Le Brésil
Transcription
Le Brésil
INTERNATIONAL SPÉCIAL SÉCURITÉ BRESIL N°012 - Prix : 18 € - Trimestriel : juillet, août, septembre 2010 ConFIG a le plaisir de vous offrir ce magazine Pour plus d’informations, cliquez ici ÉDITORIAL DE MARC JACOB REVUE TRIMESTRIELLE N°12 – juillet – août - septembre 2010 www.globalsecuritymag.fr et www.globalsecuritymag.com ISSN : 1959 - 7061 Dépôt légal : à parution Editée par SIMP RCS Nanterre 339 849 648 17 avenue Marcelin Berthelot 92320 Châtillon Tél. : +33 1 40 92 05 55 Fax. : +33 1 46 56 20 91 e-mail : [email protected] Lorsqu’au début des années 1990, un certain Hervé Schauer a inventé le principe du relayage applicatif (proxy firewall), il n’avait peut-être pas réalisé qu’il aurait pu devenir un homme riche ! Par contre, certains industriels ont su saisir cette idée au vol pour enrichir leurs firewalls commerciaux. C’est ainsi que le concept de défense périmétrique s’est développé. Les entreprises ont construit de véritables châteaux forts pour se protéger de toutes les attaques réseaux. Bien sûr, cette pièce stratégique a évolué « au fil des menaces », le concept d’UTM ou de « firewall tout en un » est apparu dans les années 2000 avec des boîtiers qui proposent toujours plus de solutions de sécurité intégrées. Aujourd’hui, l’avènement du Cloud, des outils de mobilité…, en un mot ce que l’on nomme par le barbarisme « dépérimétrisation », a fait voler en éclat la stratégie du château fort. D’aucuns auraient pu penser qu’on allait voir la fin des firewalls ! Pourtant, ce dernier n’a jamais été aussi présent et diversifié sur le SI. Les gammes se sont segmentées afin de répondre à chaque type de besoin. On parle de firewall applicatif, authentifiant, UTM, réseau… des RSSI s’en servent même pour faire de l’IAM… Ainsi, ces derniers sont loin de remettre en cause le déploiement des pare-feux, mais doivent faire face à une complexité croissante en termes de management. Le rêve des RSSI serait sans doute d’avoir une console unique de management agnostique de tous les produits de sécurité... mais c’est une autre histoire ! LISTE DES ANNONCEURS APC 3 DE COUVERTURE ARKOON P. 34 ASSISES SECURITE P. 6 & 8 ATHENA GS – ESET P. 20 BEE-WARE P. 18 CARTES & ID P. 56 CHECK POINT P. 32 CHERRY – ZF ELECTRONICS P. 12 FORTINET P. 42 GS DAYS P. 16 , P. 47 + 1 ENCART LIBRE ÈME HSC IBM IP CONVERGENCE KLEVERWARE NETASQ PRIM’X TECHNOLOGIES SONICWALL STONESOFT VERIZON BUSINESS P. 41 P. 4 P. 2 2 DE COUVERTURE 2 DE COUVERTURE ÉME P. 36 ÉME P. 38 P. 46 P. 24 REDACTION Directeur de la Publication : Marc Brami Rédacteur en chef : Marc Jacob Rédactrice : Emmanuelle Lamandé Ont collaboré à ce numéro : Olivier Iteanu, Diane Mullenex, Théa Zimnicki, Thibault du Manoir du Juaye, Thierry Durand, Alain Mowat. Assistante : Sylvie Levy Responsable technique : Raquel Ouakil Photos : Nobert Martiano, Marc Jacob Comité scientifique : Pierre Bagot, Francis Bruckmann Eric Doyen, Catherine Gabay, François Guillot, Mauro Israël, Olivier Iteanu, Dominique Jouniot Zbigniew Kostur, Patrick Langrand, Yves Maquet, Thierry Ramard, Hervé Schauer, Wayne Sutton, Michel Van Den Berghe, Bruno Kérouanton. PUBLICITE SIM Publicité Tél. : +33 1 40 92 05 55 Fax. : +33 1 46 56 20 91 e-mail : [email protected] PAO Imadjinn sarl - tél. : 09 75 45 71 65 e-mail : [email protected] Image de couverture : © Emelyanov IMPRESSION Imprimerie Hauguel 8-14 villa Léger 92240 Malakoff Tél. 01 41 17 44 00 Fax 01 41 17 44 09 e-mail : [email protected] Imprimé avec des encres végétales sur papier éco-responsable certifié PEFC par un imprimeur adhérent à Imprim’vert selon le procédé CTP sans chimie. ABONNEMENT Prix au numéro : 18 € TTC (TVA 19,60%) Abonnement annuel : 50 € TTC (TVA 19,60%) ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 1 THE LOGICAL & PHYSICAL SECURITY MAGAZINE THÉMA 30 FIREWALL 10 SOMMAIRE 01 Edito : Le firewall peut-il disparaitre? 03 Editorial : Is the firewall going to be phased out? 09 Agenda Événements 2010 SÉCURITÉ BRÉSIL 10 DU CÔTÉ DE L’INTERNATIONAL • Brésil : l’informatique pousse la sécurité • Rififi sur les banques à Rio Par Marc Jacob et Emmanuelle Lamandé • Le Brésil pèche par une législation insuffisante Par Diane Mullenex, avocat au Barreau de Paris et Solicitor England & Wales, et Théa Zimnicki, juriste au sein du cabinet Ichay & Mullenex Avocats. 30 26 CHRONIQUE JURIDIQUE Le statut juridique du mot de passe en question Par Olivier Iteanu, Avocat à la Cour Chargé d’enseignement à l’Université de Paris XI THÉMA 30 THÉMA - FIREWALL • Firewall : un maillon indispensable • Les 10 règles d’or pour administrer un firewall • La sécurité du poste client est complémentaire au déploiement de firewall 44 MALWARES BUSTERS Coupe du monde de la FIFA : double dose de spams pour les internautes Français Par Marc Jacob et Emmanuelle Lamandé 48 BUSINESS INTELLIGENCE Clearstream, Michelin : Quels enseignements pour le droit de la sécurité ? Par Thibault du Manoir de Juaye, Avocat à la cour 44 MALWARES BUSTERS 50 RISK MANAGEMENT L’I-PHONOPHOBIE du RSSI... Par Thierry Durand, Manager du pôle Audit et Conseil, NES 52 DATA CENTER Rationalisation des Data Centers : un chemin long et difficile Par Marc Jacob et Emmanuelle Lamandé 58 DEFCON 2010 Defcon : How I Met Your Girlfriend Par Alain Mowat, ingénieur sécurité, SCRT Retrouvez notre fil d'informations sur la sécurité et le stockage sur : www.globalsecuritymag.fr www.globalsecuritymag.com 50 58 RISK MANAGEMENT SPÉCIAL DEFCON 2010 ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 5 © Tom Mc Nemar NotePad AGENDA Septembre 21 - 22 septembre - CNIT Paris La Défense Le Grenelle du Très Haut Débit Web : www.salon-odebit.com/ 21 - 24 septembre - Sophia Antipolis (France) Smart Event Web : www.strategiestm.com 22 - 23 septembre - Londres (UK) 360°IT Web : www.360itevent.com 13 octobre - CCI Paris 10ème Rencontres Economiques & Technologiques France-Israël Contact : Dominique Bourra, CEO de NanoJV, Joint Ventures Constructor Tél. : + 33 6 24 90 03 34 E-mail : [email protected] 19 - 21 octobre - Paris Porte de Versailles IP Convergence Contact : Tarsus Tél. : +33 (0)1 41 18 60 63 E-mail : [email protected] Web : www.ipconvergence.fr 28 septembre - Casablanca (Maroc) Storage et Security Forum Maghreb Web : www.itieurope.net/maghreb_visitante_carrefour_fr.php 9 - 21 octobre - Londres (UK) Biometrics Web : www.biometrics.elsevier.com 28 - 30 septembre - Mumbai (Inde) Interop Mumbai Web : www.interop.com/mumbai/ 20 - 21 octobre - Londres (UK) IIPSEC Web : www.iipseconline.com 29 - 30 septembre Kuala Lumpur (Malaisie) Data Centres Malaysia Summit Web : www.datacentres.com/ma 25 - 27 octobre – Doha (Qatar) Milipol Web : www.milipol.com 29 septembre - 1er octobre Vancouver (Canada) VB2010 Web : www.virusbtn.com/conference/index Octobre 5 - 7 octobre - CNIT Paris La Défense E-Procurement - ERP - MVI - SOLUTIONS CRM - Serveurs & ApplicationsSolutions DEMAT’ Contact : Infopromotions Tél. : 33(0) 1 44 39 85 00 E-mail : [email protected] Web : www.groupesolutions.com 6 - 9 octobre - Monaco Les Assises de la Sécurité Contact : DG Consultants Tél. standard : 01 41 93 07 07 E-mail : [email protected] Web : www.les-assises-de-la-securite.com 6 - 10 octobre - Istanbul (Turquie) CeBit Bilisim Eurasia Web : www.cebitbilisim.com 9 - 15 octobre - Miami (USA) Hacker Halted USA Web : www.hackerhalted.com/usa 12 - 14 octobre - Casablanca (Maroc) Med-IT @ Casablanca Contact : XCOM Tél. : +33 (0)4 42 70 00 66 - Sylvie REFORZO Tél. : +33 (0)4 42 70 95 10 Mob : +33 (0)6 62 48 22 29 E-mail : [email protected] Web : www.xcom.fr 25 - 28 octobre - Sao Paulo (Brésil) FUTURECOM Web : www.futurecom.com.br/brasil.html 26 - 27 octobre - Francfort (Allemagne) SNW Europe Web : www.snweurope.net/ Novembre INU ONT EN C AG.FR R U M À JO CURITY MIS SE NDA GLOBAL E G L’A W. WW S UR 22 - 25 novembre - Singapour EIS - Enterprise Information Security Contact : Catherine Cheong, Marketing Manager Tél. : +65 6722 9490 Fax : +65 6224 2515 E-mail : [email protected] Web : www.infosecurityasia.com 22 - 25 novembre - Singapour DCM - Data Centre Management Contact : Catherine Cheong, Marketing Manager Tél. : +65 6722 9490 Fax : +65 6224 2515 E-mail : [email protected] Web : www.datacentreasia.com 22 - 25 novembre - Singapour CC - Cloud Computing Contact : Catherine Cheong, Marketing Manager Tél. : +65 6722 9490 Fax : +65 6224 2515 E-mail : [email protected] Web : www.cloudcomputing-asia.com 23 - 24 novembre - CNIT - Paris La Défense INFO to DOC / Démat’Expo Web : www.infotodoc.com 30 novembre – Espace Saint-Martin - Paris GS Days 3 novembre - San Francisco (USA) Network World IT Roadmap Conference & Expo Web : www.networkworld.com/events/ 2 - 5 novembre – Paris-Nord Villepinte Expoprotection Web : www.expoprotection.com 3 - 4 novembre - Jaarbeurs Utrecht (Pays-Bas) Infosecurity Netherlands Web : www.infosecurity.nl 3 - 5 novembre - Wiesbaden (Allemagne) tcworld Conference Web : www.tekom.de/conference 8 - 11 novembre - Abu Dhabi (EAU) Black Hat Abu Dhabi Web : www.BlackHat.com 10 - 11 novembre - New York (USA) SC World Congress Tél. : 00 1-410-418-4861 Email : [email protected] Web : www.scworldcongress.com « Convaincre sans contraindre », telle est la devise de cet événement sur la sécurité de l’information. L’objectif des GS Days, Journées Francophones de la Sécurité de l’Information, est d’établir le dialogue entre le monde de la technique (administrateurs, experts sécurité), les RSSI, DSI et les décideurs. Ce colloque, exclusivement en français, proposera, dans un même espace, plusieurs cycles de conférences, sous un angle technique, organisationnel et juridique, ainsi que des démonstrations d’attaques informatiques, réalisées, en partie, en collaboration avec les experts de l’ARCSI. Plusieurs associations professionnelles reconnues sont partenaires de cet événement : ARCSI, AFCDP, Cercle d’Intelligence Economique du Medef Ouest Parisien, CLUSIF, Forum Atena, Chapitre français de l’OWASP, OSSIR, FedISA, Club 27001, CLUSIS. En parallèle à cet événement, un espace sera également ouvert à quelques sponsors spécialisés. 17 – 19 novembre - Moscou (Russie) InfoSecurity Russia Exhibition. Storage Expo. Documation Contact : Marc Jacob Brami Contact : Groteck Business Media Tél. : +33 1 40 92 05 55 12 - 14 octobre - Londres (UK) Tél. : + 7495 787 88 14 Fax : +33 1 46 56 20 91 RSA Conference Europe Fax : +7 495 221 08 62 E-mail : [email protected] Web : www.rsaconference.com/2010/europe/ E-mail : [email protected] Web : www.gsdays.fr Web : www.infosecurityrussia.ru ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 9 INTERNATIONAL BRÉSIL : L’INFORMATIQUE POUSSE LA SÉCURITÉ Par Marc Jacob et Emmanuelle Lamandé Le Brésil, aujourd’hui dixième puissance mondiale, a mené à marche forcée une politique d’informatisation du pays. Le pays est devenu le 5ème marché mondial en ce qui concerne la vente de PC. Bien sûr, cette entrée dans le monde des TIC a engendré une augmentation des menaces informatiques. Pour y répondre, une législation « partielle » a été mise en place qui s’est accompagnée du déploiement de l’arsenal complet des outils de sécurité physique et logique par les grandes entreprises et les PME. Le Brésil fait partie des dix premières puissances économique s mondiale s. Avec près de 190 millions d'habitants (1), c’est le pays le plus peuplé d'Amérique latine et le plus grand puisque son territoire couvre la moitié de la superficie de cette région du monde. De plus, le Brésil dispose de resEduardo Siqueira, Fortinet Brazil sources naturelles abondantes et son économie est relativement diversifiée allant de l’agriculture aux services, en passant par l’industrie. Ce pays est également devenu en quelques années la plaque tournante du système bancaire de l’Amérique Latine. Depuis 1990, le Bovespa(2), le plus grand centre d'Amérique Latine d'échange d'actions, a mis en place, pour les transactions boursières, le « Computer Assisted Trading System (CATS) ». Internet est devenu, en 2009, le principal canal pour les services bancaires au Brésil. La banque en ligne y est très populaire, au même titre que tous les systèmes de paiement à distance. Dans le domaine IT, une « Silicon Valley » a été créée à Sao Paulo, considérée comme la capitale économique du pays. Enfin, les politiques fiscales et monétaires, menées prudemment par le président Lula, couplées avec les réformes microéconomiques, ont restauré la confiance envers ce marché, qui bien qu'affecté par la crise écono10 mique internationale, a des fondamentaux robustes. Le Brésil, 5ème marché mondial pour la vente de PC… Ce développement des secteurs industriels et tertiaires a conduit à l’informatisation des entreprises, mais aussi des particuliers. Ainsi, la vente de PC au Brésil a aujourd’hui dépassé celle de l’Allemagne et ce pays est devenu le 5ème marché mondial en ce domaine. Cet engouement est dû à une volonté de l’Etat qui a mis en place le programme « un PC pour tous ». Pour l’appuyer, une politique de prix attractive avec des propositions de mensualisation d’achat de PC sur deux à trois ans et des taux d’intérêt faibles a été mise en place. Les brésiliens, sans doute pour refuser l’hégémonie américaine, favorisent le développement de l’open source. Ainsi, 18 à 20% des PC vendus fonctionnent sous Linux. D’ailleurs, SERPRO (Serviço Federal de Processamento de Dados), le plus important service informatique du gouvernement fédéral brésilien, et Bull(3) ont annoncé en 2009 un accord de coopération pour le développement conjoint de technologies Open Source destinées à l’administration en ligne. …Mais a amené son lot de menaces informatiques et de contre-mesures Le revers de la médaille de ce positionnement, dans un continent en proie à une instabilité économique et poli- ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com Quelques associations spécialisées en sécurité : 4 ABSEG (Associação Brasileira de Profissionais de 4 Segurança): www.abseg.com.br 4 ABRID (Associação Brasileira das Empresas de 4 Tecnologia em Identificação Digital) : 4 http://www.abrid.org.br/br/ 4 SIA (Security Industry Association): ww.siaonline.org/ 4 ISIO (International Security Industry Organization) : 4 www.intsi.org/ Toutes ces associations produisent des études de marchés, définissent des standards, participent à des salons professionnels… tique source de violence, est une criminalité en constante augmentation. D’autant que les mafias locales ont rapidement compris que le rapport recette/risque était particulièrement attractif. Dans ce contexte, la cybercriminalité est un problème croissant pour toutes les entreprises brésiliennes. La demande en matière de produits de sécurité informatique suit l'expansion considérable de l'informatisation de la société brésilienne et de sa connexion à Internet. Selon Eduardo Siqueira, Channel Manager, Fortinet Brazil, l’usage d’internet couplé à la croissance des usages en matière de device mobile a conduit à une augmentation exponentielle des menaces. En particulier, les attaques de sites web par injection de codes malicieux, ou encore l’utilisation de méthodes « drive-by-download » qui permettent d’infecter de façon automatique les visiteurs. De ce fait, le gouvernement a souhaité mettre en place une législation sur la sécurité des système d’information. Cette dernière est fortement influencée par les lois de sécurité informatique espagnole et donc par celle de la Communauté Européenne, comme le note Daniel Vega dans sa thèse soutenue à l’Université Paris I(4). Au Brésil, la loi phare de la sécurité informatique date de 2004. Elle a été portée par le Sénateur Sérgio Zambiasi et concerne la protection des données(5). Depuis 10 ans, explique Eduardo Siqueira, Channel Manager, Fortinet Brazil, le gouvernement a voulu mettre en place une loi contre le cybercrime « Projeto de Lei n. 89 de 2003 » nommé depuis 2003, « Projeto Azeredo ». Ce projet a été approuvé par le Sénat mais est resté en attente de validation par la Commission Science et Technology de la Chambre des Députés du Brésil. Pourtant les entreprises ne sont pas restées sans rien faire et ont déployé des politiques de sécurité internes afin de protéger leur SI. Selon lui, les entreprises utilisent principalement : • Des UTM, des systèmes de sécurité pour la messagerie et de gestion de la bande passante, LaiQuocAnh SPECIAL SECURITE BRÉSIL • Des outils de sécurité des EndPoints : firewall personnel, filtrage de contenu, antivirus, antispam, antispyware, VPN • Des outils d’authentification, de chiffrement de la messagerie et du disque… Un marché de la sécurité de 600 M$ à l’horizon 2013 Ainsi, selon une étude du Ministère du Développement économique, de l'Innovation et de l'Exportation du Québec réalisée en 2007, le marché des systèmes de sécurité était évalué à 200 M$ et devrait tripler pour passer à 600 M$ à l’horizon 2013. Les grandes entreprises s'étant déjà équipées, la croissance la plus marquée provient des PME. En 2007, 52 % des produits de sécurité électronique, au sens large, étaient importés, soit un marché de 1,3 G$. Les équipements de contrôle d'accès, de surveillance (vidéosurveillance sur IP…) et les lecteurs biométriques, bien qu'ils connaissent un développement rapide, sont moins en demande que les équipements traditionnels de protection des réseaux. Au niveau des systèmes de surveillance par caméras, les grandes compagnies japonaises (Panasonic, Sony, Toshiba et JVC) dominent ce marché. Dans sa globalité, le marché de la sécurité électronique et de ses composantes est constitué par INTERNATIONAL BRAZIL: IT GROWTH DRIVES SECURITY APPLICATIONS BY MARC JACOB AND EMMANUELLE LAMANDÉ Brazil, which is the 10th largest economy in the world, has been pushing the adoption of IT country wide. As a result, the country now ranks 5th in the global PC market. Of course, the increase in ICT activity has also lead to an increase in the number of threats. To counter this, interim legislation has been implemented and businesses have rolled out an arsenal of physical and logical security applications. ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 11 les produits étrangers à 75 %. La moitié de ces importations provient des États-Unis, suivis du Japon, d'Israël et de la Corée du Sud. Selon Eduardo Siqueira, « on retrouve sur ce marché les prinicpaux acteurs comme Fortinet, Check Point, Juniper, SonicWALL, Cisco, Websense, McAfee, Symantec, Trend Micro, RSA Security (EMC)... ». Bien sûr, quelques acteurs locaux sont également présents, dont le plus célèbre est Modulo, qui a un rayonnement international dans le domaine du risk management. Les sociétés brésiliennes sont plutôt spécialisées dans la biométrie, avec comme fer de lance Acura, Biométru, Fingertech, Fingerprints…, Ardaco pour la sécurisation des documents… Eduardo Siqueira estime que les solutions qui bénéficient des plus fortes croissances sont les UTM, les produits de sécurité pour le Wi-Fi et la VoIP. En parallèle, il note une forte demande pour les architectures incluant des UTM haute performance pour sécuriser les réseaux pour de grands nombres d’utilisateurs. Pour lui, l’évolution du marché de la sécurité brésilien est aujourd’hui identique à celui des pays occidentaux, les menaces informatiques étant quasi les mêmes que dans le reste ■■■ du monde. Événements importants au Brésil* • 6 octobre 2010 - São Paulo FISP – Feira Internacional de Segurança e Proteção www.fispvirtual.com.br/ • 25 - 28 octobre 2010 - São Paulo FUTURECOM www.futurecom.com.br/brasil.html • 26 - 28 avril 2011 - São Paulo ISC Brasil (International Security Conference and Exposition) et INTERSECURITY www.iscexpo.com.br • 2 - 4 mai 2011 - São Paulo CARDS & Identification www.cards2011.com.br • 24 - 26 mai 2011- São Paulo EXPOSEC www.exposec.tmp.br/ • 24 - 26 août 2011 - São Paulo BRASEG www.braseg.tmp.br/ * La plupart des salons s’apparentent à Expo Protection ou Milipol LaiQuocAnh SPECIAL SECURITE BRÉSIL Les types de produits les plus demandés ou les plus susceptibles de le devenir : 4 systèmes de contrôle d'accès 4 systèmes de sécurité des communications et des 4 réseaux sans fil 4 systèmes d'information géographique 4 systèmes de sécurité des transactions et 4 de cryptographie 4 systèmes de sécurité de l'information 4 services et équipement d'investigation informatique 4 dispositifs de surveillance 4 dispositifs GPS 4 systèmes d'identification intelligente 4 systèmes de vidéosurveillance 4 systèmes de surveillance pour la protection 4 du territoire 4 capteurs et lecteurs biométriques 4 composantes électroniques 4 systèmes d'alarme 4 simulateurs et services de formation par simulations 4 services de consultation en gestion du risque et 4 prévention des pertes 4 logiciels de gestion de la sécurité en milieu de travail 4 logiciels de gestion de crise Source : Ministère du Développement économique, de l'Innovation et de l'Exportation du Québec Estimation en 2007 Bolsa de Valores de São Paulo (3) http://www.integris.com.br/fr/bulldirect/N40/BullDirectN40_fr.pdf (4) http://www.univ-paris1.fr/fileadmin/diplome_droit_internet/0405__Vega_Daniel_Memoire.pdf (5) http://www.senado.gov.br/publicacoes/diarios/pdf/sf/2004/11/101 12 004/35787.pdf (1) (2) ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 13 INTERNATIONAL RIFIFI SUR LES BANQUES À RIO Par Marc Jacob et Emmanuelle Lamandé Si le Brésil est connu pour son football, sa musique et son célèbre carnaval, importé par les marins dunkerquois, c’est aussi la plaque tournante du système bancaire de l’amérique latine. Les banques brésiliennes ont poussé, depuis de nombreuses années, leurs clients à utiliser internet pour toutes leurs transactions. De ce fait, les mafias et autres criminels ont vite compris qu’il était plus facile de braquer une banque sur le net que dans la vie réelle. Ils sont donc devenus des spécialistes mondiaux de l’envoi de malwares bancaires. Tous nos chercheurs de malwares sont unanimes, les cybercriminels au Brésil sont des spécialistes mondiaux de toutes les techniques visant à voler les identités des clients des b anque s. Eduardo Siq u e ira, Ch an n e l Manager de Fortinet Brazil, estime que « les cybercriminels brésiliens sont les Eduardo Siqueira, Fortinet Brazil véritables pionniers d'une catégorie de malware que, dans le jargon, nous appelons « banker ». Un banker est un cheval de Troie spécifiquement destiné à intercepter les coordonnées bancaires de la victime infectée (numéros de cartes de crédit, mais aussi surtout nom d'utilisateur et mot de passe de comptes bancaires en ligne), via des techniques plus ou moins avancées, du simple keylogging à l'injection de frames « en direct », man-in-the-middle, etc. ». D’ailleurs, reprend François Paget, chercheur de virus chez McAfee, « en matière de pillage de comptes bancaires en ligne, les cybercriminels ont fait du Brésil l’un de leurs terrains de chasse préférés. Pour la seule année 2005, la Febraban (la fédération des banques brésiliennes) estimait les pertes dues à la fraude virtuelle à 300 millions de réaux (environ 165 millions de dollars). La majorité des brésiliens effectuant leurs transactions bancaires sur Internet, les pirates utilisent toutes les techniques modernes d’ingénierie sociale pour inciter les titu14 laires des comptes à divulguer leurs informations personnelles. Dans ce pays, les renifleurs de mots de passe, tels que Win32/Bancos et PWS-Bankers (également reconnus dans ce pays comme Win32.Banload), dominent largement le monde du malware. Certains chercheurs n’hésitent pas à affirmer que ce sont eux que l’on rencontre dans plus de 60 % des cas sur les ordinateurs brésiliens infectés. Outre les techniques de phishing standards (sites miroirs), l'une des arnaques locales consiste à exploiter la compassion envers les victimes de tornades, de catastrophes aériennes, etc. ». Pillage bancaire : la rançon de la gloire Ce positionnement spécifique dans le panorama de la cybercriminalité mondial est principalement dû au fait que le Brésil est la plaque tournante du système bancaire de l’Amérique Latine. F e rnando Cim a, Senior Security Arc hite c t, Se c urity Center of Excellence, Microsoft Corp, suppose que cette place est la résultante de la conjonction de plusieurs facteurs : • Une industrie bancaire très orientée François Paget, McAfee vers les technologies, ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com SPECIAL SECURITE BRÉSIL une mercantilisation totale du marché du piratage, le Brésil a toujours eu un contingent de hackers (pas forcément malicieux, on ne parle pas ici de cybercriminels) important. Au début des années 2000, un certain nombre de groupes de « defacers » fameux avaient des racines brésiliennes... D’ailleurs, complète François Paget, l’hacktivisme est aussi présent. On en parlait déjà en 2001(2). Sans compter que les hackers sont aussi parfois à la une de l’actualité. Quelques jours avant la grande panne qui, dans la nuit du 10 au 11 novembre 2009, priva d’électricité 18 des 26 états brésiliens, un reportage du magazine « 60 minutes », sur la chaîne CBS News, mettait en cause des hackers brésiliens dans ces types d’attaque. Rien n’a été prouvé pour 2009, loin de là ; mais les soupçons d’attaques par hackers semblent plus probables lorsque les systèmes informatiques de contrôle ont été mis à mal en 2005 et 2007, causant des pannes générales qui ont touché des millions de personnes(3). ZTS qui s’appuie énormément sur des transactions en ligne afin d’assurer la couverture de l’intégralité du territoire, • L’absence de lois spé cifique s pour combattre le cybercrime et d’un fort taux de piratage des logiciels. Effe ctive me nt, r e p r e n d F r an ç o i s Benoit Grunemwald, ESET France Page t, lors de l’étude menée par McAfee sur la vulnérabilité des informations sensibles et de la propriété intellectuelle mondiales (1), un avocat et professeur brésilien, Renato Opice Blum, n’a pas hésité à affirmer que son pays était mal préparé à la défense contre les cybermenaces. Selon lui, « le principal problème vient de l'immaturité des systèmes judiciaires et forces de l'ordre brésiliens qui les rend incapables de faire face aux menaces pesant sur les informations. Les lois brésiliennes ne prévoient pas de dispositions précises concernant les délits liés aux atteintes aux données. Dès lors, les sociétés doivent se référer à des lois promulguées pour s anc tio nne r d e s délits traditionnels, d'une nature plus physique que virtue lle . Dans un contexte numérique, la charge de la preuve est plus difficile à établir et pose des exigences plus élevées. Ainsi, la victime ne doit pas seulement démontrer Loïc Guézo, IBM que l'auteur de l'attaque a accédé à un réseau privé, mais aussi qu'il a occasionné des dommages ». D’autres spécialistes sont moins pessimistes, Pedro Bueno, chargé de recherche antivirus auprès du McAfeeLabs à Brasilia, estime que les Brésiliens bénéficient d'un système de transactions bancaires en ligne raisonnablement sécurisé. Pour autant, il insiste pour dire que le combat contre les logiciels malveillants est loin d'être gagné ». Pour Eduardo Siqueira, il n'est pas interdit de penser qu'il y ait aussi des raisons, en partie sociologiques, au phénomène – par exemple dues à de grandes différences de niveau de vie entre les couches sociales de la population. D'autre part, il faut savoir qu'avant l'émergence du Cybercrime au sens « moderne » du terme, c'est-à-dire impliquant Le Brésil, dans tous les Top 10 de la cybercriminalité Le Brésil figure dans tous les Top 10 des éditeurs d’antimalware toutes catégories confondues. Ainsi, Benoit Grunemwald, Directeur Commercial d’ESET France, classe INTERNATIONAL TROUBLE FOR THE BANKS IN RIO BY MARC JACOB AND EMMANUELLE LAMANDÉ Besides its reputation for football, music and its famous carnival (introduced by sailors from Dunkirk), Brazil is also the hub of the South American banking system. For a number of years now, Brazilian banks have been encouraging their customers to use the Internet for all their banking transactions. The mafia and other criminal elements have quickly grasped the fact that it is easier to hold up a bank on the Internet than in the physical world. As a result, they have become world specialists in banking malware. ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 15 2ème édition www.gsdays.fr Les Journées Francophones de la Sécurité de l’Information “ Convaincre sans contraindre ” Citation de Jean-Marc Laloy, ARCSI Un colloque sur la sécurité des Systèmes d’Informations exclusivement en français pour réunir : les RSSI, DSI, Administrateurs Réseaux & Sécurité, Experts Sécurité… Un cycle de conférences techniques organisationnelles et juridiques Comité de programme : Hervé Schauer (HSC) Philippe Humeau (NBS System) Paul Such (SCRT) Olivier Revenu (EdelWeb) Olivier Guerin (CLUSIF) Maître Diane Mullenex (Ichay & Mullenex avocats) Global Security Mag Comité de pilotage : Jean-Marc Laloy (ARCSI) Francis Bruckmann (France Telecom - Orange) David Dupré (CommonIT) Jean-Nicolas Piotrowski (ITrust) Global Security Mag Partenaire institutionnel : ANSI (Tunisie) Partenaires associations : ARCSI, CLUSIF, Forum Atena, FedISA, Club 27001, OWASP, OSSIR, AFCDP, CLUSIL, CLUSIS, CIE Medef Ouest Parisien Partenaires Presse : Global Security Mag, SecurityVibes, Programmez !, Solutions&Logiciels 30 NOVEMBRE 2010 > Espace Saint-Martin - 199 Bis Rue Saint-Martin 75003 Paris Marc Jacob - Tél. 01 40 92 05 55 [email protected] SPONSORS SPECIAL SECURITE BRÉSIL ZTS INTERNATIONAL ce pays dans le top 10 des pays émettant le plus de Spams. Les pirates informatiques brésiliens profitent de leur important parc de bots pour spammer les u t i l i s at e u r s . L u i s Corrons, Directeur du PandaLabs de Panda Security, positionne le Brésil comme l'un des pays qui crée le plus de « Trojans » Luis Corrons, PandaLabs d'opérations bancaires. Loïc Guézo, Responsable Technique, IBM Security Solutions, est plus précis : « en 2009, 13.7% du spam total a été envoyé d’ordinateurs localisés au Brésil (rang 1). Sur la première moitié de 2010, ce chiffre atteint les 8.4% (rang 2). En 2009, 23.9% de tous les phishing ont été envoyés d’ordinateurs localisés au Brésil (rang 1), contre 14.3% sur la première moitié de 2010 (rang 1 encore). La comparaison des chiffres de 2009 et 2010 semble montrer un rôle un peu moins dominant pour le Brésil. En tout état de cause, le Brésil reste l’un des majeurs pays émetteur de spams et de phishing ». François Paget complète, en rapportant les statistiques du CERT.br (équipe CERT nationale qui collecte des statistiques publiques sur les incidents qui lui sont signalés sur une base volontaire), que le nombre de chevaux de Troie différents (repérés par leur hash MD5), ainsi que celui des sites brésiliens les accueillant semblent en baisse : Nota : DSN = Delivery Status Notification ou encore “non-delivery receipts”. Certains de ces mails peuvent être légitimes. On notera par ailleurs que le Brésil est le second pays en matière de production de spams et le troisième pour les botnets. Au cours du second trimestre 2010, son laboratoire a détecté plus d’un million d’infections par botnet au Brésil. Catégorie 2006 2007 2008 2009 (Q1 à Q3) URL unique 25 087 19 981 17 376 7 622 Adresses IP 3 859 4 415 3 921 2403 Hash MD5 malware (hors vers, hors bot) 19 148 16 946 14 256 5673 Temporisons cependant cette situation à la baisse en notant que cette statistique ne comptabilise pas les victimes mais les lieux d’hébergement et les différents malwares utilisés. Au Brésil, comme le montre la statistique McAfee suivante, c’est bien la diffusion de malwares qui est la catégorie de tête pour le spam (situation au premier trimestre 2010). Cyril Voisin, Microsoft France C’est sans doute ce qui explique les statistiques de Cyril Vo is in , Dire c tio n Technique et Sécurité de Microsoft France : • Le nombre de machines nettoyées p ar Mic ro s o ft au Brésil a augmenté de 15,8% grâce à la mise à disposition de l’ant im al ware g r at u it Mic ro s o ft Se c urity Essentials en version brésilienne. ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 17 SPECIAL SECURITE BRÉSIL Des langages de programmation des malwares basiques mais efficaces La signature des malwares « made in Brésil » est une réalité, constate l’ensemble de nos experts. Pour Luis Corrons, même si en règle générale cela n’est pas évident à détecter, il y a certaines familles de ces « Trojans » qui sont faciles à identifier car elles sont souvent des variantes de « Trojans » déjà connus. Elles intègrent des indices faisant référence aux banques brésiliennes. Souvent, il suffit d’avoir un regard particulier sur certaines caractéristiques du « Trojan » comme : le langage de programmation utilisé, taille du dossier, techniques employées pour envoyer les qualifications aux criminels, etc. En particulier, rebondit Eduardo Siqueira, un certain nombre de malwares conçus par des cybercriminels brésiliens sont programmés en Delphi, un langage probablement très populaire au Brésil. Pour Fernando Cima, les malwares locaux comme ceux des familles W32/Bancos et W32/Banker ne sont pas sophistiqués. Ils sont écrits en VisualBasic, enregistrent les mots de passe et effectuent des captures d’écran lorsque les utilisateurs naviguent vers des sites de banques en ligne. Les données volées sont envoyées par SMTP vers les voleurs. Toutefois, des versions plus sophistiquées ont émergé de rniè re m e nt e t interceptent des one time passwords qui ont été récemment déployés par certaines banques. Les pirates sont passés maîtres en matière de social engineering, e x p liq u e F ran ç o is Paget, en décrivant une de leur technique : « la plupart des banques brésiFernando Cima, Microsoft Corp liennes demandent un numéro de compte, un numéro de filiale, ainsi qu'un code PIN Internet pour permettre à l'utilisateur de se connecter. Le che val de Troie Banker demande, quant à lui, des informations supplémentaires : le code PIN de la banque, le numéro de carte de crédit ainsi que le code de vérification et la date d'expiration, entre autres. Dès que le logiciel malveillant est en possession de ces informations, il affiche un message d'erreur et redirige l'utilisateur vers la véritable page Internet de la banque tout en envoyant à son auteur un e-mail contenant ces données : • Nom du compte • Numéro du compte • Code PIN Internet • Code PIN de la banque • Mot de passe • Nom du titulaire du compte • Numéro de la carte de crédit • Code PIN de la carte de crédit • Date de la carte de crédit • Date d'expiration de la carte de crédit • Nom du père (pour l'authentification formelle) C’est ce qu’illustre l’écran suivant : ZTS • Le Brésil est le 3ème pays au monde par nombre de machines nettoyées par les produits Microsoft (derrière les USA et la Chine). La France est le 6ème. • Nous avons relevé environ 6 fois plus de pages victimes d’attaques par injection SQL pour les sites en .br (Brésil) que pour les .fr (France). • Microsoft nettoie 18 machines sur mille au Brésil (5,6/1000 en France et 7/1000 dans le monde), ce qui en fait le pays le plus infecté au monde derrière la Turquie. • Le Brésil se classe 4ème pays au monde pour l’envoi de spams (derrière les USA, la Corée et la Chine). Les affaires se multiplient depuis ces dernières années avec leurs lots de succès et d’échecs Heureusement, on pourrait dire qu’il y a une justice, car les affaires de pirates informatiques mis sous les verrous se multiplient, constate Paget François McAfee : « selon le CERT.br, la fraude qui représentait 5% des incidents en 2004 en représente, en 2009, près de 70%. Le tableau suivant tente de synthétiser les données de ce CERT qui sont venues en notre possession. ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 19 SPECIAL SECURITE BRÉSIL DDOS 42 268 17 332 109 676 77 473 32 960 45099 5 873 104 96 277 954 100 896 10 INTRUSION ATTAQUES SITES WEB Pour l’année 2009, les chevaux de Troie ne sont impliqués qu’à 8,79% dans la colonne fraude. Celle-ci concernerait d’ailleurs, dans 88% des cas, des faits liés à une infraction touchant les droits d’auteur et non pas la grande criminalité(4). La hausse des incidents va de paire avec l’activité de la police fédérale brésilienne. Celle-ci a multiplié les arrestations de pirates informatiques impliqués dans le vol de mots de passe. En mars 2005, l’arrestation de Valdir Paulo de Almeida, à la tête d’un groupe de 18 personnes spécialisées dans le phishing, fait la une des journaux. Pour le groupe, le bénéfice estimé atteint les $37 millions. En février 2006, l’arrestation de 63 pirates ayant visité près de 200 comptes dans 6 banques du pays (bénéfices estimés pour le groupe : 4,74 millions de dollars) marque le début d’une série d’opérations d’envergure menées par la police brésilienne (voir tableau ci-dessous). Les efforts coordonnés des institutions financières, de la police fédérale et des éditeurs de logiciels de sécurité, ainsi que la sensibilisation des utilisateurs finaux semblent contribuer à une meilleure maîtrise et une diminution des activités criminelles visant les transactions bancaires en ligne. Le 16 juin 2007, le groupe Banco de Brasil lance un nouveau site Web de transactions bancaires sur Internet, dont la conception a été entièrement revue. Banco de Brasil est l'une des banques les plus ciblées du pays, et la plupart des PWS-Bankers possèdent déjà une copie de l'ancien site Web dans leurs bases de données de fausses banques. Dans les quelques jours qui ont suivi ce lancement, McAfee découvre NOM DE L’OPERATION Scan Galaticos Replicante Control+Alt+Del Valaquia Navegantes Nerds Colossus Carranca de Troia Iliada Muro de Fogo Cardume Lamers Trilha SCAN DE PORTS FRAUDE AUTRES 28 158 22 197 45 191 34 408 43 822 52 114 10535 4 015 27 292 41 776 45 298 140 067 250 362 8 387 406 65 ZTS VERS DATE 14 FEV 2006 23 AOU 2006 12 SEP 2006 7 DEC 2006 13 FEV 2007 11 MAI 2007 JUL 2007 21 AOU 2007 04 SEP 2007 11 NOV 2007 4 DEC 2007 13 MAI 2008 18 SEP 2008 28 MAI 2009 248 448 523 258 327 11 7 70 31 65 101 69 275 [1] http://www.3dcommunication.fr/pdf/Unsecured_economies.pdf [2] http://www.sans.org/reading_room/whitepapers/hackers/brazilianconnection-brazilian-defacement-groups-stake-claim_605 1 051 4 169 1861 un référentiel de code source de PWS-Bankers, révélant une multitude de fichiers ciblant des institutions bancaires brésiliennes. Un fichier en particulier attire l’attention : « New Banco do Brasil Screen.jpg ». Daté du 21 juin, le fichier représente le tout nouvel écran de saisie de mot de passe du nouveau site Web de Banco do Brasil ! A supposer que les dates soient exactes, en moins de cinq jours, les criminels avaient créé un cheval de Troie PWS-Banker fonctionnel, prêt à cibler le nouveau site de la banque. Aux Pays-Bas, en août 2008, un individu de 19 ans a été arrêté par la police. Il était à la tête du botnet « Shadow » qui regroupait plus de 100.000 machines. Le jeune homme allait vendre son réseau pour 25.000 € à Leni de Abreu Neto, un brésilien de 35 ans, lui aussi interpellé. Toutefois, cette même année, les polices brésiliennes et américaines se sont « cassées les dents » avec l’affaire Daniel Dantas, déplore Eduardo Siqueira : « un banquier brésilien, Daniel Dantas, arrêté en 2008, avait encrypté les preuves de ses possibles forfaits avec TrueCrypt, un logiciel de cryptage gratuit et open source. Les autorités brésiliennes compétentes (l'Institut National de Criminologie), s'étant cassées les dents sur le cryptage, firent parvenir les disques durs du banquier à leurs collègues du FBI, dotés d'une bien plus impressionnante puissance de calcul pour « brute-forcer » les clefs de cryptage. Ces derniers viennent de jeter l'éponge... » La cybercriminalité au Brésil a donc encore de beaux jours devant elle entre une législation peu aboutie et des pirates de plus en plus astucieux. ■■■ MANDATS D’ARRET 64 80 120 27 524 570 449 1 689 4 201 5 592 1652 Source : McAfee TOTAL INCIDENTS SIGNALES 75 722 2004 2005 68 000 2006 197 892 2007 160 080 2008 222 528 2009 358 343 2010 (Jan à Mars) 28 325 ARRESTATIONS 63 63 58 41 23 14 29 22 4 33 50 27 3 76 PERTES ESTIMEES $5 million $50k/mois $5,5 million $500k/mois $250k/mois Source : McAfee - CERT Br ANNEE [3] http://www.foreignpolicyjournal.com/2009/11/15/brazils-next-battlefield-cyberspace/ [4] http://www.cert.br/stats/incidentes/2009-jan-dec/fraude.html ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 21 INTERNATIONAL LE BRÉSIL PÈCHE PAR UNE LÉGISLATION INSUFFISANTE Par Diane Mullenex, avocat au Barreau de Paris et Solicitor England & Wales, et Théa Zimnicki, juriste