besoin de recourir à une assurance
pour des dommages causés sur un système d’information suite à un test d’intrusion. La définition précise
des responsabilités mutuelles en amont de la prestation et le respect des bonnes pratiques pour la réalisation d’un test d’intrusion sont la garantie de la qualité
de la prestation et de la maîtrise d’éventuels incidents
de sécurité.
Jean-Nicolas Piotrowski : Il est assez difficile d’obtenir
un contrat d’assurance spécifique pour couvrir les risques d’atteintes au SI. En matière d’assurance, la responsabilité civile de l’auditeur est engagée. L’assurance
du client peut jouer aussi son rôle. Nous n’avons jamais
eu en plusieurs années à activer ces assurances.
Olivier Revenu : Le choix d’un prestataire de confiance
est essentiel pour la bonne conduite du test et l’obtention de résultats probants. Rappelons qu’un test d’intrusion est une prestation qui ne se veut pas exhaustive,
aussi plus le temps passé pour le déroulement du test
est important, meilleurs seront les résultats. Il convient
donc de bien réfléchir lors du choix d’un prestataire, la
prestation la moins chère pouvant passer à côté de vulnérabilités critiques.
Un prestataire de qualité se doit de présenter en particulier :
- Sa méthodologie, idéalement s’appuyant sur un des
« standards » de la profession, comme les guides OWASP.
- Sa déontologie, comme celle de la FPTI décrite précédemment.
- Les CV des consultants en charge des tests et leur statut (salarié ou non).
- Des références avec un contact et tout élément attestant de ses compétences et expériences, comme par
exemple l’appartenance à des groupes d’utilisateurs
(OSSIR, CLUSIF) ou à la Fédération des Professionnels des
Tests Intrusifs ou encore figurer dans la liste des organismes certificateurs établie par l'ARJEL2.
- Et tous les éléments contractuels cités précédemment.
Demandez des références
Un bon expert doit présenter
et vérifiez les dires
sa méthodologie et appartenir
de votre prestataire
à une organisation reconnue
GS Mag : Quelles sont vos recommandations pour couvrir les risques d’atteinte à l’intégrité du SI lors d’un
test d’intrusion?
GS Mag : Comment un donneur d’ordre peut-il s’assurer que le prestataire choisi pour réaliser le test est de
confiance ?
Jean-Nicolas Piotrowski : Les cabinets d’expertise et de
qualité sur le marché sont connus. Malheureusement
souvent que par les experts.
Un auditeur de qualité doit vous présenter :
- Sa méthodologie (Open Source Security Testing
Methodoly Manuel (OSSTMM) en ce qui nous concerne).
- Ses accords de confidentialité.
- Il ne doit pas engager de tests avant de vous avoir fait
valider le périmètre, la période et le détail des tests qu’il
va effectuer.
- Il faut vérifier ses références, ses publications.
- Il est possible de demander le CV des auditeurs et des
26
ingénieurs qui vont réaliser les tests.
- Enfin, il est pertinent de vérifier si la société d’audit est
connue des services du gouvernement ou du CLUSIF
(Club de la Sécurité de l’Information Français) ou appartient à une association qui regroupe des professionnels
des tests d’intrusion.
Olivier Revenu : Le donneur d’ordre ne doit pas hésiter
à contacter les sociétés citées comme références par le
prestataire pour s’assurer de sa qualité et de son professionnalisme. Les tests que nous effectuons ne sont normalement pas agressifs et ne portent pas atteinte à l'intégrité des ressources du système d’information.
Chaque fois qu’un doute existe, les tests sont conduits
après accord explicite du client qui peut alors assurer
une supervision étroite de son système. De plus, toutes
les actions que nous réalisons sont tracées et horodatées ainsi que leur résultat, ce qui nous permet en cas
d’incident de fournir au client tous les éléments pour
réaliser une analyse a posteriori des causes et conséquences.
THÉMA
TEST D’INTRUSION
Jean-Nicolas Piotrowski : Faites appel à des professionnels du métier. Evitez les sociétés qui refusent de vous
présenter les CV et références de leurs consultants.
Evitez les tests poussés sur des applications ou serveurs
mutualisés avec d’autres sociétés, …
■■■
1
Cf conférence d’ITrust aux JSSI sur les aspects juridiques du scan et des tests intrusifs :
http://www.itrust.fr/images/stories/ressources/jssi_leg
alite_scan_intrusif_outil_securite_y_garot_mars2010.
pdf
2 http://www.arjel.fr/-Organismes-certificateurs-.html
27
Légalité du test d’intrusion :
tous les chats sont gris…
Par Olivier Iteanu, Avocat à la Cour
Tester un système d’information pour y déceler
d’éventuelles failles de sécurité, il s’agit là de ce que l’on
nomme couramment les tests d’intrusion. Même si ces tests
font le plus souvent l’objet d’un accord préalable entre le
client et le prestataire, ils peuvent parfois être exécutés
par des tiers à l’insu du propriétaire du système. Toutefois,
savoir si ces tests sont légaux dans ce dernier cas
n’est pas une question aussi simple qu’elle en a l’air…
Olivier Iteanu
Dans un premier temps, le juriste y voit immédiatement la
commission du délit d’accès frauduleux à un système d’information, voire d’entrave au fonctionnement d’un SI. Ces
délits sont prévus et punis aux articles 323-1 et suivants du
Code Pénal. Les termes employés par la Loi sont simples et
clairs. Pour l’accès frauduleux, le Code Pénal dispose que
« Le fait d’accéder ou de se maintenir frauduleusement
dans tout ou partie d'un système de traitement automatisé
de données, est puni de 2 ans d’emprisonnement et de
30.000 euros d’amende ». Quant au délit d’entrave au fonctionnement du système, le texte prévoit des peines encore
plus sévères et les propos sont là encore clairs : « Le fait
d’entraver ou de fausser le fonctionnement d’un système de
traitement automatisé de données est puni de 5 ans d’emprisonnement et de 75.000 euros d’amendes ». En bref, tout
acte d’un tiers pénétrant un système ou entravant ou faussant son fonctionnement contre la volonté du propriétaire
est répréhensible devant la Loi. Ces dispositions ont été intégrées dans le code pénal sur la base d’une proposition de
Loi d’un Député en 19881. Ce sont des dispositions assez
claires, peu controversées. La Loi pour la Confiance dans
l’Economie Numérique (LCEN) du 21 Juin 2004 a quasiment
doublé les peines maximales de ces deux délits.
L’éditeur d’un site est
responsable de sa sécurité…
Pourtant, la question des tests d’intrusion ne nous semble
pas aussi simple ou simpliste. Il est des situations où le test
d’intrusion pourrait être considéré légal. Les tests d’intru28
sion sont en réalité très variés. Si le test consiste en une simple visite d’un système d’information accessible au public
comme un site Web, puis d’une appréciation donnée à son
propriétaire, s’il s’agit même, à l’occasion de cette visite, d’y
découvrir des failles de sécurité et de les signaler à son propriétaire, il ne devrait y avoir là aucune difficulté d’ordre
juridique. Rappelons ici les dispositions de l’arrêt de la Cour
d’Appel de Paris le 30 Octobre 2002 dans l’affaire Kitetoa2
qui relaxait l’internaute au motif que « il ne peut être reproché à un internaute d'accéder ou de se maintenir dans les
parties des sites qui peuvent être atteintes par la simple utilisation d'un logiciel grand public de navigation. Ces parties
de site, qui ne font par définition l'objet d'aucune protection de la part de l'exploitant du site ou de son prestataire
de services, devant être réputées non confidentielles à
défaut de toute indication contraire et de tout obstacle à
l'accès (…) et ne peut dès lors être considéré comme ayant
accédé ou s'étant maintenu frauduleusement dans cette
partie du système automatisé de traitement de données… ».
Bien évidemment, le cas jugé était celui d’une faille de sécurité découverte par un internaute sur un site public. La décision judiciaire aurait été tout autre, s’il s’était agi d’un internaute qui, dans le cadre de tests, avait forcé une porte non
destinée à être ouverte. Le mérite de cette décision est double : d’une part, elle fait peser la responsabilité de la faille
non sur l’internaute mais sur l’éditeur du site. Le message
est alors clair : vous êtes responsable de votre propre sécurité. D’autre part, la décision des juges de la Cour d’Appel
serait susceptible de s’appliquer et de légaliser le cas de tests
d’intrusion menés sur un système public comme un site
Web par un tiers même à l’insu du propriétaire du système,
sans qu’aucune porte ne vienne à être forcée.
THÉMA
TEST D’INTRUSION
…Et la pression sur les RSSI
ne ferait que s’aggraver avec
la notification publique des
failles de sécurité
Il faut dire que la pression sur les responsables de systèmes
d’information ne cesse de s’aggraver. De ce fait, le contexte
devient favorable aux testeurs. C’est tout à fait explicite
lorsque le législateur européen impose la notification publique des failles de sécurité car « Une violation de données à
caractère personnel risque, si elle n’est pas traitée à temps
et de manière appropriée, d’engendrer une perte économique et des dommages sociaux substantiels, y compris une
usurpation d’identité, pour l’abonné ou le particulier
concerné. Par conséquent, dès que le fournisseur de services de communications électroniques accessibles au public
a connaissance qu’une telle violation s’est produite, il
devrait en informer l’autorité nationale compétente. Les
abonnés ou les particuliers dont les données à caractère
personnel et la vie privée pourraient être affectées par la
violation devraient en être avertis sans retard afin de pouvoir prendre les précautions qui s’imposent »3.
Même si le test d’intrusion est
autorisé, le prestataire n’est
pas toujours à l’abri
Pour les systèmes d’information non publics, là encore le
juriste serait tenté de croire que la règle juridique obéit à un
schéma simple : soit le propriétaire du système a donné son
accord au test et tout va bien ; soit il n’a pas donné cet accord
et on se trouve alors au moins dans le cas d’une tentative d’accès frauduleux, tentative punie par la Loi comme le délit luimême dans les conditions rappelées ci-avant. En réalité, là
encore la situation nous paraît plus complexe. Si des tests sont
menés sur le système à l’insu du propriétaire, même un simple scan de port nous paraît ici constituer une tentative d’accès frauduleux et le délit est constitué. En revanche, même
dans le cas où le propriétaire du système a donné son accord
aux tests, le prestataire ne nous paraît pour autant à l’abri
d’ennuis juridiques de la part de son client. En effet, toutes les
conséquences d’un test de sécurité ne peuvent être mesurées.
Par exemple, le système va forcément stocker des données à
caractère personnel appartenant à des tiers, salariés, clients,
prospects, fournisseurs, … Or, la Loi « Informatique et libertés », même modifiée, du 6 janvier 1978 impose au « ficheur »
certaines obligations à respecter vis-à-vis des personnes
concernées. Il doit « prendre toutes précautions utiles afin de
préserver la sécurité des informations et notamment empêcher qu’elles soient déformées, endommagées ou communiquées à des tiers non autorisés » et le manquement à cette
obligation technique plutôt lâche
est sanctionné par
l’article 226-17 du
Code Pénal de cinq ans d'emprisonnement et de 300.000
Euros d'amende. Si les tests, même acceptés, ont pour conséquence la fuite de données à caractère personnel, les personnes « fichées » pourraient engager des poursuites sur le fondement de la Loi « Informatique et libertés ». Le propriétaire
du système ne serait-il pas alors tenté de se retourner auprès
de son prestataire pour engager à son tour sa responsabilité ?
D’autre part, et dans la même veine, l’article 6 du vieux Code
Civil pose un principe selon lequel les contrats ne peuvent
déroger à l’ordre public. Aussi, même en ayant donné son
accord au test par écrit ou par contrat, en cas de problème
non envisagé au départ et qui touche à l’ordre public, le propriétaire du système conserverait la faculté de s’adresser à son
prestataire pour lui demander des comptes. Et dans le cas des
systèmes d’information, les atteintes à l’ordre public ne manquent pas4.
Non, la question des tests d’intrusion est loin d’être une