au sein du cabinet Ichay & Mullenex Avocats. Le Brésil compte la plus grande population d'utilisateurs d'Internet en Amérique latine et occupe le cinquième rang mondial. Il y a environ 72 millions d'utilisateurs d'Internet au Brésil, ce qui ne représente que 36 % de la population brésilienne. Au début de l’année 2010, 88 % des villes brésiliennes avaient accès à l’Internet à haut débit, selon Anatel, l’Agence Nationale des Télécommunications de Brésil. En outre, le réseautage personnel en ligne a explosé au Brésil, dans la mesure où les Brésiliens se ruent sur des sites populaires tels qu’Orkut, MSN Messenger, Facebook et Skype. Toutefois, malgré ce développement, le Brésil pèche par une législation encore insuffisante. Anatel estime qu'il y avait 183.700.000 lignes de téléphones mobiles au Brésil en mai 2010, avec une augmentation de 2,9 millions rien qu’en avril. Cela représente près de 96 téléphones cellulaires pour 100 habitants. La société brésilienne de téléphonie mobile TIM Brasil e nvis ag e d 'é larg ir Diane Mullenex, avocat son réseau 3G afin de couvrir 60 % de la population d’ici 2012; alors que la couverture est déjà de 30 % en 2009. La connectivité mobile au Brésil est très bonne et l'utilisation du téléphone cellulaire est étendue dans tout le pays. Pour étendre la portée de l’Internet, les initiatives venant des municipalités ainsi que de l'industrie existent pour élargir et fortifier la disponibilité du Web. Par exemple, le projet Baixada de Rio de Janeiro, lancé en 2009, vise à mettre en place un réseau sans fil à haut débit qui pourrait offrir un accès gratuit à près de 1,4 millions de personnes. Le 5 mai 2010, le gouvernement fédéral a annoncé son Plan National pour le Haut Débit consistant à investir massivement dans le réseau brésilien de fibres optiques afin d'offrir un service haut débit dans 25 états 22 et le District Fédéral, soit environ 75 % des ménages brésiliens, d’ici 2014. Cela représente un véritable effort du Brésil de continuer à améliorer et développer son réseau national pour la connectivité Internet. L'Internet est de plus en plus intégré dans les secteurs commerciaux, juridiques et gouvernementaux de la société brésilienne, ainsi que dans l'éducation et la finance. Par exemple, le gouvernement utilise l'Internet pour l'immatriculation électronique des voitures. En outre, le Brésil a mené les élections par vote électronique depuis 1996, et est en train d'intégrer la reconnaissance biométrique dans l'identification des électeurs. La justice brésilienne se numérise La numérisation des documents judiciaires a commencé et les tribunaux cherchent à poursuivre ce processus afin de mieux gérer d’importants volumes d'informations. En Juin 2009, la Cour Supérieure de Justice du Brésil (Superior Tribunal de Justiça, STJ) a ouvert un portail électronique, appelé e-STJ, avec des dossiers administratifs et des ressources pour les avocats ainsi que le grand public, lequel comprend une bibliothèque électronique. Cela a eu un effet positif considérable sur la réduction de la bureaucratie et la simplification des procédures. La Cour Suprême a même créé un profil sur Twitter et propose un contenu sur YouTube. ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com Les achats en ligne sont soumis au code des consommateurs Les achats effectués en ligne sont soumis au code de la défense des consommateurs. Le Brésil a un système de classe mondiale pour les transactions bancaires électroniques, appelé Sistema de Pagamentos Brasileiro (SPB). Ce système de paiement a été élaboré avec la reconnaissance de la nécessité de mettre en place des normes rigoureuses de sécurité, y compris le chiffrement des données et la certification numérique. Ce système, géré par la banque centrale brésilienne (Banco Central do Brasil), contribue à la volonté croissante du Brésil d’être considéré quand un endroit où faire des affaires. On observe une augmentation du nombre de procédures judiciaires qui sont diligentées à l’encontre des éditeurs de contenus et des individus qui publient du contenu illégal ou contrefaisant sur Internet. Toutefois, il est de plus en plus reconnu que les fournisseurs d’accès Internet ne sont pas responsables des contenus illicites ou des cyberattaques. Néanmoins, il peut être demandé aux hébergeurs d’Internet de tenir des registres d’informations des utilisateurs telles que les heures et les dates de connexion et les adresses IP. Le Brésil a été à la pointe de la législation sur la protection des données à caractère personnel… Le Brésil a été à la pointe de la législation sur la protection des données personnelles en Amérique latine. En 1988, il est devenu le premier pays d'Amérique latine à inclure la demande d’habeas data dans sa Constitution (Article 5, LXXI, Titre II), qui établit un droit d'action pour une personne de déposer une plainte devant un tribunal pour l'utilisation des données personnelles qui violent son image, sa vie privée, son honneur ou sa liberté d'information. En vertu de Habeas Data (qui se traduit approximativement par « vous aurez les données »), toute personne doit être autorisée à inspecter tout renseignement personnel la concernant qui a été collecté et doit avoir la possibilité de corriger des données erronées. Cependant, très probablement en raison de la position du Brésil en avant-garde de l'Amérique latine à disposer d’une action en justice d’habeas data, cette disposition est aussi l'une des plus faibles et les moins développées. En fait, la Constitution brésilienne ne prévoit pas que la LaiQuocAnh SPECIAL SECURITE BRÉSIL de struc tio n de s données personnelles puisse être demandée, mais seulement l'accès à ces données et à pouvoir les rectifier. La vie privée est faiblement protégée par la Constitution du Brésil. … mais la complexité de cette législation la rend difficilement applicable En 1997, la loi de réglementation de la procédure d'habeas data (loi n° 9507) a été adoptée par le parlement brésilien. Elle avait pour but d’approfondir la disposition constitutionnelle habeas data et intégrait des directives administratives et procédurales concernant le dépôt d’une plainte. Elle permet également à tout individu de joindre une note aux données en litige en précisant que lesdites données font l’objet d’un contentieux et qu’il est attendu une résolution juridique. Malheureusement, la loi réglementaire de 1997 n’a guère simplifié les nombreuses règles de procédure, en particulier concernant les règles de juridiction, de sorte que le système reste très compliqué et inadapté. Surtout, la législation en vigueur au Brésil n’est pas conforme aux normes européennes de protection des données. L'Union européenne, par sa directive sur la proINTERNATIONAL BRAZIL LACKS ADEQUATE LEGISLATION AND BY DIANE MULLENEX, ATTORNEY IN PARIS AND SOLICITOR IN ENGLAND & WALES, THÉA ZMINICKI, LAWYER, ICHAY & MULLENEX. Brazil has the largest number of Internet users in Latin America and ranks 5th worldwide. There are around 72 million Internet users in Brazil accounting for 36% of the total population. At the beginning of 2010, 88% of Brazilian towns & cities had access to broadband Internet according to the Brazilian national telecommunications agency. Social networking on sites such as Orkut, MSN Messenger, Facebook and Skype is extremely popular. However, despite this growth in Internet usage, there is a lack of adequate legislation to protect users. ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 23 tection des données, exige de ses États membres de maintenir des normes strictes concernant le transfert des données au niveau international. Les Etats de l'UE ne peuvent pas transférer de données vers des pays qui ne possèdent pas de législation suffisante sur la protection des données. À ce jour, l'Argentine est le seul pays d'Amérique latine qui répond aux normes de l'UE. La cybercriminalité n’est pas traitée efficacement par la législation brésilienne Le Brésil est l’un des trois pays les plus infectés au monde par la malveillance sur Internet, selon le « Symantec Internet Security Threat Report » publié en 2010. La cybercriminalité demeure un problème crucial qui n’est pas encore traité efficacement par la législation brésilienne. Au cours des dernières années, le Brésil a pris des mesures pour remédier à l'absence d'un cadre juridique spécifique se rapportant à l'Internet. En 2005, un projet de loi controversé sur la cybercriminalité connu comme « Azeredo », nommé d’après le sénateur qui l’a proposé, a été présenté et est encore à l’étude par le Congrès. Les objectifs principaux de ce projet de loi comprennent la vigilance sur le téléchargement illégal, le contenu criminel sur l’Internet, le mauvais usage des données personnelles et publiques et les violations du droit d'auteur. Toutefois, le projet de loi a soulevé des préoccupations importantes à propos de la censure et plusieurs de ses dispositions sont trop générales ou abstraites, ce qui crée un risque que des actes innocents ou légers puissent être considérés comme des actes criminels. Bien que le projet de loi soit toujours à l’étude, le président brésilien Luiz Inacio da Silva a fait allusion à un veto présidentiel, si le projet de loi était approuvé par le Congrès. La question de la réglementation nationale de l'Internet et les initiatives gouvernementales ont soulevé de nombreuses interrogations auprès de la population brésilienne. Prenant en compte cette inquiétude, le gouvernement brésilien a mis en place une consultation publique. Celle-ci comporte deux phases et a pour but de générer un « cadre réglementaire civil » pour l'Internet (Marco civile da Internet). Le traitement du projet de loi Azeredo est suspendu jusqu'à ce que ce cadre réglementaire soit mis en place. Dans la première phase de consultation publique fin 2009, toutes personnes et toutes institutions ont été invitées à soumettre des suggestions afin qu’elles soient éventuellement incluses dans le cadre juridique. Le ministère de la Justice a examiné les contributions et publié par la suite un projet de loi au début de 2010. Dans la deuxième phase, le public avait 45 jours pour soumettre des com- LaiQuocAnh SPECIAL SECURITE BRÉSIL mentaires en ligne sur ce projet de loi, délai à la fin duquel le projet a été envoyé au Congrès. Ce projet est actuellement examiné par le Congrès et contient des dispositions concernant la liberté d'expression, la protection des données personnelles, la vie privée, la rétention des données de l’utilisateur, la neutralité du net et la pornographie impliquant des enfants, entre autres. Le Brésil : un acteur prometteur de l'ère du numérique Pour ceux qui veulent protéger leur propriété intellectuelle, les logiciels et bases de données sont protégés par le droit d'auteur au Brésil et la loi n° 9.609/1998 régit la protection du droit d'auteur des programmes d'ordinateur. Bien qu'il y ait un grand nombre de poursuites judiciaires impliquant le piratage de logiciels, il reste un problème considérable au Brésil. Il y a eu de nombreuses discussions depuis 2005 pour la modification éventuelle de la loi actuelle, la loi n° 9.610/1998 sur le droit d’auteur. Le Ministère de la Culture du Brésil a tenu un forum national sur le droit d'auteur en 2007 et, depuis ce temps-là, le Brésil a participé et a organisé plusieurs autres conférences nationales et internationales sur le sujet. Bien que le projet de loi n’ait pas encore été ratifié, le Ministère de la Culture a rédigé un document résumant ses objectifs. Les discussions sont centrées sur l'assouplissement de l'interdiction de la copie privée d'œuvres pour un usage non-commercial, y compris une clause d’usage équitable pour la recherche et une accessibilité électronique augmentée des œuvres archivées. La tendance semble aller vers une libéralisation des politiques de propriété intellectuelle. Bien que la situation dans laquelle se trouve actuellement le Brésil, concernant la connectivité Internet, la protection des données personnelles et le cadre juridique à mettre en place, laisse à désirer, le pays s'efforce de remédier à ses points faibles. Avec plusieurs initiatives du gouvernement et de l'industrie, soit déjà mises en place soit en discussion par le Congrès, et l’enthousiasme des Brésiliens à adopter de nouveaux produits technologiques une fois disponibles, le Brésil est certainement un acteur prometteur de l'ère du numérique. Dans le domaine des nouvelles technologies, ■■■ le Brésil est riche en possibilités pour l'avenir. ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 25 CHRONIQUE JURIDIQUE LE STATUT JURIDIQUE DU MOT DE PASSE EN QUESTION Par Olivier Itéanu, Avocat à la Cour, Chargé d’enseignement à l’université de Paris XI Dans de très nombreux cas, l’identifiant et le mot de passe ou le mot de passe seul constituent la clef d’accès au système d’information. Le mot de passe est le passage quasi obligé pour accéder au téléphone mobile, à l’ordinateur personnel ou de travail, au PDA, au réseau d’entreprise, etc. Dans le monde physique, les techniques d’authentification à l’entrée des entreprises, des immeubles, des appartements, des lieux publics sont des plus variées. L’apparence ou la connaissance visuelle de la personne, le son de sa voix à l’interphone ou au téléphone, sa façon de se comporter, de se tenir, peuvent jouer ce rôle. Badges d’accès et saisie de codes y sont également courants. À l’inverse, il existe quantité de situations ou d’actions pour lesquelles aucune authentification n’est exigée. Dans le monde informatique, et plus particulièrement dans celui des réseaux, le recours à une authentification technique est obligatoire. Comme la signature manuscrite, le couple identifiant/mot de passe détenu par la personne qui se présente à l’accès d’un système d’information sert à cette authentification. Le mot de passe n’a pas de définition légale… Dans le monde informatique, l’authentification se définit comme une méthode, un moyen ou une technique permettant de vérifier l’identité de personnes et parfois de machines ou de programmes d’ordinateur qui s’exécutent. Identifiant, mot de passe (password), code confidentiel, biométrie, etc. : quantité de moyens d’authentification permettent de contrôler l’accès à un système d’information. L’accès par saisie d’un mot de passe reste à ce jour le moyen d’identification le plus communément utilisé, même s’il n’a pas de définition légale. 26 Le mot de passe n’a pas de définition légale ni juridique. Les experts déterminent de manière empirique ce que devrait être un bon mot de passe. L’efficacité du mot de passe dépend en fait essentiellement des choix de l’utilisateur(1). On considère généralement qu’il doit être personnel et alphanumérique, c’est-à-dire composé de mots et de chiffres, voire de caractères spéciaux. Il doit être, en outre, imprononçable et ne pas figurer dans un dictionnaire. La CNIL considère qu’il doit être constitué de plus de quatre caractères et de préférence d’au moins huit. Huit caractères bien choisis parmi les quatre-vingt-quinze caractères ASCII offrent 6,6 millions de milliards de combinaisons possibles(2). Un mot de passe est dit « statique » lorsqu’il est valable un certain temps, jusqu’à ce que l’utilisateur décide d’en changer. Il est dit « dynamique » ou « à usage unique » ou encore « jetable » lorsqu’il n’est valable que le temps d’une connexion. Le mot de passe est réservé à une personne ou un groupe de personnes. Il est donc, par essence, confidentiel. La pratique consistant à écrire sur un stick collé sur le côté de l’écran de l’ordinateur l’identifiant et le mot de passe servant à contrôler l’accès à un système quel qu’il soit est non seulement un manquement aux règles élémentaires de la sécurité informatique, mais aussi une faute au sens juri- ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com dique. L’obligation de confidentialité est régulièrement rappelée à l’utilisateur dans les contrats qui le lient au maître du système. La société Orange rappelle dans ses conditions générales d’abonnement professionnel à Internet que « l’ensemble des éléments permettant au client de s’identifier et de se connecter au service sont personnels et confidentiels(3) ». Le manquement à cette obligation juridique n’est pas sans conséquence. Si un abonné ne la respecte pas et qu’il se trouve victime d’un accès frauduleux, l’opérateur peut parfaitement dégager sa responsabilité. En outre, le client engage sa responsabilité si ce manquement a causé un préjudice à un tiers. Par exemple, si un accès frauduleux est la conséquence d’un manquement à l’obligation de confidentialité d’un abonné d’Orange et que cet accès a permis à un individu d’entrer en possession d’informations confidentielles appartenant à des tiers, la responsabilité du négligent peut être engagée. Au final, c’est cet abonné négligent qui pourrait avoir à réparer le préjudice subi en payant des dommages et intérêts auxquels un tribunal l’aurait condamné. Sur le plan juridique, le mot de passe présente un certain nombre de caractéristiques qui peuvent, au final, constituer son statut. …Mais il a un statut juridique Le mot de passe a, tout d’abord, un détenteur légitime. C’est souvent au sein de l’entreprise que cette caractéristique est rappelée. Chaque salarié se voit attribuer un mot de passe pour accéder à une ressource informatique, ordinateur, intranet, etc. Dans sa gestion juridique de l’identité, l’employeur attribue des droits d’accès à ce mot de passe, lesquels peuvent être différenciés selon le service ou le niveau hiérarchique du salarié. Outrepasser ou bafouer les droits du détenteur légitime du mot de passe est une faute qui peut justifier le licenciement du salarié. Dans un arrêt rendu le 21 décembre 2006(4), la chambre sociale de la Cour de cassation a confirmé que le comportement d’un salarié qui avait tenté sans motif légitime et par emprunt du mot de passe d’un autre salarié de se connecter « sur le poste informatique du directeur de la société » pouvait justifier un licenciement pour faute grave. Le mot de passe est ensuite un moyen de preuve. Il peut être retenu par les parties dans leur contrat pour constituer un moyen de preuve. C’est ce qu’on appelle une « convention de preuve ». Cette pratique est reconnue par la loi depuis 2000(5) et figure à l’article 1316-2 du Code civil, qui dispose que « lorsque la loi n’a pas fixé d’autres principes, et à défaut de convention valable entre les parties, le juge règle les conflits de preuve littérale en déterminant par tous moyens le titre le plus vraisemblable, quel qu’en soit le support ». Quantité de contrats et de chartes stipulent que « la saisie du mot de passe confidentiel remis à l’utilisateur vaudra preuve de l’utilisation du système entre les parties ». Cette disposition est une « convention valable » au sens de © Falko Matte CHRONIQUE JURIDIQUE la loi. Le mot de p as s e d e vie nt dans ces conditions le moyen de preuve décidé par les parties. Ce moyen de preuve peut cependant être contesté, car il se heurte à un autre grand principe du droit français, celui selon lequel on ne peut s’offrir une preuve à soi-même. Or le mot de passe est souvent enregistré sur un équipement contrôlé en totalité par la personne qui peut avoir intérêt à prouver un usage par ce moyen. Les tentations de manipuler la preuve et la facilité avec laquelle peut être opérée cette manipulation pourraient rendre suspecte la production du moyen de preuve. C’est alors à l’autre partie d’apporter des éléments de contestation, lesquels peuvent être parfaitement entendus par le juge. Si ces éléments sont trop techniques et que la contestation de la preuve conditionne pour l’essentiel l’issue du litige, le juge peut recourir à un expert technique, le plus souvent inscrit sur des listes d’experts agréés par les cours d’appel ou la Cour de cassation. …que seul le juge apprécie Au final, et dans tous les cas, la parole est au juge. C’est lui qui appréciera le moyen de preuve rapporté. La loi lui impose une seule contrainte. Il ne peut rejeter un mode de preuve au seul motif de sa forme. Pour rejeter une preuve, il doit motiver son rejet. Pour cette raison, les plaideurs s’efforcent d’apporter devant les tribunaux des preuves électroniques dans des formes familières aux juges et s’aident pour cela notamment d’huissiers de justice et d’experts agréés LEGAL COLUMN THE LEGAL STATUS OF PASSWORDS BY OLIVIER ITÉANU, ATTORNEY-AT-LAW, LECTURER AT PARIS I AND PARIS XI UNIVERSITIES In the IT world, authentication is defined as a technique, method or means of validating a person’s, or in some cases, a machine’s or program’s identity. Identifiers, passwords, pins, biometric recognition etc., are all authentication devices used to control access to an IT system. The most common method is password protected access even though it has no legal definition. ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 27 CHRONIQUE JURIDIQUE auprès des tribunaux. Enfin, le mot de passe est une signature. La carte bancaire est un exemple fameux de ce type de signature. Stipulée au contrat qui lie le client à sa banque, la saisie du code confidentiel vaut engagement du client à donner un mandat irrévocable à la banque de payer le commerçant concerné. Le mot de passe dépasse ici le statut de moyen d’authentification pour déborder sur celui, classique pour une signature, de preuve d’engagement. Dans de très nombreux cas, le couple identifiant/mot de passe ou le mot de passe seul constitue la clef d’accès au système d’information. Or l’accès à un système d’information est protégé par la loi. Un délit spécifique punit le fait d’accéder frauduleusement à un système d’information, appelé STAD (Système de Traitement Automatisé de Données). L’accès frauduleux à un STAD est le délit pénal « traditionnel » de la cybercriminalité. Ce délit, constitué par le « fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un système de traitement automatisé de données(6) », est puni des peines maximales de deux ans d’emprisonnement et de 30 000 euros d’amende. C’est l’accès non autorisé en lui-même qui est sanctionné, qu’il y ait eu ou non des dommages dans le système ou dans les données stockées sur le système (7). La loi ne précise pas s’il est obligatoire que le système d’information comporte une protection technique. Elle ne précise donc pas si l’accès au système doit être contrôlé, notamment par la technique du mot de passe. Dans les faits, cependant, deux raisons au moins poussent à affirmer que la faculté donnée à l’utilisateur d’un système de disposer d’un moyen d’authentifier les accès, notamment par la technique du mot de passe, est obligatoire. La première de ces raisons tient à l’application du délit d’accès frauduleux à un STAD. Pour que le délit s’applique, l’accès doit être intentionnel, c’est-à-dire que le délinquant doit avoir conscience qu’il accède sans droits et non par erreur au STAD. Dans ces conditions, l’usurpation d’un identifiant/mot de passe établirait sans contestation possible la preuve de l’élément intentionnel du délit. Par exemple, si le délinquant a « cassé » un mot de passe de quelques caractères en saisissant toutes les combinaisons possibles, ces essais ont laissé des traces dans le système d’information qui prouvent son intention. À défaut d’un mot de passe, la preuve de l’intention délictuelle est plus difficile à rapporter. Mais la jurisprudence va plus loin et semble pousser vers la présence obligatoire d’une protection minimale à l’entrée des systèmes d’information. C’est l’affaire dite Kitetoa qui, la première (8), a posé ce principe. À l’occasion de visites sur le site d’une grande société française, l’animateur du site Kitetoa a découvert une faille de sécurité qui lui donnait accès à une base de données de quatre mille noms. Il a rap- 28 porté sa découverte sur son site sans que quiconque s’en émeuve particulièrement. Quelques mois plus tard, le magazine Newbiz rendait compte de l’affaire, déclenchant un dépôt de plainte de l’éditeur du site incriminé pour accès et maintien frauduleux dans un STAD. En première instance, les juges ont considéré l’infraction réalisée. Leur argumentation était la suivante : Attendu que le prévenu a déclaré qu’une fonction du navigateur Netscape permettait d’afficher l’ensemble du contenu du serveur [XXX] ; qu’il a indiqué à titre de démonstration lors de son interrogatoire par les services de police avoir procédé à une copie d’écran démontrant qu’à partir de la page d’accueil du site [XXX], il choisissait les fonctions « communicator » puis « outils du serveur », puis « service de la page », fonctionnalités présentes sur tous les navigateurs Netscape ; que dans « services de la page », l’ensemble du contenu du serveur s’affichait sous forme d’arborescence ; qu’en consultant les liens HTML, il avait trouvé notamment le listing de clients apparaissant dans le journal Newbiz, fichier de type « .mdb » dans lequel la société T. enregistrait le résultat de questionnaires posés aux internautes, dans lequel apparaissaient les noms, adresses et autres données personnelles des visiteurs du site ayant bien voulu répondre à des questions personnelles, fichier qui comportait selon lui environ 4 000 entrées […] ; qu’en accédant à plusieurs reprises au fichier litigieux et en le téléchargeant, le prévenu, qui fait d’ailleurs état dans ses déclarations de la loi qui fait obligation aux sociétés de protéger les données nominatives collectées, avait nécessairement conscience que son accès et son maintien dans le site de la société T étaient frauduleux ; qu’il y a lieu en conséquence d’entrer en voie de condamnation à son encontre. Considérant l’absence de protections des pages Web auxquelles il avait accédé et l’absence d’agissements caractéristiques d’une volonté de nuire, le tribunal a condamné le prévenu à une amende de 1 000 euros avec sursis, ce qui constitue une condamnation très légère. Sur le plan du principe, le parquet général a considéré le jugement comme insatisfaisant et interjeté appel le 28 mars 2002. Dans un communiqué de presse du 4 avril 2002 - une procédure assez inhabituelle - , le procureur général a expliqué que « cet appel [avait] pour but de permettre à la cour d’appel de se prononcer sur la définition et la portée du délit d’accès et de maintien frauduleux dans un système ». Or l’arrêt qui allait être rendu comportait une évolution majeure. Les juges d’appel relevaient que « considérant que […] il ne peut être reproché à un internaute d’accéder ou de se maintenir dans les parties des sites qui peuvent être atteintes par la simple utilisation d’un logiciel grand public de navigation, ces parties de site […] devant être ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com réputées non confidentielles à défaut de toute indication contraire et de tout obstacle à l’accès […] ». L’évolution majeure tient à ce que les juridictions avaient plusieurs fois eu l’occasion de dire que la présence ou non d’un système de sécurité était indifférente pour la commission du délit d’accès frauduleux à un STAD. Même en cas d’absence de code d’accès ou de mot de passe, même en présence d’une faille de sécurité manifeste, le délit était réalisé. La doctrine justifiait cette position en rappelant que « même une porte ouverte dans un domicile ne doit pas donner droit d’accès et de maintien dans ce domicile ». Cependant, l’avènement d’Internet a considérablement élargi la typologie des actes couverts par ce délit. Un site Internet peut voir se côtoyer, sur une même machine et dans un environnement proche, des parties de site qui ne sont pas destinées au public, et qui pourtant se trouvent, par erreur ou incompétence, en accès libre, et d’autres parties publiques. Fallait-il considérer l’internaute de Kitetoa comme un délinquant au sens de l’article 323-1 du Code pénal lorsqu’il avait accédé à une partie d’un site non sécurisée par erreur ? La cour d’appel a répondu par la négative, en posant trois critères à cette nouvelle situation : • L’internaute a accédé à des parties de site qui ne lui étaient pas destinées au moyen d’un simple logiciel de navigation, sans utilisation d’outils particuliers venant forcer un passage ou une entrée. • Il y a bien eu constatation d’une faille de sécurité. En quelque sorte, la cour a entendu faire peser la responsabilité de cette « erreur » non sur l’internaute lui-même mais sur l’éditeur du site défaillant. • Rien n’indiquait à l’internaute que ces parties du site visité lui étaient interdites, aucune « indication contraire », ni « aucun obstacle à l’accès » n’y figurant. Par le dernier critère, les juges ont semblé considérer que si le propriétaire d’un système voulait bénéficier de la protection de la loi, il devait au minimum installer une authentification à l’accès, notamment par identifiant et mot de passe. Cette évolution majeure fut accueillie de manière plutôt positive à l’époque (10). Au final, les tribunaux ont accordé au mot de passe une place privilégiée dans le dispositif juridique de protection des systèmes d’information. La sécurité offerte par le mot de passe est variable et aléatoire Nous vivons au quotidien avec le mot de passe. Les procédures d’identification par mot de passe sont aujourd’hui indispensables pour protéger l’accès, l’intégrité et la confidentialité des systèmes d’information. Ce succès résulte incontestablement du rapport efficacité/ © Falko Matte CHRONIQUE JURIDIQUE coût/difficulté de mise en œuvre re m arq uab le qu’offre le mot de passe. Mais à la différence des autres modes d’identification, la sécurité offerte par le mot de passe est variable et aléatoire. Cet aléa dépend de l’utilisateur lui-même, qui en fait le choix : long, varié, différent pour chaque service, changé régulièrement, tenu strictement confidentiel, le mot de passe offrira une sécurité importante. Dans le cas contraire, ce dernier n’offrira qu’une protection insuffisante et, pire encore, illusoire. Sur Internet, cette difficulté est aggravée par l’absence de système d’identité global, qui contraint les utilisateurs à devoir user d’un mot de passe distinct pour chaque service qu’ils souhaitent utiliser. Dans ces conditions, il est tentant de n’utiliser qu’un seul et même mot de passe pour l’ensemble de ces services en ligne. On en perçoit immédiatement le danger : en cas de compromission du mot de passe pour quelque cause que ce soit, l’identité de l’utilisateur peut s’en trouver aisément usurpée. C’est pourquoi, lorsque l’accès à un système d’information est sensible, l’authentification dite forte est indispensable. Le manque de crédit attaché au mot de passe étant alors complété par d’autres éléments, comme une carte à puce, que seul l’utilisateur autorisé est censé avoir en sa ■■■ possession. [1] www.securite-informatique.gouv.fr, « Les dix commandements ». [2] http://www.journaldunet.com/solutions/0205/020527_bon_password.shtml. [3] Art. 11, conditions générales Internet Pro Orange (décembre 2007). [4] Cass., chambre sociale, 21 décembre 2006, pourvoi n° 05-41165, inédit. [5] Loi n° 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l’information et relative à la signature électronique. [6] Art. 323-1 du Code pénal. Le délit a été créé et introduit dans le code pénal par la loi n° 88-19 du 5 janvier 1988 relative à la fraude informatique, dite « loi Godfrain », du nom du député qui l’a proposée. [7] Si l’accès frauduleux a engendré des dégâts involontaires, c’est l’alinéa 2 de l’article L321-1 du Code pénal qui s’applique, lequel double la peine maximale susceptible d’être prononcée. Cet article dispose que « lorsqu’il en est résulté [de l’accès frauduleux] soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement dans ce système, la peine est de deux ans d’emprisonnement et 30 000 euros d’amende ». Si les dégâts sont volontaires, on applique l’article L321-2 du même code. [8] CA de Paris, 12e chambre, 30 octobre 2002, Kitetoa/Tati, www.leglais.net. [9] Jérôme THOREL, ZD Net, http://www.zdnet.fr/actualites/internet/0,39020774,2104590,00.htm. ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 29 THÉMA Par Marc Jacob et Emmanuelle Lamandé A l’ère du Cloud Computing, de la mobilité… qui entraînent de nouvelles définitions du SI des entreprises, la question se pose de l’utilité des outils de protection périmétrique. Pourtant, pour nos trois experts, Joseph Graceffa, Directeur Technique associé d’Advens, Yannick Hamon, Consultant et responsable du pôle « Tests d'intrusion et audits » chez XMCO Partners, et Raphaël Marichez, Consultant chez Hervé Schauer Consultants (HSC), le firewall a plus que jamais sa place au cœur de la défense de l’entreprise. Bien sûr, il va s’agir de choisir les bonnes solutions, de les positionner aux bons endroits et de savoir les administrer dans le temps. Encore une fois, l’organisation et le bon sens sont aussi la clé d’une bonne protection contre les menaces. Le phénomène d’ouverture du SI de l’ent re p r i s e , ap p aru de puis que lque s années et qui s’accélère avec le Cloud Computing, conduit les dirigeants d’entreprises, et, en particulier, les directions des achats, toujours sur le « qui vive » en matière d’économies, à se poser des questions Joseph Graceffa, Advens sur l’intérêt d’utiliser des firewalls. Pourtant, pour nos trois experts, aucun doute, le firewall reste un outil indispensable de protection du SI. Ainsi, Joseph Graceffa considère que le rôle du firewall à l’ère du Cloud est fondamental pour la sécurité, voire encore plus important avec l’usage de machines virtualisées de plus en plus nombreuses dans le Cloud. Pour lui, il faut absolument s’assurer des contrôles d’accès réseaux à ces ressources externalisées : chaque machine ou chaque application virtualisée dans le Cloud doit avoir son firewall. De plus, reprend Yannick Hamon, « en fonction du modèle de Cloud Computing choisi, le firewall peut être contrôlé par l’entreprise ou par le fournisseur du Cloud. Cependant, 30 dans tous les cas, même en SaaS, les applications reposent sur des architectures N-Tiers et exposent des services sensibles (administration, supervision, base de données, serveur de fichiers…). Même dans le Cloud, l’accès à ces services doit être maitrisé afin de limiter le risque en cas de compromission d’un serveur. Un firewall est donc toujours indispensable cependant, en fonction du modèle choisi, ce dernier sera à la charge de l’entreprise ou du fournisseur de service. Dans ce contexte, le type de firewall à déployer dépendra surtout du modèle de Cloud. Plus l’entreprise doit maintenir de composants dans l’architecture (Modèle PaaS : logiciels, bases de données) et plus le firewall doit être complet (filtrage réseau couche 3 et 4, IDS/IPS, applicatif etc.). Ainsi, le type de firewall dépend uniquement du périmètre à couvrir (réseau, application…) ». Yannick Hamon, XMCO Partners: les 3 principaux modèles de Cloud Computing 4IaaS : l’entreprise continue de maintenir les couches logicielles (serveur, services, bases de données), seule la partie matérielle est gérée par le Cloud. 4PaaS : l’entreprise est uniquement responsable de l’application, le reste est géré dans le Cloud. 4SaaS : le Cloud prend son sens, c’est-à-dire que même l’application est gérée par le fournisseur de ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com THÉMA De ce fait, l’UTM qui regroupe plusieurs fonctionnalités dans une appliance est un outil apprécié de nos experts, comme l’explique Joseph Graceffa : « l’arrivée des UTM nous a démontré que l’on pouvait mettre plusieurs fonctions de sécurité sur les réseaux, ceci dans une seule boîte et donc simplifier les infrastructures de sécurité dans les SI. A l’ère du Cloud, la virtualisation du firewall paraît indispensable. De plus, compte tenu du fait que les attaques ciblent maintenant les applications, il est tout aussi pertinent d’avoir des technologies de type firewalls applicatifs, mais également à cause de la facilité avec laquelle les outils arrivent à traverser les filtrages réseaux en se « cachant » dans des flux standards et légitimes. Il est, par exemple, très difficile d’empêcher un flux skype de sortir de son entreprise… De ce fait, il convient d’avoir une forte capacité de filtrage applicatif ou de contenu. Les UTM ont donc un bel avenir devant eux car, pour certains, ils couvrent l’ensemble de ces fonctionnalités : filtrage réseaux, filtrage applicatif, filtrage de contenu, virtualisation et sécurité dans la virtualisation… Reste que le débat de l’administration de l’ensemble de ces couches de sécurité demeure entier : peut-on raisonnablement penser qu’un administrateur de firewall aura la meilleure expertise pour paramétrer au mieux la couche de sécurité applicative ? En effet, il n’y connaît généralement rien en développement et est incapable d’analyser finement le site web que l’équipe marketing de l’entreprise a fait développer chez un tiers qui ne documente rien et utilise un obscur Framework personnel développé en interne. Je pense que nous reviendrons soit à des fonctions de sécurité séparées dans différents outils experts dans leur domaine, soit à un outil tout-en-un autorisant une administration fine de chaque fonctionnalité de sécurité par différents profils dans l’entreprise et avec bien-sûr une interface de management utile utilisable par tous ». Quel que soit le réseau utilisé (Cloud, réseau virtuel ou périmétrique…), les mesures de sécurité traditionnelles s’appliquent toujours toujours : simplement, elles s'appliquent à la couche virtualisée, sans que ce la ne pe rme tte d'en faire l'économie sur la couche supp o rt. En g é n é ral, dans une offre Cloud, ces cloisonnements e t f i l t r ag e s e n t r e ré s e au x virtu e ls , entre réseaux d'adm inis tratio n, e tc ., font partie des activiRaphaël Marichez, HSC tés qui sont sous-traitées. Le client d'une offre Cloud n'a donc, en théorie, plus à se préoccuper des fonctions de filtrage, du moins pour la partie externalisée. Cependant, il subsiste nécessairement un SI minimal qui n'est pas externalisé, qu'il convient donc de protéger de manière traditionnelle : cloisonnement des réseaux et DMZ. Par ailleurs, l'externalisation dans un Cloud impacte le niveau applicatif : la navigation internet et plus généralement les flux applicatifs entre les postes de travail (y compris nomades) et l'extérieur (y compris dans le Cloud) représentent l'essentiel des communications informaSPECIAL FEATURE FIREWALLS ARE AN ESSENTIAL PART OF THE CHAIN BY MARC JACOB AND EMMANUELLE LAMANDÉ Cloud computing and mobility have changed the contours of company IT systems and raised the issue of peripheral protection. However, our three experts -- Joseph Graceffa, associate technical director, Advens, Yannick Hamon, consultant and intrusion testing and audit manager, XMCO Partners, and Raphaël Marichez, consultant with Hervé Schauer Consultants (HSC) – consider that the firewall is more than ever a key element in a company's protection set up. Of course the right solutions have to be selected, they have to be put in the right place and they have to be managed correctly on an ongoing basis. Once again, the right organisation and good sense are the key to successful threat protection. Pour Raphaël Marichez, sur un plan purement logique, un réseau virtuel reste un réseau, et les mesures de sécurité traditionnelles comme les firewalls s'y appliquent ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 31 THÉMA tiques. Ces interconnexions constituent donc également l'essentiel des possibilités d'attaques et des vulnérabilités liées au réseau. Des firewalls applicatifs et d'autres mesures de sécurité au niveau du SI résiduel de l'entreprise sont donc, comme avant, chargés d'assurer l'innocuité, autant que faire se peut, des flux entrants et sortants. Finalement, la problématique fonctionnelle n'a pas beaucoup évolué ; ce sont les chemins empruntés par les flux réseau qui ont changé, entraînant dans le même temps une augmentation de la complexité et de l'imbrication des réseaux. Tout à fait d’accord, complète Joseph Graceffa, même si de nombreux opérateurs internet proposent des offres de firewall, le filtrage d’accès réseaux ne doit pas se cantonner à l’accès Internet ou les accès à distance. Il est de plus en plus courant de mettre en œuvre des firewalls dans les réseaux internes, pour séparer les infrastructures, les applications des bases de données, les utilisateurs de certaines applications, voire même de segmenter le réseau LAN en fonction des missions de chacun dans l’entreprise… Ainsi, il faudrait pratiquement