question juridique apaisée. Mais gardons nous du tout
blanc ou du tout noir.
■■■
1Loi n° 88-19 du 5 janvier 1988 relative à la fraude informatique
2Voir sur www.legalis.net
3DIRECTIVE 2009/136/CE DU PARLEMENT EUROPÉEN ET DU
CONSEIL du 25 novembre 2009 modifiant la directive
2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications
électroniques, la directive 2002/58/CE concernant le traitement
des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques et le
règlement (CE) no 2006/2004 relatif à la coopération entre les
autorités nationales chargées de veiller à l’application de la
législation en matière de protection des consommateurs – considérant 61
4Voir Olivier Iteanu « Tous cybercriminels » – Ed. Jacques-Marie
Laffont
PENETRATION TESTING
WHEN IS A PENETRATION TEST LEGAL?
ALL CATS ARE GREY IN THE DARK...
BY OLIVIER ITEANU, LAWYER
Testing an information system to detect possible security breaches is
what is commonly called a penetration or intrusion test. Even if these
tests are mostly the subject of a prior agreement between client and
provider, they can sometimes be carried out by third parties without
the system owner's knowledge. And in such circumstances establishing
the legality of these tests is not as clear as it seems ...
29
une sécurité à deux
vitesses
Le niveau de sécurité des entreprises françaises est, selon nos neuf experts en test
d’intrusion, à deux vitesses. Si pour certaines, ils constatent une nette amélioration,
pour les autres, en particulier celles qui font pratiquer des tests pour la première fois,
la situation est plutôt alarmante…
Nos experts ont des
avis partagés sur le
niveau de sécurité
des entreprises françaises. Du côté « des
Cassandre », on
trouve Jean-Nicolas
Piotrowski, DG
d’ITrust. Pour lui,
« le niveau de sécurité ne s’est pas amélioré. La raison en
est simple : si les
entreprises ont fait
des efforts et ont
Yves Le Provost, HSC
déployé des outils,
des procédures d’accompagnement ou de mise en conformité, leur implémentation est souvent mal réalisée et mal
contrôlée. Le « Plan » et le « Do » de la Roue de Deming
sont réalisés suivant l’état de l’art, mais le « Check » et le
« Act » sont la plupart du temps les parents pauvres de
l’implémentation de la SSI. La faute à un déficit de temps,
de budget, d’intérêt humain, de compétences ou encore
de professionnalisme pour finaliser et faire vivre une
bonne PSSI. En parallèle, les techniques d’intrusion ou de
malveillance progressent (Injections, XSS, Trojans, 0 days).
Au final, depuis 10 ans, le niveau de sécurité n’a jamais
été aussi bas ». A l’opposé, Paul Such, Directeur de la
société SCRT, considère que le niveau progresse aussi bien
pour les aspects techniques que pour les aspects humains.
Les tests d’intrusion, tout comme la formation du personnel (sensibilisation au risque informatique), sont désormais intégrés dans le planning de nombreux projets. Nos
sept autres experts estiment que la « vérité est ailleurs »…
On serait plutôt dans une situation hétérogène en fonction de la taille des entreprises, des secteurs d’activité,
des normes en vigueur, du type de commerce pratiqué…
Pour Yves Le Provost, Consultant HSC, le niveau s'amé30
liore progressivement. Les différents interlocuteurs sont
de plus en plus avertis des différentes problématiques
liées à la sécurité informatique : les logiciels sont mis à
jour, les mots de passe par défaut sont changés, les vulnérabilités classiques sont corrigées. Ils demeurent des
entreprises qui font mentir cela, et dont la prise en
compte de la SSI en est encore à ses balbutiements. Il
reste également un gros travail à faire sur les architectures internes, celles-ci ne résistent généralement pas à
un test d'intrusion. Nicolas Pougetoux, Manager Audit,
LEXSI, est un peu
moins nuancé : « le
des entreprises françaises est de plus en
plus à deux vitesses.
D’un côté, le niveau
de sécurité des grandes
entreprises,
notamment dans le
secteur financier,
s’améliore d’année
en année quand,
dans
le
même
temps, celui des PME
Nicolas Pougetoux, LEXSI
stagne. Alors que les
tests d’intrusion réalisés depuis Internet se concrétisent
de moins en moins souvent par des intrusions abouties, ceux réalisés en interne sur les réseaux locaux des
sociétés montrent un niveau de risque inquiétant. Dans
plus de 95% des cas, un test d’intrusion effectué sur un
LAN d’une entreprise se solde par l’obtention des droits
d’administration sur l’ensemble du domaine Microsoft
(serveurs Windows et postes de travail). Les risques
internes sont encore très fortement sous-estimés.
La protection des secrets de nature industriels,
financiers ou RH, est insuffisante dans la majorité des
entreprises ».
THÉMA
TEST D’INTRUSION
Des « fans » des tests
d’intrusion aux néophytes…
Raphaël Illouz, DG de
NES, distingue deux
types de comportement vis-à-vis de la
SSI. La première catégorie concerne les
sociétés pour lesquelles la culture de
la sécurité est ancrée
depuis des années et
pour lesquelles il
constate une réelle
évolution de la sécurité d’années en
années. Ces sociétés,
Raphaël Illouz, NES
principalement dans
le domaine BFA, possèdent une équipe dédiée à la sécurité et réalisent des tests d’intrusion sur leur système d’information plusieurs fois dans l’année. Le niveau de sécurité de leur SI a donc globalement augmenté, malgré la
publication de plus en plus croissante de vulnérabilités,
dans le domaine applicatif notamment.
En ce qui concerne la seconde catégorie, la prise de
conscience de la sécurité est bien réelle, mais elle n’offre
que peu d’importance à l’élévation du niveau de sécurité
de leur SI. Ainsi, elle ne souhaite pas attribuer de budget,
ni même aux équipes dédiées à la sécurité quand il y en
a. Cette situation se traduit par une stagnation, voire une
baisse du niveau de sécurité au niveau des infrastructures
(réseau, système), mais aussi et surtout au niveau applicatif, qui représente à ce jour 80% des points d’entrées dans
le système d’information interne dans le cadre d’un test
d’intrusion externe. C’est un peu le même constat pour
Frédéric Charpentier,
Directeur Technique
d’XMCO Partners, « le
s’est amélioré pour les
entreprises qui ont
déjà effectué des
tests d’intrusion en
2008/2009. Par contre,
il est faible pour celles
qui réalisent leur
premier test d’intrusion. Il identifie plusieurs
tendances
positives et négatives
Frédéric Charpentier, XMCO Partners
d’après les résultats
de centaines de tests d’intrusion réalisés en 2010 (ban-
ques, assurances,
industriels) :
Tendances positives :
• Le patch management des systèmes Microsoft Windows
est désormais adopté par les entreprises.
• Les entreprises emploient de plus en plus de frameworks applicatifs (Struts, Hibernate, …) pour le développement de leurs applications Web. Ces frameworks proposent des bases très solides en termes de sécurité.
Tendances négatives :
• La présence de mots de passe par défaut sur les interfaces d’administration est toujours aussi répandue qu’en
2008/2009, en particulier sur les briques applicatives
tierces.
• La responsabilité de la sécurité est de plus en plus
diluée entre les différents acteurs : équipe production,
agence Web, développeurs, DBA, hébergeur, PSP, etc.
Nous constatons lors des soutenances de tests d’intrusion
qu’il est difficile pour le RSSI d’obtenir un inventaire et
une vision globale de la sécurité de tous les composants
d’une plateforme donnée. Rappelons-le, les pirates informatiques ne ciblent pas une couche en particulier, ils
cherchent la faille la plus facile à exploiter, quelle qu’elle
soit. Le modèle de défense en profondeur basé sur des
DMZ successives, selon une analogie militaire, ne s’applique plus aujourd’hui.
• Les entreprises déploient désormais des Web Services
(architecture SOA), accessibles sur le Web, qui permettent
à leurs partenaires d’accéder à des applications et à des
données métier. Ces Web Services sont encore très peu
sécurisés. Nous l’avons clairement constaté en 2010 dans
nos tests d’intrusion orientés Web Services ».
PENETRATION TESTING
PENETRATION TESTING:
TWO-TIER SECURITY
IINTERVIEW BY MARC JACOB AND EMMANUELLE LAMANDÉ
French enterprises have two-tier security levels,
according to our nine experts in penetration testing. If for some,
they see a marked improvement, for others, especially those who
undertake tests for the first time, the situation is rather alarming ...
31
Les systèmes anciens sont
souvent « laissés à l’abandon »
Chez Solucom, Vincent
Royer, Responsable de
l’offre audits de sécurité, déplore que, sur
les systèmes anciens,
les corrections de
sécurité soient rarement
mises
en
œuvre. Par contre, il
observe des améliorations dans la sécurisation des applications,
essentiellement Web, nouvellement déployées :
Vincent Royer, Solucom
chiffrement des flux,
contrôle d’accès délégué à des mécanismes centralisés et
éprouvés, etc.
Pour les applications plus anciennes, la sécurité est souvent déportée sur des solutions de sécurité positionnées
en amont (reverse-proxy firewall XML, publication sous
Citrix, etc.), mais souvent mal maitrisées et finalement
inefficaces. Le point noir reste encore majoritairement le
suivi et la mise en œuvre des recommandations formulées
dans le cadre des précédents audits.
vent propriétaires. Le niveau est assez hétérogène ; certaines sociétés ont une prise en compte de la sécurité dès la
conception des applications : cahiers de bonnes pratiques
pour les développeurs (filtrage des caractères sur les applications Web, gestion des traces, etc.), documentation fournie
sur les principes d’architecture à respecter (par exemple l’architecture 3-tiers, avec 3 DMZ et un filtrage des ports stricts,
etc.). Cette prise en compte de la sécurité dès le début du
projet a un impact très bénéfique sur le niveau de sécurité
de l’application lors de sa mise en production, ce que nous
constatons lors de tests d’intrusion, avec un niveau de sécurité nettement au-dessus de la moyenne.
D’autres sociétés ont des lacunes assez importantes dans
certains domaines, notamment pour les applications
« historiques » : des vulnérabilités critiques sont la plupart du temps découvertes.
Enfin, le niveau de sécurité est « différent » selon le point
d’entrée de l’attaquant (interne ou externe) : le niveau de
sécurité offert depuis Internet est généralement très bon
au niveau infrastructure, bien que des vulnérabilités
« classiques » soient découvertes dans les applications
web (XSS, SQL injection). En revanche, une attaque menée
depuis le réseau interne de l’entreprise démontre un
niveau global plus faible de la sécurité, l’entreprise ayant
tendance à considérer qu’elle est protégée par ses défenses périmétriques. Tous les défauts de conception classiques s’en retrouvent ainsi amplifiés.
La médiatisation des malwares
Même chez les grands comptes,
permet d’éveiller la conscience
le niveau de sécurité
des dangers
est hétérogène
Jérémy Lebourdais et
Olivier
Revenu,
Consultants sécurité
EdelWeb - Groupe
ON-X,
travaillent
principalement pour
des grands comptes.
Selon leur analyse,
en termes de cible
pour les tests d’intrusion, les demandes
des grandes entreprises concernent majoritairement en 2010
des
applications,
Jérémy Lebourdais
avec une augmentaEdelWeb - Groupe ON-X
tion pour les applications métiers dont les développements sont le plus sou32
Thibault Koechlin, Consultant Sécurité chez NBS System,
constate que, notamment à cause de la médiatisation du
phénomène « APT », le grand public prend conscience
des risques et des enjeux liés aux types d’attaques utilisés
dans ces scénarios, tels que les chevaux de troie. La chasse
au covert-channels, bien longtemps délaissée et considérée comme une discipline fantaisiste cantonnée aux films
d’espionnage, reprend de l’importance. Ce risque, celui de
l’extraction de donnée automatisée au nez et à la barbe de
tous les équipements de sécurité empilés en entrée et/ou
sortie de réseau, a été bien souvent ignoré ou délaissé par
les DSI / RSSI. Avec la médiatisation récente d’outils
comme Stuxnet ou Aurora, on a pu assister à une prise de
conscience collective de la menace « trojan ». Il est juste
dommage qu’il ait fallu attendre que les médias en parlent
pour que les gens cessent de se voiler la face. Par contre, il
retrouve toujours lors des pentests les mêmes problèmes,
les mêmes « bouts de code PHP indignes d’un adolescent
de 15 ans » et, pourtant, en production et dont la continuité de l’activité de certains dépend…
THÉMA
TEST D’INTRUSION
Toujours les mêmes failles
de sécurité : faiblesses
des mots de passe, failles
des applications Web…
mais aussi le manque
de sensibilisation
Pour l’ensemble de nos experts, si, d’une manière générale, les patchs de sécurité, en particulier ceux de
Microsoft, sont de plus en plus déployés, il n’en est pas de
même pour ce qui est de la politique de mots de passe,
des failles des applications… comme l’évoque Thibault
Koechlin : « autant les bonnes pratiques en matière de
patch commencent à être bien plus massivement adoptées que par le passé, autant le niveau de sécurité global
des applicatifs reste – et de loin – à la traine. On retrouve
toujours les mêmes erreurs triviales, les mêmes mauvaises pratiques et le manque absolu de sensibilisation des
développeurs. De même, la sensibilisation aux risques
d’ingénierie sociale reste, selon moi, quelque chose en
retrait qui n’est pas assez pris au sérieux ». C’est un peu
le même genre de constat pour Nicolas Pougetoux, les
failles les plus récurrentes en entreprises entrent dans
deux catégories bien définies : les correctifs de sécurité et
les mots de passe. Depuis quelques années, notamment
grâce aux efforts de Microsoft pour intégrer des solutions
de gestion des correctifs comme WSUS, la problématique
des correctifs Microsoft est de mieux en mieux traitée
dans les entreprises. En revanche, la gestion des correctifs,
émis par des éditeurs tiers, est très rarement prise en
compte. Trop peu de postes de travail disposent d’une
version d’Acrobat, de Flash ou de Java non vulnérable.
L’autre point noir est la problématique de mots de passe.
Les raisons sont multiples : mots de passe constructeurs
laissés par défaut sur des équipements sensibles, des
mots de passe d’administration universels dans l’entreprise ou plus fréquemment mots de passe utilisateurs triviaux. Plus des deux tiers des serveurs de bases de données audités en 2010 disposaient d’au moins un compte
avec privilège ayant gardé son mot de passe par défaut.
jacking, …). Pour
ce qui est des
tests
internes,
peu de sociétés
ont mis en place une forme de NAC (802.1x ou autre) et si
on couple cela à une mauvaise utilisation des protocoles
(données en clair) et une mauvaise politique de mots de
passe (réutilisation des mêmes mots de passe à plusieurs
endroits), on obtient généralement des résultats dévastateurs. Il faut aussi compter avec le facteur « humain »
qui reste encore et toujours le meilleur vecteur d’attaque
(attaques de type social engineering), … ». Selon Yves Le
Provost, les failles classiques et triviales se font rares. Du
point de vue des architectures Web, la faille la plus critique et la plus courante demeure tout de même le manque de protection des interfaces d'administration qui
conduisent à terme à la compromission intégrale du serveur, avec possibilité de rebond. Des injections SQL sont
toujours possibles, mais presque toujours exploitables
uniquement en aveugle, voire en utilisant des techniques
plus élaborées (par exemple par injection de durée). Le
nombre de failles de type Cross-Site Scripting (XSS) est toujours élevé, mais celles-ci ne sont généralement pas de
types permanents, ce qui limite la portée et la criticité de
ce type d'attaque.
Encore trop peu d’entreprises
ont mis en place un NAC
Paul Such distingue les failles trouvées lors des tests
externes et internes. « Pour les tests externes, les failles
que nous rencontrons le plus souvent restent les failles
Web d’une manière générale (Cross site Scripting, clickABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com
33
De plus en plus de failles dans
les bases de données
Raphaël Illouz distingue les failles exploitables seulement
via un accès au réseau interne de l’entreprise (connexion
filaire, WIFI) des failles exploitables sur les services et
applications disponibles directement via Internet.
Dans cette première catégorie de vulnérabilités, les failles
réseaux (classiques) type ARP Poisoning ou DNS Spoofing
engendrant un Man-In-The-Middle existent toujours au
sein des sociétés, malgré leur renommée et leur facilité
d’exploitation. Il est à noter que nous trouvons de plus en
plus de vulnérabilités liées aux systèmes et, notamment,
aux bases de données qui, en raison de leur extrême criticité, ne sont que très peu patchées, et deviennent de
véritables dangers pour la sécurité du système d’information interne.
Pour les attaques provenant d’Internet et donc beaucoup
plus dangereuses en terme de risques, les failles applicatives représentent dorénavant 80%, voire 90%, des vulnérabilités identifiées. Les failles XSS (Cross Site Scripting) et
les failles d’injection SQL demeurent les plus présentes et
les plus dangereuses. Ces failles, vieilles de plus de 10 ans
(le premier advisory pour les injections SQL datant de
décembre 1998), deviennent de véritables dangers pour le
système d’information, aussi bien externe qu’interne. En
effet, de nombreux frameworks facilitant l’exploitation de
ces failles sont sortis cette année (Beef Proxy, XSSF entre
autres) permettant de récupérer très simplement de nombreuses informations sensibles sur les utilisateurs, mais
également de compromettre à distance bon nombre de
serveurs Web autorisant un attaquant à accéder à la DMZ,
puis au LAN de l’entreprise.
Des failles récentes
liées à l’utilisation
des smartphones
Vincent Royer a trois grands motifs d’inquiétudes. Au
niveau des applications Web, si les failles de type XSS1 sont
de moins en moins observées au niveau des « frontaux »
exposés sur Internet (notamment les mires d’authentification), elles restent très présentes sur les applications internes ou les sous-fonctions d’applications (pages accessibles
une fois authentifié). Par ailleurs, bien qu’elles nécessitent
des scénarios d’attaque plus complexes et ciblent essentiellement des applications Internet, les failles de type
XSRF2 restent très fréquentes.
Au niveau des serveurs ou composants d’infrastructure, il
rencontre souvent des systèmes obsolètes ou vulnérables
à des failles de sécurité connues (correctifs de sécurité non
34
appliqués), la présence d’interfaces d’administration
(Tomcat, phpMyAdmin, Oracle, etc.) sans contrôles d’accès
ou associées à des mots de passe triviaux ou encore des
problèmes de mutualisation avec des applications vulnérables.
Il observe également des failles récentes liées à l’utilisation de nouveaux types d’équipements, comme les
smartphones, pour se connecter au SI de l’entreprise ou
accéder à des applications métier.
Le best of des failles trouvées
lors des tests d’intrusion
Chez XMCO Patners, les consultants ont élaboré un TOP
3 des failles trouvées en 2010 :
• Des fonctionnalités applicatives permettant d’uploader des fichiers qui ne sont pas filtrées et qui permettent à un utilisateur malicieux de déposer des scripts
interprétés par le serveur.
• Des injections SQL en aveugle (ou Blind SQL Injection).
Ils ont rencontré ce type de failles, le plus souvent en 0day, sur de nombreux CMS utilisés par les entreprises.
• L’absence d’application des correctifs de sécurité sur
les logiciels tiers. Un grand nombre de logiciels de
maintenance, de sauvegarde ou de télé administration
souffrent de failles exploitables à distance ; or ces
logiciels sont ignorés dans les processus de patch
management.
Par contre, Frédéric Charpentier constate que les
entreprises s’impliquent dans la sécurisation en profondeur de leurs plates-formes e-commerce. En effet,
les RSSI s’approprient de plus en plus les exigences de
sécurité opérationnelle imposées par le standard et
essayent de les appliquer en dehors du strict périmètre
PCI DSS.
Le « best of » d’ITrust des audits intrusifs, c’est-à-dire
sans trojan ni 0day, sur les 4 dernières années, a donné
des résultats assez surprenants, parmi eux :
• En audit intrusif externe (boite noire) : Presque 90%
des SI (à composante web) sont vulnérables à des attaques XSS. Ils ont récupéré des informations importantes (base client, mailing liste, base et tarif catalogue,
accès à des données sensibles mais non confidentielles)
dans 80% des audits. Dans 22% des cas, les experts ont
réussi à rebondir sur le SI interne et à récupérer des
informations confidentielles.
• En audit intrusif interne (« test du stagiaire » sur une
RJ45) en boite noire toujours : « Nous avons récupéré
des données confidentielles (compte rendu d’AG, plan
stratégique, Tarifs des produits, accès à la comptabilité,
base des salaires, etc.) dans 95% des cas ». Dans tous
les cas, la faille technique la plus utilisée (mais pas la
seule) concerne des mots de passe mal conçus ou une
mauvaise gestion des mises à jour des systèmes.
THÉMA
TEST D’INTRUSION
Des failles des Top 10 aux
vulnérabilités spécifiques
Chez Edelweb, les consultants ont découvert, en premier
lieu, les failles récurrentes qui sont celles rencontrées
dans la plupart des TOP10 publiés sur Internet, comme
par exemple celui de l’OWASP.
Pour les applications, on a toujours un grand nombre de
failles relatives aux mauvais contrôles des données en
entrée et en sortie, ce qui permet de réaliser notamment
des attaques de type SQL Injection et XSS.
Par contre, les consultants ont rencontré également des
vulnérabilités, qui ne figurent pas dans les TOP10, mais
qui sont pourtant tout aussi critiques : il s’agit de vulnérabilités non techniques mais fonctionnelles liées à un
processus ou à une fonction métier. Il est souvent possible, en outrepassant un contrôle de premier niveau, d’envoyer des données valides techniquement mais invalides
pour le processus métier. Par exemple, nous sommes parvenus lors du test d’une application industrielle à déclencher le processus de livraison d’une commande par
camion, alors que la quantité de produit commandée
était de 0. Ce type de vulnérabilité, qui a un impact quantifiable sur un processus fonctionnel, représente le plus
souvent un risque inacceptable pour l’entreprise. Qui plus
est, ces vulnérabilités ne sont pas détectables de façon
complètement automatisée, d’où l’importance de ne pas
avoir recours qu’à des outils « robots » mais à de véritables professionnels qui prennent en compte notamment
le contexte d’utilisation.
Concernant l’infrastructure, les vulnérabilités restent assez
« classiques », ils ont identifié :
• les vulnérabilités de conception relatives à la définition
de l’architecture ;
• les vulnérabilités de configuration, par exemple des permissions trop souples, permettant ainsi d’accéder à des
systèmes ou à des ressources non autorisés ;
• les vulnérabilités d’exploitation (procédures, utilisation
des ressources, surveillance), par exemple l’utilisation de
mots de passe triviaux, la présence de fichiers temporaires contenant des informations sensibles ou encore la présence de « comptes oubliés » sont monnaie courante ;
• les vulnérabilités logicielles : vulnérabilités connues
dans la cible, pour lesquelles un correctif est disponible
mais n’est pas déployé.
1 XSS
ou « Cross Site Scripting » : faille applicative facilitant l’injection de code dans le navigateur client à des
fins d’hameçonnage ou d’usurpation d’identité.
2 XSRF ou «
Cross Site Request Forging » : faille applicative, liée au caractère prédictible de requêtes, facilitant
l'exécution d'une action à l’insu d’un utilisateur afin de
tirer parti de ses privilèges.
Au final, comme le déplore Raphaël Illouz, malgré la mise
en place de politique de sécurité, mais également d’équipements intelligents assurant la sécurité du système d’information, des failles plus ou moins critiques restent toujours présentes dans les périmètres audités. Celles-ci sont
liées, la plupart du temps, à des négligences du personnel
de l’entreprise dans l’administration des équipements, le
développement des applications ou encore l’utilisation
d’appareils mobiles…
■■■
35
le HACK
bêtisier
K
C
A
2010 CR
Ce bêtisier a été réalisé à partir des retours
d’expériences de nos experts.