positionner un firewall devant chaque application. Bien sûr, reprend Yannick Hamon, le firewall doit être situé au plus proche de la donnée. Il ne suffit pas de mettre un firewall à l’entrée du Cloud car celui-ci n’est pas une zone de confiance. Idéalement, il faudrait mettre un firewall sur chaque serveur, mais l’administration deviendrait alors plus complexe. D’ailleurs, explique Raphaël Marichez, cette complexité croissante augmente les coûts bruts d'exploitation ; les coûts marginaux ne peuvent donc être réduits que lorsque l'économie d'échelle est suffisamment efficace pour compenser les coûts bruts. La sécurité, quant à elle, pâtit de cette complexité croissante entraînant une inflation des vulnérabilités et des vecteurs d'attaque, et l'impact potentiel résultant d'une compromission, à l'inverse des coûts marginaux, augmente avec le f ac t e u r d ' é c h e l l e . L e r é s u l t at d e l ' é q u at i o n avantages/inconvénients n'est pas garanti malgré les discours marketing. Comme le conclut Joseph Graceffa, « serait-ce là les prochaines réussites commerciales et techniques à venir pour certains éditeurs de firewall ? Probablement ! » Firewalls de nouvelle génération : nouveaux concepts marketing ou véritables avancées ? Nos trois experts ne sont pas tout à fait d’accord sur les apports des firewalls de nouvelle génération. Pour Raphaël Marichez, certains produits sont du bricolage essayant, à partir de techniques parfois peu, voire pas innovantes, d'améliorer l'efficacité des boîtiers, de réduire les erreurs d'exploitation et, éventuellement, de diminuer les faux-positifs, encore que ce dernier aspect semble de moins en moins considéré ces derniers temps. Il ne s'agit que d'une augmentation incrémentale du niveau des technologies « arme contre bouclier », et ne saurait constituer ne serait-ce que l'embryon d'une révolution. Par contre, Yannick Hamon estime que ces nouveaux types de firewall, en couplant un firewall traditionnel avec un firewall applicatif, amènent un apport supplémentaire en termes de sécurité. En effet, ils permettent d’inspecter le contenu des flux et d’intégrer des notions de comptes utilisateurs qui peuvent être utilisés afin de filtrer l'accès en fonction des comptes Active Directory. Enfin, Joseph Graceffa est un fervent « supporter » de ces technologies : « ces firewalls apportent en fait une vision et une organisation de la politique de sécurité basée sur les utilisateurs, les ressources cibles et les usages de cellesci. Enfin, ils amènent une vue qui peut être comprise du business et des fonctionnels de l’entreprise et non plus une vision centrée sur « adresse IP / ports » qui ne résonnent qu’aux oreilles des administrateurs réseaux & sécurité. Un peu comme l’ont fait les premiers acteurs du VPN SSL, où on parlait d’accès et d’usage de ressources plutôt que de règles d’accès réseaux. Couplés à des systèmes de fédération d’identité et d’IAM, de plus en plus développés en entreprise, on peut maintenant rêver d’avoir une politique d’accès basée sur les utilisateurs, leurs métiers, leurs contraintes et leurs objectifs de sécurité. Enfin, ces nouveaux acteurs du firewall offrent des capacités avancées de contrôle des usages des applications qui permettent de fixer clairement dans une organisation que le DG a le droit à FaceBook ou Youtube sous toutes les formes et que les utilisateurs du service clients n’auront accès qu’à leur CRM favori… » Administration des firewalls : une question d’outils et d’organisation L’administration des firewalls, comme pour tout outil de sécurité, est un problème crucial. Joseph Graceffa explique de façon consensuelle : « tout réside dans le choix de bon outil et d’une organisation sans faille ! » Yannick Hamon entre dans le détail : « dans un premier temps, les administrateurs doivent durcir la configuration de leur firewall et se tenir informés des vulnérabilités afin ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 33 La gamme Virtual Edition d’Arkoon : l’UTM 100% virtualisé, pas émulé ! PUBLI-INFO Interview de Gilles d'Arpa, Managing Director B.U. Network Security chez Arkoon A l’ère du Cloud Computing, à quoi peut servir un UTM ? La porte d'entrée du réseau doit assurer une étanchéité nette. L’UTM, avec son filtrage des protocoles et des couches réseaux, et l’établissement de tunnels sécuriGilles d’Arpa sés, répond à ce besoin. En outre, le concept de défense en profondeur justifie aussi le maintien d’architecture de type UTM. www.arkoon.net Dans ce contexte, quel type de sécurité périmétrique est-il pertinent de déployer en entreprise ? La sécurité périmétrique connaît plusieurs évolutions simultanées toujours plus consommatrices en ressources. Pour y répondre, l’association de l’UTM et de la virtualisation de services de sécurité assure une solution de protection actuelle et évolutive. On peut passer d’une infrastructure de 100 jusqu’à 6 000 utilisateurs toutes fonctions de sécurité activées (Firewall, Antivirus, Antispam, Filtrage URL, VPN SSL) dans un budget contrôlé. Comment faire le « bon choix » d’une architecture virtualisée ? L’objectif qui guide le choix de l’architecture de l’entreprise doit être clair : comment conserver les performances initiales de l’UTM quand l’ensemble des relais applicatifs est activé ? comment sécuriser réellement la segmentation des réseaux et des hébergements sur un même matériel physique ? La gamme Virtual Edition d’Arkoon répond à ces objectifs. Elle est basée sur deux solutions : FAST360 Virtual Edition Web&Mail et FAST360 Virtual Appliance. Que recouvre FAST360 Virtual Edition Web&Mail ? C’est une architecture qui met en œuvre appliances matérielles et virtuelles. Les appliances FAST360 filtrent les flux au niveau applicatif (niv. 7) en temps réel et intègrent une fonction de concentrateur VPN IPsec. Les appliances virtuelles sur VMware filtrent les données applicatives au travers de fonctions de sécurité. La combinaison appliance matérielle et appliance virtuelle apporte à l'administrateur de sécurité une solution de filtrage frontale très performante et surtout évolutive. Ce type d'architecture est particulièrement adapté pour des infrastructures de plusieurs milliers d'utilisateurs ou des infrastructures de services de type SaaS. La segmentation des réseaux et des serveurs doit être réellement sécurisée. Que proposezvous ? Les besoins actuels tendent vers une sécurisation 34 PUBLI INFO personnalisée des infrastructures et des applications. Ce que nous proposons aujourd’hui avec FAST360 Virtual Appliance permet de sécuriser la segmentation des services hébergés et des réseaux. Nous avons fait le choix d’offrir une sécurité totale. Virtual Appliance est le portage complet du savoir-faire Arkoon en environnement virtualisé VMware, en une seule image. Les solutions virtualisées Arkoon intègrent les toutes dernières optimisations de VSphere 4. Elles possèdent un accès IO direct à l'hyperviseur, augmentant de manière significative les performances et autorisant les fonctions de gestion de VSphere 4. La performance inter-machines virtuelles est optimale : elle est limitée uniquement par le fond de panier du serveur ESX. A noter : tous ces avantages sont disponibles en mode paravirtualisé, et non en simple émulation. L’évolution vers la virtualisation des fonctions de sécurité ne bouleverse-t-elle pas les acquis de l’UTM ? La virtualisation doit être comprise comme une redistribution des fonctionnalités existantes. Par e xe m p le , l’antivirus So p h o s , l’antis p am Commtouch sont préservés. Nos clients conservent leurs connaissances et méthodologies acquises avec leurs équipement précédents. Avec la virtualisation, la sécurité devient plus facile à administrer: toutes les fonctions de sécurité font l’objet d’une seule et même interface dans notre gamme Virtual Edition. Elle perpétue le concept d’unicité propre au tout-en-un de l’UTM. En sus, les outils d’administration ACC, AMC, Arkoon Manager, Monitoring, gèrent de manière homogène nos gammes virtuelles et physiques. En termes de souplesse d’administration et de pérennité d’investissement pour nos clients, notre offre n’a rien de virtuel ! Les plus de FAST360 Virtual Edition Web&Mail • Une garantie de tenue en charge • Pérennité de l’investissement réalisé • Maîtrise des coûts • Mêmes outils d’administration que FAST360 Les plus de FAST360 Virtual Appliance • Identiques à ceux de V.E. Web&Mail, avec • Evolutivité des technologies de virtualisation • Un socle virtualisé solide : VMware • Sécurisation de la topologie • Moindre coût de l’hébergement physique THÉMA de maintenir à jour la version logicielle du pare-feu. Le firewall est un élément maître de la sécurité d'une entreprise et son accès doit être restreint et maitrisé. Il n'est pas rare lors de tests d'intrusion de trouver des firewalls implémentant encore des mots de passe par défaut. Dans un second temps, les règles nécessaires au métier doivent être étudiées et approuvées par l'équipe sécurité. Dans les grandes entreprises, des nouveaux projets sont lancés chaque semaine. Des dizaines de flux métiers doivent être ouverts. L'administrateur doit donc travailler main dans la main avec les études et architectes afin de comprendre le rôle de chaque flux au lieu d'ajouter « bêtement » sans réflexion. Enfin, les règles des firewalls doivent être simplifiées. Aujourd’hui, la majorité des protocoles utilisés par les logiciels n’utilisent plus de ports ouverts dynamiquement (i.e : ouverture des ports 1024-65534), d’autres nécessitent, par défaut, uniquement un peu de configuration (i.e : Oracle 9 ou NFS) ». Encapsulation : quel champ d’action pour le firewall ? Pour Raphaël Marichez, il est illusoire d'espérer pouvoir abandonner la sécurité sur les flux réseau traditionnels qui soutiennent les réseaux virtuels (encapsulés). La sécurité étant une chaîne constituée de maillons, une vulnérabilité du réseau sous-jacent entraîne la défaillance de la sécurité de l'ensemble des réseaux virtuels qui en dépendent. Il faut rappeler que le principal objectif d’un firewall est de restreindre l’accès à un service donné et de ne pas exposer d’éventuels services d’administration ou dangereux, analyse Yannick Hamon. Il ne faut pas tout mélanger : si le service exposé propose des fonctionnalités d’encapsulation, ce service doit être renforcé ou surveillé par un composant tiers (IDS/IPS/Analyse de logs) pour limiter l’impact : ce n’est Yannick Hamon, XMCO Partners pas le rôle d’un firewall. Le pare-feu est un élément de sécurité, tout comme les antivirus ou les proxy/reverse-proxy…, ceux-ci ne couvrent pas tous les risques informatiques, mais sont indispensa- bles. Toutefois, pour Joseph Graceffa, un firewall doit pouvoir analyser les flux le traversant et doit savoir identifier toute tentative d’encapsulation ou, du moins, proposer un moyen pour bloquer toute activité non reconnue ou non autorisée. Pas d’alternative aux firewalls ! Pour nos trois experts, il n’y a aucun doute, il n’y a pas d’alternative au déploiement des firewalls. Selon Joseph Graceffa, dans l’état de l’art actuel, il est illusoire de penser que les réseaux, les applications et les utilisateurs assureront par eux-mêmes le contrôle d’accès… on peut juste penser que la fonctionnalité de contrôle d’accès sera présente à tous les étages, et plus ou moins automatisée ou autonome, mais sera bien présente. Il ne faut pas oublier que les firewalls ne sont qu'un outil et non un objectif en soi. Il ne faut pas chercher une alternative, comme si l'on pouvait choisir entre un outil et un autre, rappelle Raphaël Marichez. « C'est l'ensemble des outils qui seul permet d'atteindre un objectif de sécurité. Les firewalls s'inscrivent d'ores et déjà dans des systèmes de gestion (systèmes de management) permettant d'assurer que l'ensemble de mesures de sécurité atteint un objectif visé. Les firewalls n'en sont qu'un maillon, mais il semble impossible de s'en passer : le principe de la virtualisation repose sur un cloisonnement des réseaux virtuels ou des applications virtuelles au sein de supports physiques mutualisés. Les fonctions de cloisonnement ne peuvent donc pas être évitées, que ce soit au sein de l'univers nouvellement virtualisé ou au sein de l'univers des réseaux traditionnels, sans oublier bien entendu l'isolation des univers les uns des autres. Il ne faut pas non plus oublier les flux d'administration des équipements de sécurité tels que les firewalls euxmêmes : avec les imbrications liées au cloud, il est obligatoire d'assurer des protections périmétriques (fonctionnelles ou logiques) autour des firewalls eux-mêmes. En termes clairs, il faut « firewaller » les firewalls. Cela est exacerbé avec l'informatique nomade: l'administration à distance des postes nomades, à relier avec le concept de dé-périmétrisation, n'est ni plus ni moins qu'un contournement formidablement consensuel et ostentatoire des structures de firewalls traditionnels qui ont mis plusieurs années à se construire convenablement. Sans même pouvoir abandonner les premiers firewalls, il faut construire des firewalls autour des nouveaux SI virtualisés ». Toutefois, reprend Yannick Hamon, il n'existe véritablement pas de solutions alternatives aux firewalls d’autant que la dé-périmétrisation n'est pas encore d'actualité et ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 35 THÉMA ne sera certainement jamais implémentée en entreprises. L’avenir des firewalls passera-t-il par son déploiement sur des équipements mobiles ? Joseph Graceffa pense que les éditeurs de solutions firewalls et surtout ceux qui proposent des appliances ont du souci à se faire s’ils ne vont pas vers le poste de travail utilisateur... Le firewall ne pourra plus se contenter de se positionner en périphérie du réseau. D’ailleurs, il pourrait même être intégré dans les cartes réseaux*. En effet, la ligne entre le monde extérieur (Cloud, externalisation...) et le SI (infra, BDD, users) de l'entreprise est de plus en plus floue et il faut maintenant se soucier de la sécurité de l'équipement de l'utilisateur qui produit et gère les données... Ainsi, nos clients les plus matures réfléchissent à se passer de firewalls en périphérie. Effectivement, pourquoi mettre en œuvre des firewalls sur internet alors que l'internet est partout et que les données sont soit sur des machines internes, ou de plus en plus des machines externes... Dans ce nouveau contexte, le firewall sur le poste de travail et très rapidement sur l'équipement mobile (GSM, Smartphone, IPhone, NetPC ...) va devenir indispensable. Cependant, ces équipements mobiles sont pour l'instant encore un peu légers en capacité (mémoire, CPU...) pour faire fonctionner une application de sécurité complète... De plus, ces solutions mobiles arrivent tout juste et ne disposent pas, pour certaines, de consoles de management dignes de ce nom... bref... ces solutions sont l'avenir du firewall mais ne sont pas encore prêtes .... Firewall de demain : toujours plus intelligent Joseph Graceffa s’exclame : « le firewall de demain sera entre les mains des managers d’équipes qui pourront mettre en place les règles d’accès aux données pour leurs métiers ! C’est lui qui aura le pouvoir de laisser ou non passer un flux ou une activité de son poste, de son serveur, de son application… le challenge technique à venir pour les éditeurs de firewall sera d’avoir la capacité de proposer une interface de management que chaque utilisateur pourra utiliser en toute autonomie ». De ce fait, analyse Yannick Hamon, les firewalls de demain seront sans doute « intelligents », ils détecteront et avertiront les administrateurs de règles trop permissives ou non utilisées. Cependant, la fonctionnalité la plus attendue est sûrement la « contre-attaque » à l’aide d’un buzzer USB ou Wifi disposé sur le bureau du RSSI… Effectivement, reprend Raphaël Marichez, d’ores et déjà dans les firewalls de la n-ième « nouvelle génération », les techniques décisionnelles embarquées sont de plus en plus complexes : • l'utilisation de technologies complexes reste source de bugs, plus que jamais ; • la factorisation donc l'homogénéisation des fonctions techniques et des fonctions décisionnelles, d'une part, ne s'adapte pas aux organisations ayant des besoins hors-normes ou qui exigent une maîtrise fine de leur sécurité, et, d'autre part, augmente le panel d'organismes vulnérables à une unique défaillance donnée. Sur ce sujet, il n'est pas nouveau de constater que la multitude d'offres de boîtiers embarque toujours un petit nombre de techniques que se partagent les différents acteurs du domaine. Le choix ne s'en trouve que plus confus, puisque les éléments différenciant se réduisent généralement au marketing et éventuellement à l'accompagnement, et surtout une unique faille dans une unique technique, une fois exploitée, expose un nombre de produits considérable. On est, de plus, en droit de s'interroger sur la pertinence de confier à des boîtiers purement techniques des fonctions décisionnelles utilisant des critères de plus en plus complexes. De manière générale, ces boîtiers peuvent apporter une certaine aide technique, grâce à l'automatisation qu'on appelle « intelligence embarquée », auprès de PME peu exigeantes et voulant surtout se rassurer. Cependant, il est constant depuis plusieurs années que les organisations de la sécurité matures préfèrent conserver la maîtrise fine de leurs télécommunications. En tout état de cause, les conséquences en termes de sécurité liées à l'intégration dans son SI de solutions d'une telle complexité sont maintenant bien connues : une organisation sérieuse ne fait plus l'économie d'analyser les risques provenant de cette forme de soustraitance. Si certaines venaient à les oublier ou les sousestimer, alors les exemples de pertes d'activité consécutives à une défaillance du sous-traitant seraient fréquents. Ainsi, le dernier en date est celui de la mise hors service de nombreux relais de messagerie le 16 avril 2010 suite à la fin de vie de ClamAV-0.94, rappelant « un vieux » principe toujours d'actualité : la sécurité étant une chaîne, une défaillance des mécanismes supports brise la sécurité de tout ce qui en dépend. Et à trop vouloir sous-traiter les tâches requérant de l'expertise, on perd entièrement la vision des risques ■■■ quotidiens… ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com * NDLR : le rachat de McAfee par Intel semble confirmer cette remarque 37 Firewalls de nouvelle génération : le contrôle au niveau des applications est un must Interview de Florian Malecki, EMEA Enterprise Product Marketing Manager SonicWALL Quels sont les principaux critères de sélection qui doivent retenir l’attention d’un RSSI lorsqu’il doit déployer une solution de Next Generation Firewall ? Les applications Web sont au cœur des innovations du Web 2.0, de l’informatique de type Florian Malecki « cloud » et des initiatives de mobilité permettant d’augmenter la productivité, de faciliter la collaboration, de simplifier les opérations et de réduire les coûts. Pourtant, malgré les avertissements répétés de nombreuses entreprises restent insensibles à l’augmentation des risques liés aux éléments suivants : 4Logiciels (SaaS) et architecture orientée services (AOS). Ces applications font l’objet d’attaques sophistiquées permanentes et persistantes provenant de pirates dont les motivations sont financières et politiques. 4Applications Web 2.0 interactives, de réseautage social. Ces applications peuvent permettre la fuite de données confidentielles de façon volontaire ou accidentelle, pouvant entrainer des poursuites judiciaires ou des situations de non conformité aux réglementations. 4Ordinateurs portables compatibles WiFi et téléphones intelligents 3G/4G. Plus leur utilisation se généralise, plus celle des applications Web dans le cadre professionnel augmente, ce qui engendre de nouveaux risques en matière de sécurité. 4Cryptage, nouveaux ports et ports non standard. Ils peuvent permettre au trafic des applications Web d’échapper à la détection et au contrôle mis en place par les firewalls traditionnels. 