■ Lors d’un audit, la totalité du réseau interne de l’entreprise était infecté par un virus. Le SI des différentes implémentations de l’entreprise étant lié à un backbone
IP/MPLS, le virus c’est rapidement répandu. Après le
blackout total du réseau et l’analyse des trames réseaux
en Italie, il s’est avéré que le virus est venu par l’intermédiaire d’un iPhone se trouvant sur le parking de l’entreprise et connecté en WIFI ! Ceci montre le danger grandissant de l’utilisation malicieuse d’appareils mobiles sur la
sécurité du système d’information.
■ Lors d’un test d’intrusion sur une application sensible
de technologie récente (Linux / Java) et interne à l’entreprise, un scan de découverte réseau a provoqué un déni
de service sur l’application. Ce type de scan, exécuté lors
de toutes les prestations de ce consultant, n’avait jamais
eu jusqu’à présent d’effet de bord sur un système ou une
application utilisant des composants modernes (par
opposition aux applications industrielles et autres boites
noires). Cette exploitation involontaire d’une vulnérabilité
dans le serveur d’application a permis de mettre en évidence un défaut de conception au niveau de l’application
et une absence de cloisonnement du serveur, qui pouvait
être accédé sans filtrage depuis n’importe quel point du
réseau local. Un élément important du protocole de test
de cet expert prévoit la traçabilité de toutes ses actions
(commande utilisée avec date/heure et résultats produits);
ce point a été essentiel dans la gestion de cet incident, qui
a fait l’objet d’une escalade dans l’entreprise, en raison de
K
C
CRA
36
N
A
J
O
R
T
la sensibilité de l’application et de son utilisation en production. Ce qui a permis d’expliquer très clairement au
client les actions menées par l’expert, l’origine du déni de
service et de montrer que le consultant avait respecté les
contraintes imposées par le client dans ce test.
■ Un test d’intrusion réalisé pour une grande entreprise
a permis de découvrir que les vidéoprojecteurs des salles
de réunions étaient accessibles depuis Internet. De surcroît, une faille de sécurité résultant d’une mauvaise
configuration de ces équipements permettait d’accéder
de façon anonyme aux éléments projetés à quelques milliers de kilomètres.
■ Un client (grand compte) avait demandé de tester son
architecture 802.1x pour des accès « guest ». Il a suffi de
4H pour être administrateur de domaine. Le client ne
croyant pas à ce rapport, l’équipe a du refaire les manipulations sous ses yeux afin de le lui prouver (ce malgré sa
méthode de travail qui permet au client d’avoir dans le
livrable d’étude l’ensemble des commandes passées lors
de l’audit).
S
U
VIR
Les piratages avérés
■ Lors d’un test d’intrusion d’un serveur Web, l’équipe
d’experts s’est aperçue qu’elle n’était pas la première…
En effet, le serveur était déjà piraté. Elle a immédiate-
THÉMA
N
O
I
T
C
E
INF
ment averti le client, qui a avoué s’être aperçu d’un problème. A défaut d’un diagnostic précis, le serveur avait été
réinstallé complètement depuis sa sauvegarde, mais en
laissant la faille de sécurité.
■ Lors d’un test d’intrusion sur une application Web, les
consultants ont identifié une faille dans un logiciel Web
d’administration à distance, malheureusement connu
pour ses nombreuses vulnérabilités. Cette vulnérabilité
permettait d’exécuter des commandes directement sur le
système d’exploitation du serveur. En collectant des informations via ce canal, l’équipe a obtenu un faisceau de
preuves indiquant que d’autres personnes avaient déjà
découvert la faille et que le serveur était vraisemblablement compromis. Les experts ont donc contacté immédiatement le client, comme le prévoit le protocole de test,
pour l’en informer et mener une analyse post-mortem sur
le système. L’analyse a confirmé les suspicions, mais
révélé que les compétences de l’attaquant, dont la
connexion était réalisée depuis un autre pays européen,
étaient vraisemblablement limitées car il n’avait pas
réussi à implémenter sa backdoor correctement (l’accès à
son bot IRC étant filtré par les pare-feux de la DMZ).
G
N
I
K
A
E
PHR
■ Dans le cadre d’une campagne de tests d’intrusion, en
parcourant l’arborescence de fichiers d’un serveur à partir
d’un compte standard, le consultant a eu la bonne surprise d’y trouver des outils de cracks et des fichiers de
dump de bases de mots passes, reliquats d’un précédent
audit réalisé sur ce même environnent. Ces éléments lui
ont permis de récupérer, sans trop d’efforts, les mots de
passe associés à des comptes administrateurs sur le serveur et de prendre complètement la main sur ce dernier.
■ Un Data Center s’est révélé être cybersquatté par des
organisations ou groupes étrangers, qui réalisent du P2P
illégal, hébergent des sites pornographiques payants, des
IRC de communautés underground, ainsi que des forums
d’échanges de données personnelles (cartes bleues,
etc.), …, à l’insu de son propriétaire !
Les administrateurs
et les développeurs
■ Lors d’un test d’intrusion, une équipe a découvert que,
pour se simplifier la vie, un développeur avait installé une
backdoor applicative (un webshell) sur un serveur de production.
■ Un client était assez confiant sur le mécanisme d’authentification, basé sur l’utilisation de cartes à puce, mis
en œuvre sur sa solution d’ERP. Toutefois, dans le cadre
d’investigations, après décompilation du code, l’auditeur
s’est rendu compte que l’authentification était gérée via
une applet java au
sein de laquelle des
développeurs
avaient oublié de
désactiver des fonctions de débogage. Ainsi, si à la place
du code PIN, on pouvait saisir une certaine chaîne de
caractères, il était possible de s’authentifier sans utiliser la
moindre carte à puce. L’enquête, menée par la suite, n’a
pas permis de déterminer s’il s’agissait d’un oubli involontaire ou intentionnel d’un développeur.
■ Dans le cadre d’un test de sécurité applicatif, l’équipe
de consultants a notamment vu un développeur qui mettait des requêtes SQL dans les champs hidden d’un formulaire Web, et cela ne semblait pas le choquer… alors qu’il
s’agissait d’une application gérant des données médicales
sensibles.
G
N
I
FISH
■ Les propriétaires d’une application Web étaient persuadés d’avoir étés piratés, car certaines données « sensibles »
du site Web avaient étés retrouvées sur internet. Après
une inspection rapide, il s’est avéré que le pirate était …
le cache google ! En effet, l’application et son mécanisme
d’authentification étaient tellement mal conçus que les
robots google avaient passé outre l’authentification et
avaient ainsi indexés des données confidentielles, qui
étaient donc accessibles directement depuis google.
Une société avait réalisé une interface entre des ubikeys et
un serveur radius pour de l’authentification SSH. A cause
d’une erreur dans le script d’interfaçage et d’une mauvaise gestion des codes d’erreurs, il était possible de valider toutes les authentifications en utilisant un mot de
passe suffisamment long (>256 caractères) pour que le
script radius retourne un code d’erreur, car il n’arrivait pas
à générer un hash. Ce code d’erreur, mal interprété, rendait l’authentification valide.
L’Ingénierie sociale
■ Dans le cadre des tests d’intrusion avec ingénierie
sociale, la durée moyenne en 2010 pour atteindre une
cible donnée (par exemple un document confidentiel,
protégé au sein même du SI) est de 3 à 5 jours selon la
taille de l’entreprise.
■ Dans une entreprise, il n’a suffi que de quelques minutes
à un expert pour obtenir le mot de passe de la secrétaire du
directeur, ainsi que celui de son patron, en se faisant passer
pour un technicien du service informatique.
G
N
I
K
C
HIJA
■ Dans une entreprise, un expert se faisant passer pour
un technicien de maintenance a été conduit dans la
salle serveurs et a pu emporter un serveur qui contenait
des données critiques sans que personne ne lui pose de
question.
■■■
37
Interview
Vous venez de publier vos résultats pour l’année 2010,
pouvez-vous nous préciser où en est Fortinet en France ?
Yann Pradelle
Regional Vice President
France, Iberia, Belux, Africa
Quelle va être votre stratégie en termes d’offre ?
La stratégie de Fortinet est de capitaliser sur notre succès sur le
marché de la sécurité réseaux (4ème constructeur Firewall du
marché et le leader mondial de l’UTM) pour nous étendre sur
d’autres segments clés de la sécurité et ainsi devenir un acteur
incontournable de la sécurité informatique.
Nous allons renforcer notre positionnement sur le marché du
Wireless. Par les nouvelles fonctions sans fil introduites avec le
récent lancement de la dernière version de notre FortiOS, nos 23
000 clients français utilisateurs de FortiGate peuvent utiliser leurs
appliances comme des contrôleurs gérant la sécurité de leurs points
d’accès Wifi.
Fortinet France a fait sur une superbe année 2010, année record en
termes de revenus. Notre croissance fut d’ailleurs en ligne avec la
croissance globale de l’entreprise, qui a dépassé les 30%.
Notre positionnement de constructeur concentré à 100% sur
la sécurité commence à faire la différence notamment face aux
constructeurs réseaux comme Cisco et Juniper pour qui la sécurité
semble de moins en moins être un focus technologique, et face
aux éditeurs comme Checkpoint qui cherchent à se transformer en
constructeur, suite au rachat de Nokia, pour essayer de répondre
aux problèmes de sécurité haute performance des clients grands
comptes.
Nous sommes identifiés par Gartner parmi les
4 plus gros acteurs du Firewall Enterprise du
marché au niveau mondial.
En France, IDC nous déclare second
fournisseur sur l’ensemble du marché des
appliances de sécurité.
L’année 2010 a été marquée pour Fortinet par une accélération de
la pénétration des Grands Comptes TOP 100 France, et en particulier
dans les secteurs où il y a des problématiques de traitements de
sécurité haut débit tels que le marché de la Finance.
Quelle va être votre Road Map pour 2011 en termes de
business ?
Le besoin de sécurité firewall haut débit guide nos démarches
business auprès des grands comptes qui trouvent sur le marché une
offre assez réduite sur le créneau de la haute performance. Or, nos
clients et partenaires ont constaté ces six derniers mois au travers de
POC (Proof of Concept) que nous disposions des appliances firewall
les plus performantes du marché au meilleur coût.
Au-delà de ces machines, nous offrons des outils de management
centralisés permettant à nos clients d’envisager et d’opérer des
migrations massives de leurs parcs vieillissant vers nos solutions haut
débit. Ces solutions ont énormément gagné en maturité, et semblent
en adéquation avec les attentes de nos clients Grands Comptes.
Nous travaillons actuellement sur des plans de migrations massives
permettant à nos clients de consolider leurs technologies, d’assurer
des filtrages très haut débit avec à la clé de substantiels retours sur
investissement.
Ils n’ont donc plus qu’à acheter les bornes Wifi (FortiAP) dans le cadre
de leur projet wireless, économisant ainsi environ l’investissement
lié à la sécurisation de ces bornes. Nos outils de management
centralisés prennent déjà en considération ces nouveaux points
d’accès Wifi FortiAP. Là encore, notre innovation fait la différence
et répond aux besoins de nos utilisateurs en termes de TCO et de
réduction de la complexité de leur infrastructure de sécurité.
Nous allons également renforcer notre présence sur le marché du
WAF (Web Application Firewall). Nous avons présenté cette offre il y
a un an à la plupart de nos clients. Nous avons eu un retour marché
très positif, et avons pris en considération les améliorations ou
évolutions souhaitées par nos clients, notamment avec la dernière
version de l’OS FortiWeb lancée fin janvier.
Notre R&D a encore fait preuve d’une bonne écoute du terrain et
nous permet de présenter cette gamme dont le positionnement
est clair : des produits robustes, simples à intégrer, à exploiter et qui
répondent à la plupart des attentes sécuritaires et fonctionnelles
d’un WAF. Et cela à un prix particulièrement attractif.
100% dédié à la sécurité, Fortinet continue de développer et
d’investir dans des technologies de sécurité qui permettent de
répondre aux principales préoccupations des clients finaux en
termes de performance de sécurité, de flexibilité, de facilité de
gestion de leur infrastructure, et de TCO, le tout avec pour objectif
ultime de devenir le numéro 1 mondial de la sécurité.
De quels moyens commerciaux, marketing allez-vous vous
doter pour y arriver ?
Nous travaillons actuellement à renforcer notre image ‘highend’, déjà bien perçue chez nos clients, notamment en termes
de positionnement haut débit, mais pas encore assez chez nos
prospects.
Une campagne branding est en cours d’élaboration en interne et
nous travaillons étroitement avec notre distributeur en France,
Exclusive Networks, pour équiper nos revendeurs d’outils de
marketing et communication qui leur permettent d’être mieux
formés sur notre positionnement, les points différentiateurs de
notre offre produit, etc. Côté commercial, l’équipe France continue
de grandir avec plus de personnes dédiées aux grands comptes ainsi
qu’une personne supplémentaire pour gérer notre channel.
Quel est votre message à nos lecteurs ?
L’histoire de Fortinet ne fait que commencer…
Du data center
aux appareils mobiles,
Fortinet sécurise l’ensemble
de votre réseau.
Fortinet protège les réseaux de la plupart des plus grandes entreprises dans le monde.
Nous offrons une protection complète du réseau, du contenu et des applications pour
parer à toutes les menaces externes, tout en simplifiant l’infrastructure de sécurité
informatique. Fortinet, la solution de choix pour optimiser la sécurité, améliorer les
performances et réduire les coûts.
www.fortinet.com
© Sebastian Kaulitzki
MALWARES BUSTERS
LA « CYBERGUERRE »
EN COURS
D’INDUSTRIALISATION
2010 aura, sans nul doute, vu l’avènement « officiel » de la cyberguerre,
en particulier avec les fameux Stuxnet et Aurora. Bien sûr, les pirates informatiques
ont encore fait preuve d’une productivité impressionnante pour accroître toujours plus
leurs gains. Ainsi, à la manière de businessmen, ils ont ciblé de nouveaux « marchés »
comme les Smartphones, l’iPhone, l’iPad, tout en confortant leur position sur
les anciennes techniques : spam, botnet, social engineering… 2011 devrait voir
la croissance exponentielle des actes de cyberguerre. Il faut espérer que ce nouveau
type de guerre n’engendre pas de pertes humaines...
Nos quatre experts
sont tous d’accord,
les pirates informatiques, toutes activités
confondues, ont été
hyperactifs en 2010.
Ainsi, Ralf Benzmüller,
Head of G Data
SecurityLabs de G
Data Software AG,
constate : « la productivité de l’activité
cybercriminelle a
encore augmenté
cette année, tout
Ralf Benzmüller, G Data
comme le volume de
nouvelles variantes de malwares, qui aurait dépassé les
deux millions en fin d’année. La majorité des activités
malveillantes est liée au Web. Les serveurs web crackés et
infectés et le SEO poisoning menant sur des sites de drive
by download se multiplient. Les e-mails et les vers perdent, quant à eux, de leur importance. Les attaques
ciblées connaissent aussi une augmentation importante.
Qu’elles aient des motivations économique ou politique,
ces attaques visent soit à espionner et voler des données,
soit, dans le cas de Stuxnet, à gagner le contrôle de systèmes (SCADA dans ce cas précis) ».
38
Tout à fait, reprend François Paget, Chercheur de virus
chez McAfee, les pirates informatiques se sont véritablement déchaînés. Par exemple, nous avons repéré 57,000
nouveaux programmes malveillants par 24h dont un
nombre important de ces malwares était directement lié
à des vulnérabilités : 550.000 sur les 9 premiers mois de
2010. Il semble que nous commençons à voir des attaques sur les équipements mobiles avec 217 nouveaux
malwares pour les 3 premiers trimestres de 2010 : des
trojans SMS J2ME, des malwares Windows (Basic4PPC), des
malwares Python (pour Symbian OS), de nombreux malwares ciblant Android sur Q3-2010. Sans compter le nombre toujours en croissance des scarewares, des attaques
sur les réseaux sociaux (Facebook, Twitter, Youtube, etc.)
avec des conséquences parfois terribles ou surprenantes
comme le suicide « d’un gay » suite à une campagne de
dénigrement sur réseaux sociaux ou l’ouverture d’un
bureau de la police de Vancouver sur Second Life… Bien
sûr, les botnets sont toujours à l’honneur. Le phishing est
laissé à l’Afrique de l’Ouest et au Maghreb. Le skimming
est très présent avec des attaques de DAB à large échelle.
Enfin, le Pump & Dump est très présent aux USA et en
Belgique; plusieurs inculpations, pour des affaires datant
de 2007 et 2008, montrent que l’activité était plus rentable que nous ne l’imaginions. D’ailleurs, ce type d’attaques a ressurgi en mai 2010.
MALWARES
© Boguslaw Mazur
BUSTERS
Plus de technologies
…Et donc plus
dans les systèmes
de revenus pour les
d’exploitation, mais pas
pirates informatiques
plus de sécurité…
Pour Pierre-Marc Bureau, Chercheur Senior chez ESET,
même s’il est difficile de chiffrer les revenus reliés aux crimes informatiques, l’année 2010 a sûrement été la plus
profitable pour les criminels. Avec plus de victimes potentielles et plus d’utilisation de l’informatique pour le commerce, les sources de profits potentielles augmentent. Les
technologies des criminels évoluent aussi. Beaucoup de
groupes utilisent maintenant des « kits » qui offrent des
fonctionnalités avancées pour la fraude sans nécessiter de
connaissances approfondies de l’informatique. Nous
vivons la démocratisation du crime informatique. C’est le
cas, entre autres, avec le fameux kit « Zeus », qui défraye
régulièrement les manchettes.
Michel Lanaspèze,
Directeur Marketing
et Communication
Europe de l’Ouest
chez Sophos,
déplore que « 2010
ait été une année
décevante en ce qui
concerne l’amélioration de la sécurité
sur Internet. Nous
avions débuté l’année avec l’espoir
que la myriade de
nouvelles technoloMichel Lanaspèze, Sophos
gies intégrées dans
les systèmes d’exploitations, les navigateurs Web et les
solutions de sécurité marqueraient des progrès décisifs. Malheureusement, nous avons tous rapidement
déchanté et été obligés de nous remettre collectivement à la table de travail, après seulement quelques
semaines. La découverte de vulnérabilités menant à
l’attaque Aurora a, en effet, rapidement montré que le
type de vulnérabilité de sécurité à la base de la majorité des infections dans le passé n’était pas prêt de disparaître.
Si des avancées ont été visibles dans la diminution du
nombre de vulnérabilités critiques dans tous les navigateurs Web les plus populaires, les pirates ont rapidement reporté leur attention sur les applications Internet
les plus utilisées telles qu’Adobe Reader, Flash et les
environnements Java en runtime.
2010 a vu la multiplication des attaques de malwares
et de spams ciblant les réseaux sociaux et cette tendance va très probablement continuer et s’amplifier.
En complément d’une approche technique de la protection de ces environnements, il est indispensable de
continuer à éduquer les utilisateurs sur les dangers
qu’ils courent, dans la mesure où les attaques les plus
efficaces utilisent un répertoire de techniques d’ingénierie sociale plutôt classique pour faire tomber les
internautes inconscients dans les mailles de leurs
filets ».
2010 : l’année
de l’hacktivisme et
de l’attaque de sites
industriels
Par ailleurs, Pierre-Marc Bureau considère que les attaques
ciblées menées par des groupes professionnels ont beaucoup attiré l’attention en 2010. « On a vécu le fameux cas
“CYBERWARFARE” IS INDUSTRIALIZING
2010 will, no doubt, be remembered as the year when
cyberwarfare " officially " began, with the
notorious Stuxnet and Aurora. And of course once
again cybercriminals, always looking to increase their
earnings, have displayed amazing resourcefulness.
Targeting new "markets" of Smartphones and tablet
computers, the iPhone, the iPad.. while strengthening their
position on old techniques such as spam, botnet, social
engineering, their operations are adapting like conventional
businesses. 2011 is likely to see an exponential growth
in acts of cybercrime and cyberwarfare.Hopefully
this new kind of war will not cause loss of life ...
39
MALWARES BUSTERS
de Stuxnet avec l’exploitation de quatre failles “0day” et ses
fonctionnalités avancées. Dans le cas de Stuxnet, on voit
clairement une tendance où les attaquants sont bien organisés et financés, sûrement commandités par des individus
richissimes ou des nations qui veulent protéger leurs intérêts géopolitiques. » Effectivement, reprend François Paget
les pirates informatiques sont passés à une troisième phase :
l’hacktivisme. Certes cette activité n’est pas nouvelle, mais
cette année, pas une semaine sans un acte qualifiable
d’hacktiviste, pas une semaine sans une « protestation virtuelle ». L’hacktivisme évolue aujourd’hui comme le cybercrime l’a fait hier. On passe d’individus isolés dont l’activité
principale était le défacement à des groupes plus structurés
capables de faire du DDoS. Aujourd’hui, ils agissent avec
plus de professionnalisme souvent pilotés en sous-main par
des états peu démocratiques, recherchant/volant/diffusant
de l’information, faisant de la désinformation. En fait, ces
actes ne semblent pas être si innocents que cela. Sous couvert d’hacktivisme attribué à des individus militants, ne
voit-on pas apparaitre une première forme de cyber-guerre
menée en fait par les états ?
Pourtant la lutte contre le cybercrime n’est pas restée vaine,
des arrestations et des condamnations ont eu lieu. Toutefois,
François Paget déplore que la France soit restée à la traine de
la lutte internationale à l’encontre des cybercriminels.
Stuxnet et Zeus, les
champions de l’année 2010
Pour
Pierre-Marc
Bureau, 2010 compte
plusieurs cas marquants d’attaques
informatiques.
Premièrement,
Stuxnet est une histoire rocambolesque
qui nous rappelle les
meilleurs livres de
John LeCarré. Il est
évident que plusieurs
individus avec des
spécialités différentes
ont travaillé sur ce
Pierre-Marc Bureau, ESET
logiciel malveillant
qui a probablement été créé pour le sabotage. Tout à fait
d’accord, reprend Ralf Benzmüller, Stuxnet est sans conteste
l’attaque qui aura marqué le plus cette année. Elle pose de
nombreuses interrogations. C’est le premier malware à
exploiter simultanément 4 failles 0 Day, ce qui requiert
40
Michel Lanaspèze,
Sophos : analyse
d’Aurora et de Stuxnet
Opération Aurora : En janvier 2010, Google a surpris
la communauté Web en annonçant qu'il avait fait l'objet (aux côtés de vingt autres entreprises) d'une attaque
ciblée, surnommée Opération Aurora, visant vraisemblablement les comptes Gmail de défenseurs des droits
de l'homme chinois. En conséquence de ces attaques,
Google a déclaré qu’il ne censurerait plus la version chinoise de son moteur de recherche et envisagerait même
de se retirer du marché chinois s’il ne recevait pas l’accord de fournir des services dénués de censure au peuple chinois.
Peu après, Adobe a également confirmé avoir été visé
et les gouvernements de plusieurs pays, parmi lesquels
l'Allemagne et la France, ont conseillé à leurs citoyens
de se protéger contre les vulnérabilités responsables de
ces attaques en abandonnant l’usage d’Internet
Explorer au profit de ses concurrents Firefox et Opéra.
L'onde de choc causée par l'Opération Aurora a perduré
pendant plusieurs mois après sa révélation, provoquant
des débats enflammés portant sur la véritable source
des attaques et des querelles entre éditeurs de solutions
de sécurité et organismes testeurs quant à la qualité de
protection proposée contre les attaques. Google n'a pas
encore annoncé sa position concernant la Chine, où sa
part de trafic a toujours été à la traîne par rapport au
reste du monde et où ses politiques de censure et de filtrage ont été critiquées de longue date. En attendant,
les grandes entreprises mondiales ont été alertées sur
les dangers potentiels de la cyberinfiltration.
Le ver Stuxnet : En s’attaquant très spécifiquement
aux systèmes industriels SCADA de Siemens, utilisés
notamment dans les centrales électriques, le ver
Stuxnet a donné une dimension nouvelle aux préoccupations sur les dangers que peuvent faire courir les