4Menaces persistantes élaborées et attaques visant des entreprises précises. Associées aux menaces existantes, elles participent à l’augmentation exponentielle du nombre total de menaces. Les firewalls conventionnels n’ont pas l’œil sur tous les dangers. Ils n’analysent que les en-têtes de paquets, négligeant les menaces cachées dans la partie « données ». Pour assurer une protection totale contre les menaces internes et externes, il est indispensable de scanner en temps réel l’ensemble du trafic, et ce quel que soit le protocole, le port, la taille du fichier etc. Afin d’offrir le maximum de protection, un firewall de nouvelle génération doit être capable de: SonicWALL Solution phare : SonicWALL Network Security Appliances (NSA and E-Class NSA) Contact : Franck Trognée, Country Manager France Tél. : +33 (0) 49 33 73 09 E-mail : [email protected] Web : www.sonicwall.com 38 Par rapport à ces critères comment se positionne votre offre ? L’approche de SonicWALL est simple : nous pensons que les solutions de sécurité doivent être suffisamment « intelligentes » pour s'adapter de manière dynamique à l'évolution des entreprises et des menaces, et ce, dans le monde entier. Pour SonicWALL, les clients aux quatre coins du globe doivent être à même de contrôler, gérer et protéger facilement et automatiquement leur réseau global. En outre, les clients doivent être en mesure de recevoir et de partager des données concernant les menaces et la défense, afin d'anticiper les attaques et d'y mettre fin avant même qu'elles se produisent. SonicWALL® Application Intelligence permet aux appliances de sécurité réseau SonicWALL d’étendre la protection, la gestion et le contrôle du trafic sur la couche applications (via plus de 2700 signatures d’applications uniques), sans négliger les menaces traditionnelles visant la couche réseau. P o u v ez - v o u s n o u s p r és en t er l e p r o j et SuperMassive ? So nic WALL a ré c e m m e nt anno nc é Pro je c t SuperMassive, la première plate-forme et technologie de sécurité de «nouvelle génération », capable de détecter et de contrôler les applications, les intrusions, et bloquer les malwares à une vitesse de 40 Gbps sans générer de latence réseau. Le Projet SuperMassive repose sur une architecture multiprocesseur de grande puissance basée sur les processeurs OCTEON® de Cavium Networks tournant sur le châssis multilame de SonicWALL. Le moteur unique RFDPI de SonicWALL est capable de scanner, d’identifier et de contrôler les applications, tout en protégeant simultanément contre les intrusions, virus, logiciels espions et autres chevaux de Troie, sans compromettre les performances. De plus, la technologie RFDPI s’appuie sur les bases de données de réputations du réseau GRID SonicWALL, source supplémentaire de renseignements pour les 1.6millions de firewalls SonicWALL à travers le monde. Cette solution sera commercialisée très prochainement. SonicWALL sera présent aux Assises de la Sécurité : nous invitons les participants à venir découvrir le Projet SuperMassive et nos autres ●●● solutions Grands Comptes. 1) identifier par application, groupe d’utilisateurs/utilisateurs, inspection du contenu 2) catégoriser par application, catégories d’applications, destinations, contenu, groupes d’utilisateurs/utilisateurs 3) contrôler en faisant de la prioritisation et de la gestion des applications et des flux, bloquer les attaques (IPS, GAV, etc.) PUBLI INFO PUBLI INFO PUBLI INFO PUBLI INFO PUBLI INFO PUBLI INFO PUBLI INFO PUBLI INFO PUBLI INFO PUBLI INFO PUBLI INFO PUBLI INFO Les 10 règles d'or pour administrer un firewall 3Par Matthieu Bonenfant, responsable du pôle « Mesure & Amélioration Continues de la Sécurité » chez ADVENS Pour une administration efficace et optimale en termes de sécurité, il convient de respecter certaines règles de base, notamment en ce qui concerne la conception et l’usage des politiques de filtrage firewall, mais aussi l'administration et la bonne gouvernance des firewalls : 1• Ordonner la politique de sécurité par thème pour une meilleure lisibilité : les différentes règles d'une politique de sécurité doivent être classifiées soit par zone (LAN vers DMZ, Externe vers DMZ, etc.), soit par type de flux (flux métiers, surf Internet, etc.). 2• Simplifier les règles au maximum, supprimer les règles inutiles ou désactivées. Mettre une date d'expiration sur des règles de flux temporaires. 3 • N'autoriser que les flux explicitement validés. Ne pas utiliser de « ANY » dans les règles, sauf cas particuliers : en source pour la publication de services sur Internet, « ANY » en destination pour le surf Web, « ANY » en services pour les tunnels VPN avec des sites distants de confiance, tout en ayant une analyse régulière des logs sur ces flux. 4 • Activer la traçabilité des connexions, mais éviter de loguer les flux broadcast, souvent trop nombreux, tout en connaissant leur existence et la source de ces évènements. 5• Créer une console d'administration Firewalls dans une DMZ Administration dédiée, et y restreindre son accès aux administrateurs autorisés. 6 • Créer des comptes nominatifs pour l'accès au firewall, ne pas utiliser de comptes génériques. Changer les mots de passe régulièrement. 7 • Sécuriser le transfert d'informations entre les administrateurs Firewall : commenter toutes les règles de la politique de sécurité et les changements apportés à ces règles. L'usage d'une « main courante » ou d'un journal d'administration permet une investigation a posteriori en cas d'incident lié à des faits d'administration. 8 • Sauvegarder régulièrement les configurations des Firewalls sur la console d'administration et les stocker dans un espace sécurisé tiers (coffre). 9 • Surveiller régulièrement le statut des firewalls, leur niveau de mise à jour et consulter les journaux d'événements pour identifier des erreurs de configuration ou des incidents de sécurité. 10• Appliquer un processus ITIL de gestion du changement de la politique de sécurité : planification et revue des changements en comité consultatif. Réaliser une revue régulière de toutes les règles pour identifier des éventuels chevauchements, superpositions ou dou- ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 39 THÉMA Paroles d’Editeurs Par Marc Jacob La sécurisation du poste client est une telle préoccupation du monde de la SSI, consultants, RSSI… que certains se posent même la question d’intégrer les firewalls dans les cartes réseaux. Face à ce courant, les fournisseurs d’équipement de firewall émettent des réserves, en particulier par rapport à la centralisation de l’administration de cette nouvelle architecture. Pour eux, la sécurité du poste client est complémentaire au déploiement de firewall. * NDLR : le rachat de McAfee par Intel semble confirmer cette remarque Certains consultants estiment que « les éditeurs de solutions firewalls, et surtout ceux qui proposent des appliances, ont du souci à se faire s’ils ne vont pas vers le poste de travail utilisateur. D’ailleurs, le firewall pourrait même être intégré dans les cartes réseaux* ». Du côté des éditeurs de firewall, trois tendances semblent s’imposer : ceux qui, comme Check Point ou Arkoon, ont une stratégie d’acquisition pour offrir des solutions complémentaires, en particulier dans le domaine du chiffrement, ceux qui élargissent le spectre des services proposés dans leurs appliances, comme Netasq, enfin ceux, comme EdenWall Technologies, qui se spécialisent sur un segment ou qui surfent sur des créneaux porteurs comme Stonesoft avec la virtualisation. Bien sûr, ces stratégies peuvent également s’entrecroiser, en particulier dans le domaine de la virtualisation, où pratiquement tous les éditeurs apportent « leur petite pierre » à la sécurisation de ces environnements, source de business important pour les prochaines années. Face à cette acception, tous les éditeurs sont d’accord, le déploiement de firewall sur les cartes réseaux pose, entre autres, le problème de leur administration centralisée. Pierre Calais, VP Netasq, Ingénierie et Opérations, se pose plusieurs questions : « en prenant comme hypothèse que la fonction de Firewall soit intégrée dans la carte réseau, quel serait le « réceptacle » de cette carte ? Comment cette solution serait-elle administrée ? Nous pouvons prendre l’exemple de certains équipements réseaux qui intègrent la fonction de firewall, est-ce pour 40 autant que le marché du firewall n’existe plus ? Non ! Plus sérieusement, le firewall dans cette configuration serait une vision très restrictive ». Chez Fortinet, José Grandmougin, Consultant Senior Europe, rappelle que le firewall est déjà sur le poste de travail, les PC étant aujourd’hui tous (ou quasiment) équipés de logiciels firewall. Toutefois, ces déploiements n’empêchent pas le besoin de la présence du firewall au niveau du réseau, qui, par ailleurs, ne représente qu’une partie de la sécurité de l’entreprise... Il n’y a donc pas de nouveauté sur ce point. De plus, le principe de base du firewall réseau est de cacher les vraies adresses IP des PC avec du NAT (network address translation) et de le faire de façon plus intelligente qu’un simple routeur. Donc, comment gérer les alertes ? Par exemple, si 5.000 PC se font attaquer en même temps, alors ces PC remonteront-ils simultanément des alertes ? Enfin, imaginer une intégration avec les cartes réseaux n’est pas pensable : comment mettre à jour ces cartes réseaux ? Et la gestion ? Comment faire respecter les politiques de sécurité ? Comment définir les différents types d’utilisateurs, etc. ? Quid de l’authentification ? Sans parler du coût exorbitant en comparaison de l’installation et la maintenance d’un seul boitier firewall pour sécuriser le réseau ! Effectivement, reprend Léonard Dahan, Country Manager France & Benelux de Stonesoft : « dans le cadre d’une intégration du firewall au niveau des cartes réseaux, il faudra prendre en compte l’administration centralisée, la gestion des politiques de sécurité, ainsi que les contraintes de maintien en conditions opérationnelles de l’ensemble de ces cartes réseaux ». ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com THÉMA … Et l’avénement du Cloud ne résoudra pas le problème pour autant Thierry Rouquet, CEO d’Arkoon Network Security, constate qu’une partie de la profession pense effectivement que la sécurité périmétrique matérialisée par les firewalls/ UTM tend à disparaître au profit de contrôles réalisés directement au niveau du cloud, public ou privé, d'une part, et sur le poste de travail, d'autre part. Dans ce schéma, des réseaux logiques bâtis sur des technologies d'encapsulation, de VPN, ou encore de P2P permettent d'assurer la confidentialité des échanges. Cette vision est séduisante, car elle permet un usage généralisé d’Internet et des ressources cloud via des applications de collaboration point à point, elle est aussi cohérente avec le développement exponentiel des usages nomades. « Nous pensons néanmoins que la porte d'entrée du réseau doit rester un point de contrôle fort et assurer une étanchéité nette : protection des données topologiques des réseaux, filtrage des protocoles et des couches réseaux, établissement de tunnels sécurisés, filtre antimalware. En réalité, la mise en œuvre des « défenses en profondeur » et de la politique de sécurité doivent pouvoir intervenir à la fois au niveau du réseau, au niveau des centres serveur ou du cloud et, bien entendu, du poste de travail, celui-ci constituant le maillon faible, notamment en raison du comportement de l'utilisateur. Ce nouveau paradigme implique une mise en cohérence entre tous les mécanismes de sécurité qu'ils soient mis en oeuvre sur le réseau, dans le cloud ou sur le poste de travail. Il conduit le facteur de forme de l'appliance à évoluer : appliance physique haute performance qui contrôle les flux en entrée du centre serveur, appliance virtuelle qui segmente les applications et les services, appliance de connexion de site distant qui s'appuie sur le cloud pour les services complémentaires au firewall ». A chacun sa solution pour renforcer la sécurité des postes clients Tous nos éditeurs estiment que le durcissement du poste client devient « un must ». Dans ce domaine, chacun a sa stratégie. Pour Michael Amselem, Head of European Sales Endpoint Solutions de Check Point Software Technologies, elle passe par une stratégie de rachat d’entreprise : « Check SOFTWARE PROVIDERS HAVE THEIR SAY CLIENT TERMINAL SECURITY APPLICATIONS SHOULD BE COMPLEMENTARY TO FIREWALL PROTECTION BY MARC JACOB Securing client terminals is such a concern for IT security consultants, ISSMs etc, that some advocate the integration of firewalls into the network cards. Firewall suppliers are dubious however, in particular with respect to the problems of centralising the network management system for this type of architecture. Their view is that client terminal security measures should be complementary to firewall implementation. ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 41 La fin du pare-feu traditionnel : quelle solution pour demain ? PUBLI-INFO Par Yann Pradelle, Regional Director France Belux Spain Portugal & Northern Africa - de Fortinet Le monde de la sécurité s’agite beaucoup au sujet des « parefeu de nouvelle génération » (Next-Generation Firewall ou NGFW), vu par certains comme Yann Pradelle une technologie novatrice. En réalité, un NGFW n’est qu'une forme de gestion unifiée des menaces (Unified Threat Management ou UTM), voire une simple évolution du pare-feu traditionnel. En effet, s’il est évident que les produits pare-feu offrent aujourd’hui plus de fonctionnalités et de capacité que ceux de première génération, cette évolution ne fait que répondre aux changements qui se sont effectués au niveau du trafic, des applications et des menaces qui les visent. FORTINET Contact : Yann Pradelle Tél. : +33 (0) 1 58 58 28 64 E-mail : [email protected] Web : www.fortinet.com 42 Face à ces changements, la nouvelle stratégie de sécurité des entreprises repose-t-elle en l’adoption de produits NGFW ? Faut-il plutôt considérer l’UTM ? Ou encore, comme l’indique l’analyste Richard Stiennon, les solutions UTM sontelles tout simplement la nouvelle génération de pare-feu*? La technologie NGFW n'est pas si nouvelle que les campagnes marketing le prétendent. Décrite comme l’intégration étroite entre pare-feu, IPS, des technologies VPN et des fonctions de contrôle applicatif, elle offre des fonctionnalités depuis longtemps proposées par d’autres produits de sécurité. Une des technologies NGFW présentée comme une des dernières innovations majeures est la visibilité des applications, associée à des fonctions de contrôle. Mais est-ce réellement une innovation ? Le contrôle applicatif est tout simplement la capacité à détecter une application en fonction de son contenu et non du protocole traditionnel de la couche 4. Alors que l’on bascule vers un modèle de distribution basé sur le Web, la capacité à détecter une application en fonction de son contenu est importante. Cependant, elle n’est pas particulièrement innovante car elle ne fait que déplacer le contrôle applicatif au niveau de la couche 7 du réseau. C’est une différence importante, mais pas suffisante pour justifier la désignation d’une nouvelle catégorie de pare-feu. Le contrôle applicatif est donc amené à subir le sort d’autres technologies telles que le NAC (Network Access Control) et le DLP (Data Loss Prevention) qui ont d’abord été identifiées comme des pans entièrement nouveaux du secteur, puis ont été réduites à de simples fonctionnalités. La réalité du monde de la sécurité montre que l’inspection approfondie de tous les contenus est essentielle. La simple approche d’autorisation/ blocage des applications NGFW ne suffit pas. Ainsi, pour se protéger contre le récent virus Conficker, une entreprise devait avoir un parefeu, un filtrage Web, un antivirus réseau et hôte, un système IPS, et un anti-spam, en plus d’un mécanisme efficace de mise à jour automatique de tous ces composants. La solution UTM a ici un vrai rôle à jouer. Il s’agit véritablement d’une catégorie de produit qui englobe les pare-feu de nouvelle génération pour assurer au-delà du contrôle applicatif, une protection complète du contenu. Elle intègre la fonctionnalité de contrôle applicatif, mais les technologies qu’elle utilise sont plutôt axées sur l’analyse précise du contenu des applications légitimes et sur le blocage des applications indésirables pour assurer qu’aucune menace transite par leurs échanges. Le défi majeur que les éditeurs de solutions UTM doivent aujourd’hui relever est la capacité à s’adapter aux déploiements de grande échelle dans les entreprises. En effet, le volume de contenu à inspecter est significativement plus élevé que celui traité par les pare-feu traditionnels ou NGFW. Or, la détection et la protection contre les menaces les plus complexes sont très exigeantes en bande-passante. Il est donc essentiel pour les éditeurs UTM de faire évoluer leurs solutions dans le domaine d’accélération matérielle pour répondre aux besoins des entreprises. C’est ce que Fortinet offre aujourd’hui à travers sa gamme de produits FortiGate. L’utilisation d’accélération matérielle permet d’assurer l’analyse des menaces et le réassemblage du trafic en temps réel à un débit pouvant atteindre le gigabit. L’intégration des fonctionnalités de sécurité (pare-feu, IPS, VPN, contrôle applicatif, DLP, filtrage Web, etc) passe par la combinaison de composants matériels spécifiques à une accélération ASIC permettant d’assurer la réduction des délais de traitement et un débit élevé du trafic applicatif. Une fois les questions de latence et de résilience réglées, l’UTM devient une solution rentable, apportant un haut niveau de sécurité, et facile à gérer pour les entreprises. Une solution haut de gamme, qui répond aux besoins de ●●● sécurité de « nouvelle génération ». * cf l’analyse de Richard Stiennon: “UTM is the next generation firewall” publiée pour Gerson Lehrman Group le 13 juillet 2010. PUBLI INFO PUBLI INFO PUBLI INFO PUBLI INFO PUBLI INFO PUBLI INFO PUBLI INFO PUBLI INFO PUBLI INFO PUBLI INFO PUBLI INFO PUBLI INFO THÉMA Paroles d’Editeurs Point en tant que spécialiste de la sécurité réseaux a une approche très claire par rapport aux solutions Endpoint. C’est un élément très important de notre offre. A travers nos différentes acquisitions, comme celle de Pointsec (Protect Data) et, plus récemment, de Liquid Machines, nous avons développé et étoffé une suite complète de solutions pour les postes de travail. Il s’agit pour nous de compléter et d’étendre les capacités de nos produits, tant software qu’Appliance, de la passerelle Firewall au poste de travail afin de permettre à nos clients d’implémenter des politiques de sécurités plus efficaces, plus simples et de les optimiser grâce à une console d’administration unique ». Chez Arkoon, reprend Thierry Rouquet, « nous disposons avec StormShield (SkyRecon) d'une solution performante de protection du point d'accès, nous avons beaucoup investi dans notre offre FAST360 pour l'adapter à cette nouvelle donne, notamment en matière de virtualisation, et nous travaillons à permettre, au travers de nos plates-formes de management et de reporting, la gestion d'une politique de sécurité cohérente du point d'accès au centre serveur en passant par le réseau ». Chez Netasq, Pierre Calais explique : « nous proposons davantage de fonctions de sécurité, c’est pour cela que depuis longtemps la notion de firewall est couplée avec celle de l’IPS. De plus, un firewall permet de mettre en place une politique de sécurité pour l’ensemble d’un réseau au travers de règles de filtrage ; pouvons-nous envisager de définir des règles de sécurité pour l’ensemble d’un réseau avec des cartes réseau ? Les solutions de sécurité périmétriques sont et seront évidemment accompagnées dans l’avenir par des produits complémentaires. Cela ne changera en rien le fait que cette sécurité périmétrique continuera d’évoluer et d’exister, car elle est indispensable dès que l’on est connecté à Internet. Prenons le parallèle avec des systèmes d’alarmes très performants qui seraient posés sur les portes, cela voudrait-il dire qu’il n’y a plus de serrures aux portes ? Cependant, l’évolution des offres de sécurité vers l’appliance virtuelle et la sécurité embarquée épouse logiquement l’évolution future des infrastructures informatiques. Bien plus que cela les dispositifs de type « sécurité