cyber-attaques aux infrastructures nationales critiques.
Même si il ne s’agit pas du premier cas d’attaque affectant de des infrastructures industrielles, son ciblage et
sa sophistication en font un cas à part. Il s’est en effet
appuyé sur plusieurs vulnérabilités « zero-day », des
certificats dérobés à des entreprises, des configurations
très spécifiques de systèmes SCADA et des méthodes de
propagation à géométrie variable.
MALWARES
beaucoup de temps et/ou beaucoup d’argent. La cible
semblant être plutôt stratégique que financière, on peut
raisonnablement se poser la question sur les auteurs de
ce malware et de leurs intentions. Des cybercriminels
d’un nouveau genre…
L’apparition de TDSS, le rootkit le plus élaboré, à ce jour,
est un autre fait marquant de l’année. Pierre-Marc
Bureau complète : « il faut également mentionner les
d’attaques multiplateformes comme celle menée par
Java/Boonana, un malware qui peut infecter autant les
systèmes Windows, Linux, qu’OSX. Ce malware est plus
qu’une preuve de concept puisqu’on l’a vu se propager
sur Facebook et qu’il contient une panoplie de fonctionnalités, comme un module de communication par IRC,
des capacités de vol d’information, etc. » Et Ralf
Benzmüller de renchérir : « il ne faut pas oublier que
les Trojans bancaires, tels que Zeus et SpyEye, ont aussi
marqué cette année. Ils ont détourné beaucoup d’argent par des attaques de type man-in-the-browser.
Enfin, on peut mettre en avant Rustock qui semble être
le botnet de Spam le plus efficace cette année. »
teur n’a pas payé une rançon. Ces rançons sont souvent
de quelques dizaines d’euros et les victimes préfèrent payer plutôt que d’aller consulter un expert.
Il ne faut pas oublier dans ce panorama KoobFace et
Gumblar, rappelle Michel Lanaspèze. Si on considère les
dangers qui concernent les utilisateurs et entreprises
ordinaires, ces deux familles de malwares sont les plus
représentatives de la période. Même s’il ne s’agit pas de
nouveautés, puisque les premières occurrences sont
apparues respectivement en 2008 et 2009, ils ont été et
continuent à être particulièrement prolifiques en ce
début d’année 20101.
Combattre le crime informatique avec de meilleures technologies, de meilleures lois et une meilleure sensibilisation des
utilisateurs est la clé, peu importe si l’on fait face à un nouveau code malveillant ou à un autre vieux de 5 ans.
Michel Lanaspèze met en exergue les faux antivirus parmi
les nouveaux vecteurs de propagation. Il est opportun de
rappeler, à ce propos, que les attaques les plus efficaces
sont souvent celles qui mettent en œuvre des techniques
d’ingénierie sociale, comme dans ce cas précis, pas nécessairement de techniques sophistiquées. Une autre tendance lourde est l’utilisation massive de polymorphisme
côté serveur, s’appuyant sur la versatilité du JavaScript
pour générer de multiples variantes et tenter, ainsi, de dissimuler les programmes malveillants à l’attention des
solutions de protection. Cette tendance est dans une large
mesure responsable de l’explosion du nombre de nouveaux malwares, qui dépasse régulièrement le seuil des
100.000 par jour.
Peu de codes
malveillants, mais
plutôt de nouveaux
vecteurs de propagation
Nos experts considèrent qu’il y a peu de nouveaux malwares. Ainsi, Pierre-Marc Bureau confirme qu’il est très
rare qu’un nouveau type de code malveillant apparaisse. En effet, le concept de virus informatique date de
plusieurs décennies et c’est la même chose pour les vers
informatiques et les chevaux de Troie. Les nouveautés
sont souvent dans l’utilisation de nouveaux vecteurs
d’infection ou dans l’attaque de nouvelles plates-formes. Les objectifs sont par contre toujours similaires :
profiter d’un système infecté ou des informations qui y
sont stockées.
Une nouvelle tendance en 2010 est celle des
« LockScreen ». Ces logiciels malveillants bloquent toutes
les fonctionnalités d’un ordinateur tant qu’un utilisa-
© Boguslaw Mazur
BUSTERS
D’un autre côté, de nouvelles souches de codes malveillants apparaissent presque quotidiennement. Il en existe
tellement que les éditeurs d’antivirus ont du mal à s’y
retrouver. L’important est de se concentrer sur la protection (donc la détection de ces menaces) et sur les opérateurs de malware.
1Plus
d’informations
sur KoobFace
et Gumblar
dans le n°13 de
Global Security
Mag, P.41
Ralf Benzmüller a remarqué deux nouveaux Toolkits
d’Exploit Web : Eleonore et Fragus. Il rappelle que Stuxnet
a exploité une vulnérabilité basée sur l’affichage de
l'icône d'un lien (LNK-exploit). Cet exploit peut être
employé pour infecter des PC en visitant simplement un
dossier stocké sur une clé USB ou un disque réseau.
Les attaques ROP (Return Oriented Programming) et JIT
Spray mettent à mal les mécanismes, tels que le DEP (Data
Execution Prevention) ou l’ASLR (Address Space Layout
Randomization).
Le PDF et le Flash, ou une combinaison des deux, sont
maintenant des vecteurs d’attaque établis. Le nombre
d'attaques basées sur Java a augmenté. Ce langage devrait
définitivement être considéré comme un vecteur d’attaque très important.
41
MALWARES BUSTERS
L’exploitation des
vulnérabilités fait
toujours recette, mais
n’est plus la seule
méthode
Selon Pierre-Marc Bureau, l’exploitation des failles de
sécurité fait toujours recette. En effet, de nouvelles failles de sécurité sont fréquemment trouvées dans les
logiciels (autant côté serveur que côté client). Elles sont
donc rapidement utilisées par différentes souches de
malwares pour se propager. En 2010, nous avons
constaté une forte exploitation des failles de sécurité
dans les lecteurs de fichiers (PDF en particulier). Nous
avons également remarqué plusieurs familles de malwares exploitant la faille CVE-2010-2568, dévoilée suite
à l’analyse de Stuxnet. Il n’y a pas que l’exploitation des
vulnérabilités, analyse Ralf Benzmüller : « un mode
techniquement intéressant : le cheval de Troie Wimad
s’intègre dans des formats WMA ou WMV. Sous couvert
de téléchargement de certificats, de codecs ou d’autres
fichiers, il récupère toutes les informations nécessaires
à son fonctionnement. Il suffit d’ouvrir un site Internet
contenant un fichier audio ou vidéo contaminé pour
être infecté ». Même si il ne s’agit pas vraiment d’un
nouveau mode de propagation, complète Michel
Lanaspèze, il faut noter l’essor de l’utilisation de techniques d’optimisation de moteurs de recherche par les
pirates pour attirer les victimes dans leurs filets
(Blackhat SEO – Sales Engine Optimization) qui constitue une tendance forte de la période. Ces techniques
sont utilisées par les pirates afin de faire figurer les
pages malveillantes ou infectieuses en tête des résultats
de recherche des internautes. Comme l’augmentation
des attaques à travers les réseaux sociaux, ceci ne fait
que refléter l’évolution des habitudes et pratiques des
internautes.
Les smartphones
sous le coup des vols
de données et des dialers
Selon Michel Lanaspèze, dans l’univers des
Smartphones, l’iPhone a accaparé cette année l’attention des médias. Cependant, les quelques rares cas d’attaques recensés concernent des iPhones débridés
42
(« jailbreaked »), ce qui en limite l’impact.
Le BlackBerry a bénéficié de sa spécialisation pour les
entreprises et de son modèle de mise en œuvre
très sécurisé pour ne pas être inquiété par de telles
attaques.
A l’inverse, Android, avec sa philosophie de « laisser
faire » et son ciblage pour les particuliers, est beaucoup plus préoccupant en matière de sécurité. On a
ainsi vu des applications malveillantes en diffusion
ouverte pendant plusieurs semaines. Le succès croissant
de cette plate-forme laisse présager qu’elle sera ainsi
une cible de choix pour les cybercriminels.
Ralf Benzmüller considère que les charges virales
(payload) les plus significatives volent des données
(SMS, données de connexion, ID des Smartphones) et
appellent sur des numéros surtaxés. Si elles existent,
elles restent toutefois limitées. D’autres attaques, par
connexion Bluetooth ou sniffing de trafic, sont encore
au stade de proof of concept. « Il faut aussi rajouter
les quelques variantes de Zeus qui s’installent maintenant sur les Smartphones pour y voler des informations envoyées par les banques à leurs clients, ou
encore, les malwares s’attaquant à Android pour
envoyer des messages textes à des numéros payants,
une version moderne des dialers, conclut Pierre-Marc
Bureau.
2011 : « terreur » sur
tous les fronts du Web
Pour nos quatre experts, aucun doute la cyberguerre,
les attaques ciblées sur des entreprises, les malwares
pour les réseaux sociaux, mais aussi les iPad, iPhone,
Smartphone et, d’une manière générale, les dangers
basés sur OSX…, vont se développer en 2011.
Ralf Benzmüller pense que nous pourrions assister à
des attaques visant les consoles de jeux (Wii,
Playstation, Xbox). Pour lui, il est fort probable que des
malwares attaquant des systèmes 64-bit se généralisent. Pierre-Marc Bureau estime que des opérateurs de
logiciels malveillants continueront à s’intéresser aux
certificats cryptographiques pouvant être stockés sur
les ordinateurs. Ils continueront à les voler et à les utiliser pour signer leurs binaires malveillants et donc
prétendre que ceux-ci sont légitimes. En somme, plus
d’outils seront à la disposition des néophytes pour
commettre des crimes informatiques, que ce soit pour
voler des cookies avec FireSheep ou pour mener une
opération de vol d’information à l’aide d’un « kit »
comme Zeus.
■■■
MALWARES
© Boguslaw Mazur
BUSTERS
Gartner prédit qu’un état
membre du G20 verra certaines
de ses infrastructures critiques
endommagées par une cyberattaque avant la fin 2015.
Je rajouterai volontiers qu’il y a fort à parier que cette
attaque soit pilotée en main (ou au grand jour) par un
état.
François Paget, McAfee
L’analyse des attaques de
2011, selon François
Paget, McAfee
L’hacktivisme en progression. La cyberguerre approche. Le cyberespionnage s’accélère.
Même si les attaques à motivation politique ou idéologique ne sont pas nouvelles (le terme hacktivisme a été
inventé en 1996), et même si 2010 a été prolifique en
activités de ce type, 2011 le sera encore plus. Après le
défacement (l’activité de base) et les attaques en déni de
service (l’activité à la mode), de nouveaux modèles d’attaque vont voir le jour. La recherche, le vol, puis la divulgation d’informations pour discréditer un opposant va
s’accentuer. L’exemple de Wikileaks va faire des émules.
Les réseaux sociaux seront plus souvent mis à contribution pour initier des actions concertées.
Tout comme le cybercrime, l’hacktivisme est passé ces
dernières années de l’action individuelle (à même de
faire un défacement), à l’action de groupes non structurés (à même de faire des attaques en DDoS). Demain,
l’action va mieux se structurer et s’organiser. Les groupes
qui se créent sauront lancer des attaques sophistiquées
et réellement perturbatrices (exemple : les Anonymous).
L’hacktivisme est une nouvelle forme de manifestation.
Les nouveaux manifestants quittent la rue pour rejoindre le Net.
L’activisme est souvent mené par des personnes qui clament leur indépendance vis-à-vis d’un pouvoir quel qu’il
soit. La manipulation de « patriotes » et les actions
secrètement pilotées en sous-main par des états (souvent
totalitaires) va progresser. Le détournement de l’hacktivisme comme première forme de cyberguerre va s’accentuer en 2011.
Volontaire ou non, le détournement du trafic Internet,
tel qu’il a été vécu le 8 avril dernier, est un moyen d’espionnage moderne. Ce jour-là, pendant 18 minutes, plusieurs sites du gouvernement et de l'armée des EtatsUnis ont été touchés. Des données hautement sensibles
ont ainsi pu être interceptées. Un rapport du congrès
américain explique que « 15% des courriels provenant ou
à destination de ces sites ont été déroutés vers des serveurs installés en Chine pendant cette courte période ».
Un membre de la commission évoque même « un certain niveau de soutien de l'Etat chinois à ce genre d'activités ». Ce type d’incident risque fort de se reproduire en
2011. Ce n’est qu’une méthode parmi d’autres pour
mener des actions d’espionnage. Dans une autre partie
du monde, en Russie, il se pourrait que certains auteurs
de crimeware (l’auteur de Zeus pour ne pas le nommer)
se recyclent dans des activités plus discrètes mais toutes
aussi rémunératrices pour lui.
On les attendait depuis longtemps, les attaques
ciblant les terminaux mobiles vont (enfin) décoller.
En effet, les activités commerciales et bancaires se multiplient sur ces plateformes.
Les terminaux ne seront pas les seules victimes. Il faut
s’attendre à des attaques (type DDoS) envers les fournisseurs d’accès à des fins de chantage.
Les nouveaux équipements mobiles (tablettes tactiles
Apple iPad, HP Slate et Android par exemple) de plus en
plus variés vont induire de nouveaux risques pour les
entreprises. Ce risque va venir de la classe dirigeante (les
managers) qui va, la première, vouloir l’intégrer à sa
panoplie d’outils de travail.
Cybercrime
Les pays francophones sont et seront des cibles de plus
en plus fréquentes. Les criminels des pays de l’Est spécialisés dans les attaques envers les pays anglophones et
germanophones sont rejoints par de nouveaux acteurs
venus de l’Afrique de l’Ouest et du Maghreb. Alors que le
phishing au niveau mondial va stagner, voire décroitre, il
va rester stable dans nos régions (francophones).
Les attaques de type MitB (Man-in-the-Browser) vont
encore s’accroitre. Les criminels de l’Est qui abandonnent le phishing se recentrent sur ce type d’attaques. Les
concepteurs et loueurs de botnets ont de beaux jours
devant eux. En 2011, ils ne vont pas manquer de s’essayer à HTML5, nouveau langage de balisage des pages
Web, qui intègre une foule d'autres technologies (CSS 4,
43
MALWARES
WebGL, Indexed Database, File API, etc.) qui, à terme,
changera notre façon d'utiliser le Web, que ce soit sur
ordinateur ou sur téléphone mobile.
Un nouveau programme dédié aux détournements bancaires, et remplaçant les stars Zeus & SpyEye, verra le
jour au premier semestre 2011. Le concept de
« Malware-as-a-Service » va se poursuivre.
Tout comme dans l’industrie, des groupes vont s’allier et
se regrouper. Il y aura des OPA amiables ou agressives.
donc autant d’opportunités
pour les cybercriminels) et vont
utiliser des plateformes de plus en plus interconnectées
(exemple Facebook + Skype). La vie professionnelle s’affiche aussi sur le Net ; cette dualité va de plus en plus
intéresser les escrocs qui prendront le temps de recouper les informations pour pouvoir ensuite mener des
attaques plus pernicieuses. En 2011, nos données personnelles seront plus convoitées que jamais.
Le spam va poursuivre son évolution
Moins d’e-mails indésirables, plus de messages de ce
type sur les réseaux sociaux (Facebook, LinkedIn,
Twitter).
Le cloud va perturber la lutte contre le cybercrime
Les cybercriminels vont utiliser le cloud. La dispersion
des données et des preuves hors des équipements
locaux, vers des systèmes de stockage hors des frontières, va compliquer la recherche de preuves dans le
temps limité de la garde à vue.
Des attaques (de plus en plus) ciblées, des petits botnets et des APT
A côté des attaques ciblées, le monde découvre les APT :
« Advanced Persistent Threats ». En français, elles peuvent se traduire par « menaces persistantes avancées ».
Une menace persistante avancée est une attaque de
cyberespionnage ou de cybersabotage ciblée qui est
menée avec l'approbation ou sous la direction d'un
Etat. Les raisons sont autres que purement financières
ou criminelles. Il ne s’agit pas d’hacktivisme politique.
C’est attaques mettent très souvent en œuvre des zérodays. Leur développement est une histoire de spécialistes ayant du temps et de l’argent. Pour chacune d’entre
elles, sont impliquées de nombreuses équipes disséminées de par le monde. Stuxnet et Aurora en font partie.
Leur développement est une histoire de spécialistes
ayant du temps et de l’argent. On a récemment écrit
que Stuxnet avait couté £1 million pour sa création, en
nécessitant 5 mois de travail pour 6 programmeurs.
Difficiles à intercepter avant qu’elles n’aient déjà
donné des résultats, elles feront à nouveaux les gros
titres de la presse en 2011. Ces attaques exploiteront
sans aucun doute de nouvelles vulnérabilités de type
« zéro-day ». Elles seront accompagnées d’une
fonctionnalité « rootkit » et certains de ces fichiers
seront à nouveau digitalement signés pour mieux
passer inaperçus.
Les botnets vont eux aussi mieux cibler leurs victimes ;
ils seront donc de plus petite taille. Leurs concepteurs
vont aussi tenir compte des échecs récents qui ont
conduit à la mise hors service totale ou partielle des
botnets Mariposa, Mega-D, Bredolab et, dans une
moindre mesure, Zeus. L’architecture de leurs postes de
commande et de contrôle sera donc innovante (via
Twitter, via LinkedIn) et mieux protégée.
© Boguslaw Mazur
BUSTERS
En France, la libéralisation des jeux en ligne risque,
en outre, d’offrir de nouvelles opportunités aux
cybercriminels.
La frontière entre données publiques et données
privées sera de plus en plus difficile à cerner
Les particuliers s’inscrivent en masse sur les réseaux
sociaux (Twitter + Facebook = 700 millions de comptes,
45
© Stephen VanHorn
© Jelica Grkic
RISK MANAGEMENT
PROTECTION DES DONNÉES
SENSIBLES, AU-DELÀ DES
STRATÉGIES CLASSIQUES
DE SÉCURITÉ
Par Laurent Besset, Consultant Associé, I-TRACING
L’information est au centre des systèmes d’information.
Si cette formule semble marquée du sceau de l’évidence,
les dispositifs de sécurité informatique déployés par les
entreprises ne l’intègrent pas nécessairement pour autant.
A l’heure où la protection des données sensibles est une
priorité affichée par bon nombre de DSI et RSSI, force
est de constater que les approches les plus traditionnelles
ne répondent pas entièrement à ce besoin.
Sécurité périphérique,
les limites de la
confiance
Le premier réflexe sécuritaire et le fondement de nombreux
systèmes de défense est de se protéger de l’extérieur et de
maîtriser ses flux. Cette approche se traduit par la mise en
place d’infrastructures de filtrage réseau (firewalls, proxies,
IPS, etc.) en périphérie des SI puis la reproduction de ce
schéma à plus petite échelle en interne (cloisonnement plus
ou moins fin du réseau interne).
46
La limite est évidente pour protéger les données car une
fois les barrières périphériques passées, le système de
défense est aveugle sur ce qui est fait en interne. Le système repose entièrement sur la confiance que l’on
accorde à l’accédant, ce qui peut s’avérer risqué, comme
l’actualité nous le rappelle souvent.
Les éditeurs et constructeurs ont rapidement pris le pouls
du marché et décidé d’enrichir leurs offres pour filtrer le
contenu en plus du contenant (solutions de DLP, firewalls
applicatifs, couplage avec les annuaires pour identifier les
utilisateurs dans les flux, etc.). La sécurité périphérique
n’en reste pas moins insuffisante pour protéger le patrimoine informationnel des entreprises. Ne serait-ce que
parce qu’elle suppose que les données sensibles « volées »
RISK
MANAGEMENT
ressortiront par le réseau et pas sur une clé USB, ou sur
une impression papier, ou encore sur une photo prise
avec téléphone…
IAM, une granularité
insuffisante
Les solutions de contrôle d’accès logique ou IAM (Identity
& Access Management) ont apporté une dimension plus
applicative aux systèmes de défense. En plus de savoir qui
accède à son réseau, l’entreprise maîtrise également
quels utilisateurs peuvent accéder à ses applications et ce
qu’ils peuvent faire avec.
Elles sont malheureusement elles aussi limitées en termes
de protection des données sensibles :
• Elles restent par essence centrées sur l’accès, applicatif
là où la sécurité périphérique se concentre sur l’accès
réseau, mais avec la même « cécité » une fois que l’utilisateur a accédé ;
• La sécurité dépend alors fortement de l’existence préalable et de la qualité des profils applicatifs habilités à
accéder aux seules données sensibles;
• Les workflows d’habilitation restent relativement
lourds, ce qui conduit à la multiplication d’exceptions
voire, dans le pire des cas, à la mise en place de processus
« parallèles » sur certains périmètres.
Dans ce contexte particulier, le plus grand défaut de l’IAM
est finalement d’être une démarche générique qui peut
difficilement s’autoriser le luxe de cibler une donnée particulière dans une application particulière alors qu’elle
doit couvrir de manière à peu près homogène l’ensemble
du SI.
Qui plus est, se pose toujours la question de ce que l’utilisateur fait avec la donnée à laquelle il accède.
comptes-rendus
d’un COMEX) ;
• Volet conservation des traces à
valeur probante
et solutions de coffre fort électronique.
Cela passe surtout par la mise en place d’une véritable
démarche de traçabilité et des bonnes pratiques organisationnelles et techniques sans lesquelles les solutions
techniques sont difficiles à mettre en œuvre :
• Prise en compte de la traçabilité dans les projets SI afin
d’implémenter nativement les pistes d’audit requises
dans les applications ;
• Règles d’activation des traces techniques nécessaires à
reconstituer les accès et opérations au sein du SI ;
• Conformité aux nombreuses obligations légales et réglementaires encadrant la traçabilité.
Cette démarche doit également prendre en compte un
environnement changeant et de nouvelles menaces. Les
interfaçages, synchronisations, réutilisations des données
personnelles, souvent à l’insu de ses possesseurs sont
inquiétantes. Les risques de fraudes, d’usurpation d’identité, de cybercriminalité, sont énormes.
Une très récente analyse menée par le constructeur
Fortinet indique, par exemple, que le réseau social
Facebook récupère sur ses serveurs les numéros de téléphone de tous les membres utilisant une « apps » de
l’iPhone, à travers une fonction de synchronisation
mobile vers réseau social.
Et des exemples de ce type, nous en trouverons par dizaines dans les applications des entreprises aussi bien que
dans le grand public.
Tracer les téléchargements des données, les transferts lors
de processus dématérialisés, l’utilisation voire la destruction
de ses données (dont le processus actuel n’est absolument
pas garanti) est donc une priorité, une nécessité. ■ ■ ■
Il faut tracer !
PROTECTION OF SENSITIVE DATA BEYOND
Pour protéger les données les plus sensibles du SI, notamment les données personnelles des utilisateurs, il faut
donc tracer l’accès et le traitement de la donnée:
• Qui accède aux données sensibles ?
• Qu’est-ce qui est fait avec ces données ?
• Quand ?
Cela passe par des solutions spécifiques :
• Solutions d’extraction et de centralisation des traces
techniques permettant de reconstituer au moins a posteriori les accès et opérations au sein du SI;
• Applications de traçabilité des accès et opérations sur
certains périmètres particulièrement sensibles, afin de
limiter les coûts et de maximiser le retour sur investissement (par exemple la base stockant les clés de désimlockage d’un opérateur ou le répertoire stockant les
TRADITIONAL SECURITY STRATEGIES
BY LAURENT BESSET, ASSOCIATE CONSULTANT, I-TRACING
Information is at the center of information systems.
If this statement seems self-evident, security measures taken
by enterprises to protect their ISs often neglect it. At a time
when the protection of sensitive data is a stated priority for
many CIOs and CISOs, it is clear that more traditional
approaches do not fully meet this need.
47
© AridOcean
DATA CENTER
LES DSI DOIVENT
REPRENDRE LA MAIN
Par Rémy Febvre, Directeur Général d’IP Energy
Au cours de ces 10-15 dernières années, les Directions
Informatiques ont perdu ou passé la main sur les budgets
de construction et d’implémentation des salles informatiques
et des Data Centers au profit des Services Généraux.
Ce phénomène touche également les budgets de fonctionnement,
qui peuvent pourtant représenter jusqu’à 1/3 de l’investissement
initial… chaque année !
Ce sont ces services généraux (utility managers en anglais)
qui décident aujourd’hui de la conception et de l’équipement matériel (autre qu’informatique) de ces salles,
quand ce n’est pas eux aussi qui décident d’où l’implanter… au choix et dans le meilleur des cas, dans une salle
spécifiquement prévue à cet effet. Mais souvent c’est
après coup qu’on s’aperçoit que l’on a « oublié » l’informatique, et dans l’urgence une salle plus ou moins
grande, plus ou moins adaptée, est réquisitionnée et
fournie à l’Informatique.
devenue un enjeu stratégique pour les entreprises et sa
criticité impose aux DSI de prendre des engagements de
service très forts auprès de la Direction Générale.
Comment dans ce cadre prendre des engagements aussi
forts sans en maîtriser l’ensemble des éléments ?
Les raisons de cette prééminence des services généraux
sur ce domaine sont de deux ordres : l’infrastructure des
salles machines est un domaine peu maîtrisé par les
informaticiens et, jusqu’il y a peu, les salles que fournissaient les services généraux étaient globalement en phase
avec les attentes fonctionnelles des DSI.
du refroidissement
Le problème est que l’informatique est en très profonde
mutation depuis quelques années avec la virtualisation,
les blades, le cloud… et que les besoins ont profondément changé. Dans le même temps, l’informatique est
48
Data Centers et Salles
blanches informatiques,
à la sécurité :
les problématiques
sont multiples
Pour la DSI, les problématiques liées aux salles machines sont nombreuses :
© Paul Fleet
DATA CENTER
• Le refroidissement :
C’est la problématique la plus perceptible ainsi une
augmentation de température peut entraîner à la fois
des arrêts de production et une baisse de fiabilité des
équipements.
En 10 ans, les puissances informatiques et de calcul
délivrées par les serveurs ont plus que décuplé, en suivant la fameuse loi de Moore. Mais plus une CPU
« tourne » vite, plus elle consomme et surtout dissipe de
l’énergie et produit donc de la chaleur. La virtualisation,
encore insuffisamment adoptée en France (21% comparé à 80% en Autriche), surtout associée au déplacement dynamique de VM, permet de diminuer le nombre de serveurs. Mais là où un serveur tournait en
moyenne à 15%, il est en mesure de tourner alors à 80%,
dissipant encore plus de chaleur qu’avant, ce qui complique d’autant les conditions de refroidissement des
équipements.
Cette dissipation de chaleur entraîne des problématiques nouvelles que les services généraux eux-mêmes ne
savent généralement pas bien gérer, car les réponses à
apporter ne sont pas du même ordre que pour un bâtiment classique pour lequel les apports de chaleur sont
limités. Les mesures les plus usitées, mais les plus inefficaces d’un point de vue fonctionnel et catastrophiques
au plan énergétique, consistent à installer toujours plus
d’éléments de climatisation.
On estime aujourd’hui que jusqu’à 70% de l’énergie
consommée par un Data Center mal conçu part dans la
climatisation, les 30% restant étant réellement utilisés
par les serveurs ! Or ce chiffre peut assez aisément être
divisé par 2 !
• L’énergie :
C’est une problématique fondamentale, qui génère de
plus en plus d’arrêts de fonctionnement, même dans
les grands Data Centers d’hébergement. Et pourtant,
elle est nettement moins perceptible que le refroidissement et c’est souvent quand un problème arrive qu’on
s’aperçoit d’une faille. Ce périmètre nécessite donc une
attention toute particulière pour disposer d’une Haute
Disponibilité.
• L’adéquation des caractéristiques techniques de la
salle et de ses composants :
Les nouvelles infrastructures génèrent des charges au
sol très élevées qui sont souvent oubliées. Le risque
n’est ni plus ni moins que d’entraîner des morts et un
risque pénal associé !
Les autres problématiques d’infrastructure sont certes
moins dangereuses, mais ont un impact sur l’exploitation. On peut citer notamment le câblage et le brassage
peu rationnels et inaptes à supporter les technologies
haut débit actuelles et à venir, des racks peu fonctionnels et dont l’urbanisation interne n’est pas optimale, …
• La sécurité :
La sécurité de la
salle est un élément indissociable de la sécurité
du S.I. Elle doit donc être étudiée avec le même soin. On
veillera tout particulièrement aux aspects intrusion, à la
protection contre l’incendie et contre les inondations et
à la protection des racks et du câblage contre des
déconnexions accidentelles. Bien sûr, les salles font partie intégrante des process de PRA / PCA.
Que peuvent donc
faire les Directions
informatiques face
à cette véritable
quadrature du cercle ?
On le voit, ces problématiques ont toutes un impact
important sur l’informatique et sont mal maîtrisées par
les services généraux. L’amélioration du fonctionnement nécessite des actions à la fois à l’extérieur de la
salle (climatisation, électricité…) qu’à l’intérieur (urbanisation, confinement…). Cette situation génère une
tension de plus en plus forte entre la DSI et la DSG et,
pourtant, la faute ne peut pas en être imputée à l’une
ou à l’autre des parties. La réalité, c’est qu’il manque un
liant entre ces deux mondes qui présentent des caractéristiques très différentes.
Alors, quelles sont les mesures à prendre pour améliorer la situation ?
• Les engagements de disponibilité de l’informatique
étant pris par la DSI, il est indispensable que celle-ci
DATACENTER
CIOS MUST REGAIN CONTROL
BY REMY FEBVRE, CEO OF IP ENERGY
During the last 10-15 years, IT departments have been
losing control to Facilities Management over infrastructure and
implementation budgets for computing and data centers. This
phenomenon also affects operational expenditure, which may add
up to as much as one third of initial investment... each year !
49
© Paul Fleet
DATA CENTER
reprenne l’ensemble de la responsabilité des salles,
comme cela se fait aux USA notamment. Nous conseillons vivement de reprendre aussi les budgets de fonctionnement (électricité notamment) dans la mesure où
l’amélioration de l’efficacité énergétique (PUE) nécessite des investissements avec un vrai ROI rapide.
Récupérer le budget de fonctionnement permettra de
justifier plus facilement les investissements auprès de
la Direction Générale, dans la mesure où ils permettent
de réduire les coûts de fonctionnement et d’être plus
respectueux de l’environnement. La DSI pourra même
éventuellement reporter une partie du gain sur le SI.
• La sous-traitance de l’exploitation des facilités (climatisation, électricité, feu, …) à la DSG pouvant s’avérer
difficile, il pourrait être préférable de la déléguer à une
entreprise extérieure spécialisée. Le responsable de
salle, intégré aux équipes de la DSI, sera chargé de faire
l’interface avec l’entreprise ou à défaut avec la DSG.
• Il est indispensable de disposer d’outils de métrologie
permettant de connaître précisément les différents
paramètres de fonctionnement à tous les endroits critiques de la salle : température (3 capteurs par rack
recommandés), hygrométrie, consommation de chaque
rack, voire de chaque serveur, ainsi que des éléments
extérieurs comme la climatisation, contrôle d’accès, …
Ces éléments seront couplés à un logiciel de gestion
des salles, permettant d’urbaniser la salle
en fonction des
contraintes
remontées par les capteurs pré-cités et de gérer les
assets. Cette métrologie peut éventuellement être externalisée sous forme de télé-service.
• Pour des besoins d’extension de salles ou pour les
nouveaux projets, adopter un système de salle informatique modulaire spécifiquement conçu. Ces Data
Centers modulaires, adoptés d’ores et déjà par
Microsoft et Google et dont un développement rapide
est prévu, ont été conçus de manière optimisée par des
spécialistes. Ils offrent une évolutivité permettant de
s’adapter aux besoins liés notamment à la Haute densité ou pour créer des salles de back-up (PRA/PCA) sur
des terrains disponibles, libérant autant d’espaces de
bureaux coûteux.
• Compte tenu de la difficulté de maîtriser tous les
aspects liés aux Data Centers et des enjeux financiers
associés, il peut être souhaitable de se faire accompagner par une société spécialisée venant du monde informatique, mais maîtrisant l’ensemble des problématiques transverses.
■■■
Deux adresses pour suivre au quotidien
le monde de la Sécurité, du Stockage,
de l’Archivage, de la Dématérialisation,
des Data Centers...
Global Security Mag
c’est un fil d’informations continu
en français et en anglais
Plus de 22.000 articles publiés depuis octobre 2007
C’est tous les jours des news :
■ Produits, Business, marché…
■ Une veille sur les vulnérabilités et les nouveaux malwares
■ Des comptes rendus d’événement sur la sécurité, le stockage, l’archivage,
la dématérialisation, les Data Centers… partout dans le monde
■ Des interviews exclusives des acteurs de la filière
■ Une rubrique Risk Management avec des articles d’experts, d’avocats…
■ Des points de vue d’éditeurs
■ Des Livres blancs, des Podcasts et un Guide des acteurs
Et c’est aussi des News Letters gratuites 4 fois par semaine en français
et en anglais. Pour vous abonner :
www.globalsecuritymag.fr/wwwdef/phplist/?p=subscribe&lang=fr
51
Le magazine trimestriel sur la sécurité
TOUS CES LECTEURS SONT DÉJÀ ABONNÉS :
Les membres du Cercle Européen de la Sécurité, de l’ARCSI,
du CESIC, du CIGREF, du Comité SSI du MEDEF, du CLUSIF,
de NETFOCUS France, des Conciles de la Sécurité,
de FedISA…
TOUS CES EXPERTS VOUS CONSEILLENT TOUT AU LONG DE L’ANNÉE
Philippe Humeau (NBS System), Luc Mensah (Siva), Igor Herrmann (Vipawan), Michel Arditti (Cesic), Xavier
Paper (Paper Audit & Conseil), Garance Mathias (Avocat), Michel Bensimhon (Cabinet Pierre-Henry Scacchi &
Associés), Jean-Marc Gremy (Cabestan Consultants), Olivier Itéanu (Avocat), Julien Sebban (Avocat), Frédéric
Charpentier ( XMCO Partners), Thibault du manoir de Juaye (Avocat), Thierry Ramard (Ageris Consulting),
Diane Mullenex (Avocat)...
BULLETIN D’ABONNEMENT
❒ Je souscris un abonnement à Global Security Mag pour une durée d’un an au prix de 50€ TTC (TVA 19,60%), 60€ hors France Métropolitaine.
Je recevrai les 4 prochains numéros.
❒ ou je commande le numéro :
au prix unitaire de 18€ TTC (TVA 19,60%)
❒ Abonnement annuel au format PDF du magazine 30€ TTC (TVA 19,60%)
❒ ou je commande le numéro :
au format PDF 10€ TTC (TVA 19,60%)
❒ Je souhaite être abonné gratuitement à la News Letters hebdomadaire voici mon adresse mail :
❒ Je suis RSSI, DSI, Risk Manager, Administrateurs Réseaux – Télécoms, Sécurité et je souhaite être abonné au Service Gold de Global Security Mag. Je suis informé que ce
service comprend des invitations VIP sur des événements de sécurité, des remises spéciales à des séminaires de sécurité, des invitations aux événements de sécurité organisés
par Global Security Mag. En revanche Global Security Mag s’engage à ne jamais louer à titre gracieux ou marchand mes coordonnées personnelles ou professionnelles. Pour
bénéficier de ces avantages, je joins ma carte de visite professionnelle (agrafer ici)
et mon adresse mail :
Nom
Je recevrai par mail une fois par semaine des informations ciblées
Prénom
Société
Fax.
E-mail
Adresse
Tél.
Règlement par chèque n°
A réception de votre règlement une facture acquittée vous sera adressée par retour.
Aucun abonnement ne sera accepté sans un règlement préalable de la totalité de son montant.
Date, Signature et cachet de l’entreprise
Tiré sur banque à l’ordre de SIMP
A retourner à :
SIMP
17, av. Marcelin Berthelot
92320 Châtillon
Tél. : 01 40 92 05 55 - Fax. : 01 46 56 20 91
E-mail : [email protected]
[email protected]
En application de l’article 27 de la loi du 6 janvier 1978, les informations ci-dessus sont indispensables au traitement de votre commande et sont communiquées aux destinataires la traitant.
Elles peuvent donner lieu à l’exercice du droit d’accès et de rectification auprès de S.I.M. Publicité. Vous pouvez vous opposer à ce que vos noms et adresses soient cédés ultérieurement.

Ce magazine vous est offert par

Transcription

Documents pareils

impact des eaux d``nf`ltrat`on sur un collecteur non étanche

Les Codes Malicieux par François THILL

sécurité informatique - cours Yves LESCOP

EUROMILLIONS gratuitement - Gagnez de l`argent sur Internet

Revue de Presse Publications IRMES 2016a

Le protocole des protocoles

Edition 2010 - Mediafrica.net

Bulletin F8URC 2015-51

n°130 - cnt ait toulouse anarchosyndicalisme

cf. analyse CSS 137

L`heure de la récréation au Bénin

Sunreef 58 - Sunreef Yachts

Veille Technologique Sécurité

1 ß 1 - Angie