périmétrique » du fait de la virtualisation vont se multiplier dans l’avenir pour venir au plus près des applications. En conclusion, interrogeons-nous sur la nature du rapport entre la sécurité périmétrique et le poste de travail de l’utilisateur ? » EdenWall Technologies a choisi de mettre l’utilisateur au centre des appliances en prenant le parti de s’intéresser à l’identité de l’utilisateur ce qui permet de déporter le problème sur le poste de travail tout en gardant une administration centralisée. Ainsi, explique Eric Leblond, CTO d’EdenWall Technologies, « le but premier et la raison d'être d'une solution firewall sont d'assurer la protection des biens d'une entreprise en réalisant un contrôle des flux réseaux. Le firewall d'entreprise par son rôle de garde-barrière reste donc d'actualité. Les solutions classiques du marché assurent de manière satisfaisante le contrôle des flux dans le sens extérieur vers intérieur, mais cela est beaucoup plus difficile pour les flux internes : des questions simples comme parvenir à limiter les accès à une application critique en fonction des profils des personnes trouvent difficilement des réponses. Le but d'EdenWall Technologies en mettant au centre de ses appliances l'utilisateur et l'identité est d'offrir une solution simple à ce genre de problématiques. En ce sens, nous considérons qu'il est nécessaire de se rapprocher du poste de travail de l'utilisateur pour justement intégrer l'utilisateur aux politiques de filtrage. Concernant l'idée d'un firewall intégré aux cartes réseaux, cela peut aboutir à une sécurité du poste de travail augmentée, car ne reposant pas sur le système d'exploitation installé. Cependant, ce n'est dans le cadre de l'entreprise qu'une brique complémentaire à une solution centralisée : ce n'est pas parce que mes postes de travail se protègent que mes serveurs sont protégés (notamment de l'attaque d'une machine non équipée du pare-feu connectée au réseau). Il est donc indispensable de garder un dispositif central garant de la sécurité entre les différents réseaux. Pour résumer, le poste de travail et l'utilisateur sont les grands laissés pour compte des solutions firewall traditionnelles et c'est en intégrant ces deux entités que les éditeurs pourront offrir une réponse globale à la sécurisation des réseaux et des systèmes d'information afférents ». José Grandmougin est totalement d’accord sur le fait qu’il faut sécuriser le poste utilisateur : « d’ailleurs, nous proposons des solutions qui vont dans ce sens. Toutefois, nous estimons que cette sécurité n’est pas suffisante et ne remplace pas le besoin d’un firewall réseau ». « Chez SonicWALL, nous proposons des solutions gateway avec quelques éléments pour la sécurisation des postes de travail (anti-virus, anti-spyware, client VPN IPsec et SSL) ou encore l’EPC (SSL VPN). Les firewalls personnels de postes finissent toujours par rendre le travail et la gestion des postes nomades impossible. Mais de là à dire qu’un firewall personnel embarqué sur une carte réseau va aujourd’hui éradiquer les firewalls de cœur de réseau, c’est quand même extravagant… » estime Florian Malecki, EMEA Enterpise Product Marketing Manager. Et Léonard Dahan de conclure : « si la cible est de faire des politiques par application et/ou par utilisateur, alors la visibilité et le contrôle du trafic, transitant sur le SI, se voit amélioré ainsi qu’une meilleure prévention des menaces à la source (ex : propagation de vers…). Par contre, nous préconisons cette solution comme un complément au firewall traditionnel ». ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 43 © Sebastian Kaulitzki COUPE DU MONDE DE LA FIFA : DOUBLE DOSE DE SPAMS POUR LES INTERNAUTES FRANÇAIS Par Marc Jacob et Emmanuelle Lamandé Si les fameuses Vuvuzelas ont assourdi tous les fans de foot, le spam a comme à son habitude, pour chaque évènement médiatique, pollué les PC du monde entier. Dans ce domaine, les internautes français grâce à la « bienveillance » de nos législateurs ont bénéficié d’une « double dose » de spam avec l’autorisation de l’ouverture des sites de jeux en ligne. Une aubaine supplémentaire pour les pirates informatiques toujours à l’affût de bénéfices juteux en quasi toute impunité. Comme pour tout évènement médiatique, les pirates informatiques se sont rués sur la Coupe du monde pour adresser du spam aux internautes, et ce depuis la fin de l’année dernière, date à laquelle on connaissait les noms de tous le s p ays qualifié s . Guillaume Lovet, Fortinet G u i l l au m e L o v e t , Responsable de l’équipe EMEA anti-menaces chez Fortinet, déplore que chaque évènement dont la résonance est mondiale (évènements sportifs, catastrophes naturelles, mort d'un « people », fêtes religieuses, etc.), génère la circulation de nombreux scams. En revanche, Fernando Cima, Senior Security Architect, Security Center of Excellence, Microsoft Corp, n’a pas constaté une recrudescence particulière du spam, même si chaque événement médiatique majeur est utilisé pour tromper les utilisateurs et leur faire télécharger des chevaux de Troie. On peut donc s’attendre à ce que la Coupe du monde de football ait pu engendrer des attaques. Selon le rapport Symantec de juillet 2010 44 sur le Spam et le Phishing, le nombre de messages comportant les mots clefs liés à la Coupe du Monde (dans l’objet du courriel) aurait été plus de neuf fois plus important pendant cette compétition que pendant celle de 2006. Toutefois, il faut aussi se rappeler que Luis Corrons, PandaLabs le nombre de spams est multiplié par deux chaque année, donc, en 4 ans, le spam aurait pu être 8 fois plus nombreux... Cette statistique est, en conséquent, loin d’être alarmante. Bien sûr, comme l’évoque Luis Corrons, Directeur du PandaLabs de Panda Security, l’objectif des pirates informatiques reste le même, le « Gain ». Le BlackHat Search Engine Optimization : la méthode la plus utilisée par les pirates ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com © Boguslaw Mazur MALWARES BUSTERS MALWARES L’ARJEL, complice involontaire des pirates… Benois Grunemwald, ESET François Paget, McAfee La modification de la règlementation française en matière de jeux en ligne a fait de l’ARJEL un complice involontaire des pirates. En effet, lors de cette coupe du monde, des sites de jeux en ligne frauduleux proposant de fausses offres de la FIFA ont fleuri aux quatre coins de la toile. Ainsi, François Paget, chercheur de virus chez McAfee, a recensé : • Des sites de loterie faussement attribués à la FIFA (tout comme avec le scan 419, « l’he ure ux gagnant » se verra demander d’avancer des frais pour certains honoraires). • Des fichiers pdf à l’attention des fans de foot qui exploitent une vulnérabilité (CVE-2010-0188). • La mise en avant dans les moteurs de recherche de pages piégées (search engine poisoning techniques). • En Chine, des utilisateurs de smartphone Symbian S60 2e génération se sont retrouvés face à un programme malveillant dont l’une des accroches était « Free World CUP VOD ». Pour les uns, ce programme participait à la mise en place d’un botnet, pour d’autres, il envoyait des SMS surtaxés (SymbOS/ShadowSrv). Sans compter, une campagne de spam ayant mis en scène une agression à l’encontre de l’entraîneur Dunga. Le lien proposé était en fait une redirection vers un site piégé dédié à l’implantation d’une variante du fameux PWSBanker. Source : McAfee Chez ESET France, Benoit Grunemwald, son Directeur Commercial, comme pour Loïc Guézo, Re sponsable Te c h n iq u e , IBM Security Solutions, on a constaté que la méthode la plus utilisée est le BlackHat Se arch Engine Optimization. Par cette technique, les pirates mettent en Loïc Guézo, IBM avant sur les moteurs de recherche des sites corrompus qui forcent le téléchargement des menaces sur les PC des visiteurs. Le but restant toujours le même, infecter la machine pour s'en servir comme relais de spam ou voler des mots de passe. © Boguslaw Mazur BUSTERS Pour François Paget, l’évènement majeur est, en fait, la conjonction de la coupe du monde de football avec, pour la France, l’ouverture à la concurrence et à la régulation du secteur des jeux d’argent et de hasard en ligne. Pour pouvoir proposer aux joueurs français des jeux d’argent en ligne, une douzaine d’opérateurs ont bénéficié d’une licence après qu’ils aient démontré avoir rempli les critères énoncés par la loi du 12 mai 2010 et suite à leur contrôle par une autorité administrative indépendante : l’Arjel (Autorité de régulation des jeux en ligne www.arjel.fr). THE WORLD CUP AND FIFA : A DOUBLE DOSE OF SPAM FOR FRENCH WEB SURFERS BY MARC JACOB AND EMMANUELLE LAMANDÉ While the famous Vuvuzelas were deafening the football fans, spam continued, as is customary for all media events, to pollute PCs around the world. Thanks to the ‘benevolence’ of the French legislators, French web surfers benefited from a double dose of spam with the authorization of online gambling. An additional windfall for cyber criminals who are always on the lookout for low-risk, easy gains. ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 45 MALWARES A l’occasion de cette coupe du monde, nous avons donc vu apparaître dans nos boîtes à lettre des courriers non sollicités, et lors de nos visites sur des sites, tels que celui de Météo-France, des bandeaux publicitaires vantant ce nouveau type de jeux. Même s’ils venaient parfois d’organismes non agréés, les premiers spams avaient une certaine dose de professionnalisme. Après quelques jours, les affiliations en vue de campagnes publicitaires ayant dû se multiplier, les messages sont devenus bien moins lisibles... et malheureusement beaucoup plus nombreux. Certains spécialistes du spam allant jusqu’à envoyer dans la même journée des publicités pour pluFernando Cima, Microsoft Corp sieurs opérateurs différents auxquelles s’ajoutaient les mêmes jours d’autres types d’offre... Au final, cette ouverture à la concurrence des jeux en ligne a sans doute fait l’affaire de tous les opérateurs et de l’Etat, mais il a aussi permis aux spammeurs de tirer de juteux bénéfices. Dans ce nouveau paysage, seul l’inter■■■ naute peu avisé est le « dindon de la farce » ! 30 novembre 8h30 – 18h00 GS Days © Boguslaw Mazur BUSTERS Le top 10 de Symantec des titres utilisés dans l’objet du mail : 1. FIFA World Cup South Africa… bad news (La Coupe du Monde de FIFA… mauvaises nouvelles). 2. World Cup: Uruguay Beats South Korea 2-1 (Coupe du Monde: l’Uruguay bat la Corée du Sud 2-1) 3. Germany beats England 4-1 in World Cup (L’Allemagne bat l’Angleterre 4-1 lors de la Coupe du Monde) 4. ONGOING FIFA WORLD CUP LOTTERY SOUTH AFRICA 2010. (En cours : Loterie sur la Coupe du Monde d’Afrique du Sud de 2010) 5. World Cup: Germany Defeats England 4-1 (Coupe du Monde : L’Allemagne bat l’Angleterre 4-1) 6. SOUTH AFRICAN WORLD CUP 2010. (Coupe du Monde d’Afrique du Sud 2010) 7. Oil spill teams keep wary eye on storm in Gulf (Suite à la marée noire, les équipes restent prudentes face à la tempête dans le Golfe) 8. World Cup: Argentina Beats Mexico 3-1 (Coupe du Monde: l’Argentine bat le Mexique 3-1) 9. Ghana beat US, reach first World Cup quarter-final (Le Ghana bat les Etats-Unis, accédant pour la première fois aux quarts de final de la Coupe du Monde) 10. World leaders slam North Korea, Iran (Les leaders mondiaux anéantissent la Corée du Nord et l’Iran) http://www.globalsecuritymag.fr/Allemagne-2006Afrique-du-Sud-2010,20100712,18537.html 44444Espace Saint-Martin - Paris 3 èm Journées Francophones de la Sécurité Ce colloque, exclusivement en français, proposera, dans un même espace, plusieurs cycles de conférences et de démonstrations d’attaque informatique, sous un angle technique, organisationnel et juridique. La 2ème édition des GS Days s’articulera autour d’un thème prépondérant : la fusion des mondes professionnels et personnels, mais aussi physiques et numériques. Un thème qui ouvre la porte à différents axes, tels que la mobilité, les réseaux sociaux, les Web Services… Pour plus d ’informations, rendez-vous sur le site : www.gsdays.fr ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 47 © Francesco Bisignani © AYAKOVLEVdotCOM BUSINESS INTELLIGENCE CLEARSTREAM, MICHELIN : QUELS ENSEIGNEMENTS POUR LE DROIT DE LA SÉCURITÉ ? Par Thibault du Manoir de Juaye, Avocat à la cour - www.france-lex.com Il y a des décisions de justice qui sentent le souffre, d'autres le caoutchouc. La décision sulfureuse, c'est celle de Clearstream datant du 28 janvier 2010. L'autre jugement, émanant du tribunal correctionnel de Clermont Ferrand, en date du 21 juin 2010, concerne Michelin. Ces deux décisions ont un point commun: le fondement de la condamnation... l'abus de confiance. Dans le cas Clearstream, certains y voient un procès politique aux remugles staliniens; d'autres y décèlent un apport à la protection juridique du secret des affaires, apport qui intéresse donc tous les praticiens de la sécurité. L'histoire a été contée par le menu par la presse. On peut se contenter de la replacer brièvement dans son contexte. Un salarié d'une société d'expertise comptable, Florian Bourges, est chargé de procéder à un audit des comptes de la société Clearstream. Il profite alors de sa situation pour recueillir des « documents de travail, existant sous la forme de fichiers de transactions, fichiers « mémos » et de listings de comptes clients ». Puis il rencontre un journaliste, Denis Robert, les lui remet, les communique par la suite à Imad Lahoud. La fin de l'histoire est connue. Le fondement de la poursuite contre Florian Bourges était, d'une part, le vol et, d'autre part, l'abus de confiance, qualifications qui pourraient apparaître comme antinomiques en l'espèce. Les autres prévenus étaient essentiellement poursuivis pour recel. L'autre jugement émane du tribunal correctionnel de Clermont Ferrand, en date du 21 juin 2010. Un salarié de Michelin a été condamné ce jour là par le tribunal correctionnel de Clermont Ferrand à deux ans de prison avec sursis, 5000 euros d'amende, 10 000 euros au profit de son employeur et 2000 euros pour frais de procédure. La faute de ce salarié : avoir tenté de vendre des informations confidentielles au principal concurrent de Michelin, la société Bridgeston, et ce après avoir quitté l'entreprise. L'histoire tient bien heureusement plus du roman que du pain quotidien des entreprises. Le salarié félon aurait contacté Bridgestone qui en aurait informé Michelin. Cette société aurait eu recours à une équipe de faux nez pour piéger son salarié, qui aurait imaginé une société fictive FUKUDA. Le geste de Bridgestone apparaît trop généreux, trop moral pour être réel quand on connaît la compétition acharnée que se livrent les deux fabricants de pneumatiques. Mais comme il s'agit de la version officielle, adoptons là. 48 Le fondement de la condamnation : l'abus de confiance Pourtant un point commun entre ces deux décisions : le fondement de la condamnation : l'abus de confiance. Une telle qualification n'est pas nouvelle et la petite stagiaire chinoise de chez Valéo avait été condamnée sur le même fondement de l'article 314-1 du code pénal : « L'abus de confiance est le fait par une personne de détourner, au préjudice d'autrui, des fonds, des valeurs ou un bien quelconque qui lui ont été remis et qu'elle a acceptés à charge de les rendre, de les représenter ou d'en faire un usage déterminé. » Les tribunaux doivent donc examiner s'il existe bien un détournement et s'il a été commis volontairement. Y a-t-il détournement ? Le raisonnement juridique est simple : une information est remise dans un but déterminé et étant utilisée à d'autres fins, il y a abus de confiance au sens de l'article du code pénal. Toute la difficulté est de savoir si une information peut être un « bien quelconque ». Les avocats de Florian Bourges soutenaient qu'un bien est forcément un élément matériel et que le texte ne pouvait s'appliquer à l'information. Le tribunal utilise, d'ailleurs, alternativement ou simultanément les expressions de « documents » et « informations », ce qui pourrait sous-entendre qu'il y eu appréhension de documents sur support papier, ce qui ne semble pas être le cas. Le tribunal correctionnel de Paris a considéré que le détournement d'information était possible, même s'il s'agissait d'un élément immatériel. L'argument a été soulevé également par Maître Portejoie, le conseil du salarié félon de Michelin, et n'a pas plus été retenu par le tribunal clermontois. ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com © Pinchuk Alexey BUSINESS INTELLIGENCE L'élément intentionnel ou la volonté de détourner Il a, en outre, pris soin de préciser que Monsieur Florian Bourges était lié par une clause de confidentialité. « Monsieur Bourges Florian s’engage à conserver, de façon la plus stricte, la discrétion absolue sur l’ensemble des informations qu’il pourra recueillir à l’occasion de ses fonctions(...) Il veillera à ce qu’aucun document ou information ne soit montré, divulgué ou relaté à des tiers sans l’autorisation préalable du client concerné, sauf instruction formelle d’une juridiction ou d’un organisme officiel (...) Ces obligations demeureront même après la fin du présent contrat quelle qu’en soit la cause. » En conséquence il connaissait le caractère confidentiel des informations auxquelles il avait accès. De plus, il avait utilisé un pseudo pour tenter de monnayer l'information. De ce fait, le détournement d'informations avait été fait de manière intentionnelle et en toute connaissance de cause. L'affaire devant le tribunal correctionnel de Clermont Ferrand se présentait différemment puisque la volonté du salarié félon était manifeste. Cependant, le conseil de ce dernier avait avancé un autre argument qui mérite qu'on s'y attarde. Maître Portejoie soutenait qu'il n'y avait qu'une tentative d'abus de confiance, qui n'avait pas aboutie puisqu'aucune information n'avait été cédée à un concurrent de Michelin. Par ailleurs, le salarié félon n'avait pas collecté des informations dans le but de les vendre, mais avait simplement tenté de monnayer les informations auxquelles il avait eu accès dans son activité professionnelle. Or, la tentative d'abus de confiance n'est pas punissable contrairement à d'autres infractions. Les praticiens de l'IE et les juristes en tireront la leçon. Il faut pouvoir montrer l'élément intentionnel, ce qui sera grandement facilité si les engagements du détenteur de l'information sont formalisés. Il ne faut donc pas hésiter à préciser dans les différentes clauses de confidentialité l'usage qui doit être fait de l'information qui est remise. En conclusion, point besoin d'une légalisation sur le secret des affaires puisqu'il se trouve protégé de plusieurs manières : • Si l'information a été remise volontairement à un salarié ou à un partenaire, il va être possible de recourir à l'abus de confiance ; • Si l'information n'est pas remise à une personne de manière volontaire, la loi contrôle le moyen d'accès à cette information par le biais de texte spécialisé par exemple, les dispositions réprimant l'accès frauduleux à un système informatique, la protection de la vie privée, etc. Toutefois, la protection est théorique si l'on ne parvient pas à prouver l'appropriation indue de l'information. Il fau- drait dès lors prévoir une saisie « contrefaçon » du secret des affaires pour accroitre notre efficacité procédurale. Il faut souligner que, tant dans l'affaire Clearstream que dans celle de Michelin, d'autres infractions avaient été envisagées. Florian Bourges avait été ainsi poursuivi pour vol d'informations. Mais peut-on voler une information ? Pour Monsieur tout le monde, la question apparaît évidente et est positive. Pour le juriste, la situation est autre. En effet, si l'on me vole un objet, je ne l'ai plus. Or, à proprement parler, une information n'est pas volée puisqu'elle est toujours en possession de son détenteur initial. Elle est simplement recopiée. Toutefois, il existe certaines décisions de jurisprudence qui acceptent cette notion de vol. Le tribunal a esquivé la réponse sur ce point juridiquement important en cantonnant sa réflexion sur la notion de soustraction frauduleuse, c'est-à-dire l'appréhension contre la volonté du détenteur initial de l'information. Comme les informations et documents ont été remis volontairement à Monsieur Florian Bourges, il ne peut, d'après le tribunal, avoir vol. Le salarié de Michelin avait été lui poursuivi également pour atteinte aux intérêts vitaux de la Nation, motif qui n'a pas été retenu par le tribunal qui a considéré que l'on ne pouvait assimiler une grande entreprise à la Nation et a rouvert une discussion sur l'opportunité de modifier notre législation sur l'espionnage, qui n'est pas adaptée, voire inapplicable à notre environnement économique. S'il y a des réformes législatives à adopter, c'est certainement sur ce terrain qu'il faudra œuvrer. Enfin, évoquons le recel d'informations (obtenues frauduleusement) qui avaient été un des chefs de poursuite dans Clearstream. C'est un délit continu, c'est-à-dire tant que l'on possède encore l'information, il est possible d'être ■■■ poursuivi. CLEARSTREAM & MICHELIN WHAT ARE THE LEGAL CONSEQUENCES FOR IT SECURITY? BY THIBAULT DU MANOIR DE JUAYE, LAWYER Some legal decisions seem suspiciously harsh and others curiously clement. The suspiciously harsh decision was handed down in the Clearstream case on 28 January 2010. The other judgement, involving Michelin, was handed down by the magistrate’s court in Clermont Ferrand on June 21 2010. The prosecution in both of these cases was based on a breach of trust. ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 49 © Stephen VanHorn © Jelica Grkic RISK MANAGEMENT L’I-PHONOPHOBIE DU RSSI... Par Thierry Durand, Manager du pôle Audit et Conseil, NES « Quand on eut bien considéré l'intérêt du public, celui de la partie, le résultat enfin de la suprême Cour fut de condamner la Folie à servir de guide à l'Amour », voilà près de 320 ans que Jean de La Fontaine donnait cette chute à sa fable « L’Amour et la Folie ». Gageons que, grand observateur de la vie de ses contemporains, il illustrerait aujourd’hui le même propos en publiant « L’iPhone et le RSSI », ou l’inverse, comme nous l’allons voir ! L’iPhone est partout ! C’est un plébiscite ! Seuls quelques informaticiens ont encore des difficultés à le domestiquer. Il est apprivoisé par toutes les tranches d’âge, à la maison et dans l’entreprise, toutes cultures et toutes situations confondues … Mais la découverte quasi Thierry Durand, NES quotidienne des limites que l’iPhone impose à la sécurité conduit le RSSI à rechercher des outils de protections complémentaires et le moyen de les mettre en œuvre. Une liste de menaces qui ne cesse de s’allonger Le RSSI a déjà identifié les menaces qui pèsent sur les PDA et les SMARTPHONES. La probabilité de les voir s’exercer sur l’iPhone est augmentée par le succès de l’appareil, mais aussi par sa connexion permanente à Internet, réseau dont la confiance n’est pas la première des qualités : • Accès sans mot de passe, sauf choix à paramétrer, • Solidité du mot de passe, • Politique de gestion du mot de passe (renouvellement, etc.), • Mot de passe administrateur ‘standard’ sauf remplacement volontaire, • Protocole SSH accessible en WiFi sur appareils JailBreakés, • Mot de passe messagerie mémorisé pour accès ‘SSO’, • Robustesse du navigateur ‘Safari’, • Filtrage des URLs, • Virus et autres codes malveillants, en particulier sur 50 les i-Phone ‘JailBreakés’, • Accès WiFi administrateur à toutes les données, sans traces exploitables, •... L’iPhone fait peur au RSSI ! OUI, mais … que peut-il faire ? Peu de chance de voir des fonctionnalités de sécurité sur l’iPhone pour le moment… Apple vise aussi le marché des Entreprises et ne manquera pas d’embarquer dans l’iPhone des solutions de durcissement et de protection efficaces… mais quand ? Et avec quelles limites ? Il ne faut pas perdre de vue que l’iPhone fait l’unanimité parce qu’il est d’un usage simplissime et parfaitement intuitif. Toute évolution qui entacherait cette approche d’un quelconque relent d’informatique « traditionnelle » le ramènerait immédiatement au rang des Smartphones sous Windows 6 ou des BlackBerry. L’avantage étant alors perdu, l’ambition de pénétrer l’entreprise ne serait plus de mise ! Alors peut-on raisonnablement attendre d’Apple des réponses complètes aux frayeurs du RSSI qui voit déjà fuir les données de l’entreprise ? Probablement pas ! En tout cas, pas tant qu’un concurrent aussi habile en présentation ne proposera pas un niveau de sécurité très supérieur ! …Et la marge de manœuvre du RSSI est étroite Comme il le fait dans l’Entreprise, le RSSI voudrait imposer une politique de mot de passe, se réserver l’autorité d’administrateur, organiser les contrôles d’accès, ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com RISK MANAGEMENT garantir l’intégrité et la confidentialité, …, en un mot, appliquer la Politique de Sécurité du Système d’Information de l’entreprise aux données qui transitent sur les iPhone de son personnel. En a-t-il les moyens ? Il est probable que des solutions verront progressivement le jour pour répondre aux préoccupations du RSSI, mais alors restera-t-il un réel intérêt pour l’employéusager à disposer d’un iPhone plutôt que d’un Smartphone ou d’un BlackBerry ? Et pour l’entreprise, pourquoi s’engager dans cette voie mal balisée alors que les mêmes fonctions résultantes sont déjà servies par d’autres équipements maitrisés et performants ? Aujourd’hui, il semble bien que la demande vienne de l’usager plutôt que de l’employeur ! Et si, malgré l’équipement professionnel qui lui a été remis, l’employé-usager choisit à titre privé d’utiliser un iPhone ? Qui saura lui imposer des solutions de protection ? Qui saura l’empêcher d’y faire transiter des données de l’Entreprise ? Toutes les entreprises qui ont ouvert des accès ‘web’ à leur messagerie vont voir leurs iPhonistes diriger leur courrier vers leur iPhone (en mémorisant au passage leurs crédentiels d’accès professionnel) ! NON, décidément, le RSSI ne peut pas imposer les solutions qu’il juge nécessaires, d’autant que les risques viennent tout autant des iPhone privés sur lesquels l’Entreprise n’a pas de prise. Où est la faille ? Voilà des années que l’Entreprise laisse ses employé(e)s (cadres notamment) transporter des documents professionnels dans leur sac à main ou dans leur attaché-case. Ces objets de maroquinerie, privés et parfois luxueux, n’ont jamais été interdits dans l’Entreprise et leur robustesse n’y a jamais été contrôlée avant d’y autoriser le transport de documents. L’iPhone ne serait-il pas le premier né d’une génération de sacs à main numériques ou d’attachés-cases électroniques ? La question est pertinente si l’on songe à ce qu’il permet de ranger : photos, vidéos, musiques, documents, courriers, agenda, bloc-notes, répertoire, boussole, plans et cartes, journaux, magazines et presse, calculette, et tellement d’autres choses… et même un téléphone ! Sans compter que d’innombrables ‘applications’ viennent chaque jour enrichir cet inventaire à la Prévert ! Regardez les possesseurs d’iPhone, dans la rue, dans le train ou le métro, dans le bus, au bureau, à la maison … ils l’ont ‘en main’, ce n’est ni un ‘jouet’ ni un ‘outil’, c’est juste une sorte de ‘prolongement d’euxmêmes’ ! Laisser l’entreprise installer des protections sur son iPhone serait vécu par son ‘maître ’ comme lui imposer une carapace ou, pire encore, lui greffer des organes ! Et la sécurité dans tout çà ! Nous étions nombreux à répéter depuis des années que le « risque majeur » était installé entre la chaise et le clavier. Le clavier était alors le ‘point d’entrée’ du SI de l’Entreprise, le premier maillon ‘non humain’ de la chaîne d’accès au SI. Avec l’arrivée de l’iPhone, c’est ce maillon qui est remis en cause. L’utilisateur et l’iPhone tentent, ensemble, de ne faire qu’un …mais l’iPhone accède directement au SI ! Le « risque majeur » n’est plus installé entre la chaise et le clavier, il est installé entre la chaise et … le SI lui-même ! Avec tout ce qui a été dit sur l’iPhone et son usage en toute liberté, n’est-ce pas « folie » que de le laisser accéder au SI ? Bien sûr, le SI est protégé et va étendre sa protection à ce nouveau mode d’accès, mais on voit bien que c’est très insuffisant. Jean de la Fontaine suggérait que la Folie soit un guide pour l’Amour ; ne devrait-on pas espérer que l’iPhone et son maître devienne(nt) lui(eux)-même(s) un guide pour le RSSI ? Quand le comportement de l’homme (et de son iPhone) est un risque sans parade ou protection possible, c’est la sensibilisation de l’utilisateur qui doit réduire le risque. Le RSSI doit se laisser guider par l’iPhone pour apprendre à chaque utilisateur à se protéger lui-même des dangers qui le guettent, à devenir ‘prudent’. « Prudence est mère de Sureté » … qui aurait bien pu dire cela ? ■■■ THE ISSM AND IPHONE PHOBIA BY THIERRY DURAND, MANAGER OF THE AUDIT AND CONSULTING DIVISION, NES Jean de La Fontaine’s fable ‘Love & Folly’, written 320 years ago, ends with the lines ‘When the gods had each well considered the public interest on the one hand and the complainant's demands upon the other, the supreme court gave as its verdict that Folly was condemned for ever more to serve as a guide for the footsteps of Love’. The behaviour of La Fontaine’s contemporaries that inspired this fable could well be illustrated today with a fable entitled 'The iPhone and the ISSM' -- or maybe the reverse, as we shall see below! ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 51 © AridOcean DATA CENTER RATIONALISATION DES DATA CENTERS : UN CHEMIN LONG ET DIFFICILE Par Marc Jacob et Emmanuelle Lamandé La course du « toujours plus » semble sans fin. Ainsi, les entreprises pour survivre mettent sur le marché toujours plus de produits consommateurs en ressources informatiques, dont l’iPhone et l’iPad sont de nouveaux exemples. Les utilisateurs sont à la recherche de la dernière nouveauté qui leur apportera reconnaissance et confort… Cette course a des impacts directs sur les ressources informatiques nécessaires, avec pour conséquence une « explosion » littérale du nombre de Data Centers et de la consommation énergétique en France et partout dans le monde. Ainsi, il est nécessaire de chercher de nouvelles solutions qui, comme le montrent nos trois experts, Claude Dos Santos, Dirigeant de Jerlaure, Fabrice Choron, DSI adjoint du groupe Acadomia, et Eric Arbaretaz, Créateur et Directeur Général APIS Engineering, passent par la rationalisation des Data Centers et surtout des applications. Toutefois, le chemin vers cette démarche semble long et difficile. La demande des entreprises en matière de Data Ce nte rs (DC) e st exponentielle. Quasiment tous les jours, de nouveaux sites sont mis en chantier afin de répondre à la demande. La plupart de s site s aujourd’hui se trouvent en région parisienne à la fois pour Eric Arbaretaz, APIS Enineering des questions de proximité avec les ressources nécessaires (électricité, télécom…), mais aussi pour être situés au plus près des clients. Cette croissance quasi-anarchique se fait le plus souvent sans souci de rationalisation des DC. Pour Eric Arbaretaz et Claude Dos Santos, cette tendance n’est pas prête de s’arrêter. « La 52 question véritable est de savoir comment pourra être gérée l’augmentation du besoin de centres informatiques » explique Eric Arbaretaz. « Les capacités d’hébergement informatique nécessaires continueront d’être, pendant de nombreuses années, de plus en plus importantes pour répondre à la croissance rapide des besoins informatiques. Nous constatons actuellement une pénurie de centres informatiques qui ne diminue pas malgré l’ensemble des mises en services effectuées récemment. Cette croissance des Data Centers est directement liée à la croissance explosive des capacités du Web mondial et quelque part aussi à la nécessité d’amortir le coût de ces réseaux. Nous voyons tous, dans notre vie courante, la place que prennent les réseaux sociaux et l’explosion des contenus que cela entraîne au niveau des centres informatiques des grands du Web. Mais au-delà des besoins que l’on peut considérer « domestiques », nous assistons également à un grand chamboulement au niveau de l’informatique dite « professionnelle » : le Cloud Computing et, en particulier, le modèle SaaS sont la conséquence de ces nouvelles possibilités du réseau. A l’image des réseaux d’autoroutes et de la concentration des moyens de pro- ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com © Paul Fleet DATA CENTER duction qui ont façonné le paysage de la France et ont l’exode permis ru ral, o n as s is te actuellement à un changement radical d e l’in fo r m atiq u e qui conduira à une augm e ntation constante, pendant de nombre use s années, des centres informatiques mais aussi à leur concenClaude Dos Santos, Jerlaure tration ». Claude Dos Santos n’est pas tout à fait d’accord avec cet avis. Il déplore : « pourtant si nous parlons d’écologie et de respect de la planète, il convient de différencier le besoin vital des entreprises du besoin superflu du grand public. Concernant les entreprises, la tendance est aux infrastructures applicatives dynamiques permettant de mettre en adéquation les ressources métier et informatiques, pour davantage de performances. L’ouverture des architectures applicatives conduit à un accroissement considérable des moyens informatiques, même si la technique de virtualisation tend à le stabiliser. La complexité de ces architectures et leur coût imposent une consolidation des ressources et donc un regroupement en un même point dans un Data Center, qui doit évidemment disposer d’un niveau de disponibilité satisfaisant. Les entreprises se retrouvent face à cette problématique qu’elles doivent résoudre en investissant pour réhabiliter ou construire. On ne peut donc pas parler d’augmentation du nombre de Data Centers mais d’une transformation qui est en train de s’opérer. Les multiples « locaux informatiques » mal agencés et peu disponibles disparaissent au profit de Data Centers dignes de ce nom, capables d’assurer un niveau de disponibilité avec un niveau d’efficience optimisé. En revanche, les Data Centers à usage d’hébergement mutualisé, destinés à accueillir les entreprises souhaitant externaliser tout ou partie de leur infrastructure IT se développent. Ils proposent des surfaces d’hébergement de plusieurs milliers de mètres carrés, avec un niveau de sécurité et un niveau de service prétendus sans équivalence. Les informations que nous pouvons lire ou entendre de-ci de-là portent à croire que ces centres ne sont pas assez nombreux et quasiment saturés. Pourtant, la plupart du temps lorsque nous les visitons dans le cadre de nos activités, nous sommes surpris par leur faible taux de remplissage. Des dizaines de baies vides attendent d’être remplies. Les surfaces sont réservées en prévision d’être utilisées. « Saturé » signifie donc « commercialisé ». Nous n’avons aucun doute sur la rentabilité de ces installations qui représentent pourtant plusieurs dizaines de millions d’euros et nécessitent des puissances de plu- sieurs méga watts. Dans ce contexte, nous ne voyons pas l’utilité de construire d’énormes Data Centers inoccupés, mais plutôt des Data Centers à usage d’hébergement de moyennes tailles, plus proches des utilisateurs, et pour lesquels les contraintes d’implantation seront moindres ». Explosion des Data Centers : une chance pour la France Eric Arbaretaz estime que ce développement des Data Centers est une chance pour des pays comme la France, où l’on constate une croissance très marquée. Ainsi, la France est devenue le second pays européen en termes d’implantation de centres informatiques. En effet, les centres informatiques représentent des infrastructures stratégiques autour desquelles se développeront les services et les activités de l’ère numérique. Cette place privilégiée de la France est due à la qualité de ses ingénieurs, à son faible coût énergétique et à la fiabilité de ses infrastructures techniques. Son indépendance énergétique sera également un critère de choix de plus en plus important dans l’avenir. D’ailleurs, le Club « France for Datacenters » hébergé par le GIMELEC a publié un livre blanc en français et en anglais mettant en avant les points forts de la France dans ce domaine (www.francefordatacenters.fr/). Toutefois, selon Eric Arbaretaz, cet accroissement continu DATACENTER DATA CENTRE RATIONALISATION: A LONG AND DIFFICULT PATH BY MARC JACOB AND EMMANUELLE LAMANDÉ The phenomenon of ‘much wants more’ seems never ending. To survive in today’s competitive world, companies are obliged to market an ever increasing array of products that require IT resources e.g. the iPhone and the iPad. Users are always on the lookout for the latest device that will enhance their status and make life easier. The IT resources required to support these devices are generating an exponential increase in the number of data centres and associated energy requirements both in France and in the rest of the world. New solutions are required, as outlined by our three experts Claude Dos Santos, manager of Jerlaure, Fabrice Choron, deputy IS director for the Acadomia group, and Eric Arbaretaz, founder and general manager of APIS Engineering. These include data centre rationalisation and in particular, new applications. However the path to achieving this seems to be long and difficult. ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 53 © AridOcean DATA CENTER des centres informatiques signifie aussi une empreinte énergétique de plus en plus contraignante. Aucune solution à court ou moyen terme ne semblant pouvoir permettre de modifier radicalement l’efficacité des serveurs, cette augmentation nécessite une prise de conscience de tous (entreprises, fournisseurs et collectivités territoriales) pour en diminuer les impacts négatifs. Effectivement, Claude Dos Santos se pose un certain nombre de questions qui aujourd’hui restent encore en suspens. Une entreprise peut-elle se permettre de perdre la main sur des données importantes sans en avoir la pleine propriété sous couvert d’un SLA bien bordé et économiquement intéressant ? Concernant le domaine grand public, il est la cible des grands pourvoyeurs d’applications plus ou moins utiles. De gigantesques Data Centers énergivores se construisent à travers le monde, soit pour permettre les téléchargements à partir des mobiles « branchés », soit pour stocker les données racontant la vie privée de millions de membres inscrits. Les applications sont multiples et ne devraient pas diminuer demain. Doit-on augmenter le nombre de ces Data Centers ? Raisonnablement non ! Mais peut-on stopper les courants d’idées et les phénomènes de mode qui génèrent le besoin dans ce domaine comme dans tant d’autres ? Les limites du PUE seront bientôt atteintes Il faudra sans doute une prise de conscience très profonde tant des entreprises à la recherche de nouveautés rentables que des utilisateurs toujours à la recherche d’innovation pour leur permettre d’améliorer leur quotidien… En attendant une hypothétique prise de conscience, le mieux est sans doute de travailler sur l’amélioration du PUE (Power usage effectiveness). Pourtant, nos deux experts de concert estiment que la marge de manœuvre est faible, même si leur appréciation diverge sur certains points. Ainsi, pour Eric Arbaretaz, on est encore tout au début de la politique d’amélioration du PUE des centres informatiques. Cette prise de conscience de l’efficacité informatique est une véritable révolution dont le début en France date seulement de 2008. Depuis, nous constatons effectivement que l’immense majorité des projets de centres informatiques neufs prennent maintenant en compte cet indicateur au niveau de leur programme. L’histoire n’est pas finie puisqu’on assiste actuellement à une véritable compétition au niveau des PUE affichés. Les entreprises mondiales comme Google ou Microsoft annoncent actuellement des PUE proches de 1,1 qui constitue effectivement une cible qui ne pourra plus guère être améliorée. Ces 54 objectifs sont cependant inatteignables pour les entreprises traditionnelles puisque ces PUE correspondent à des caractéristiques très particulières : informatique parfaitement homogène, Tier 1, utilisation des infrastructures à 100% de leur capacité, moyens de refroidissement non utilisables en France… Mais au-delà des annonces marketing, l’immense majorité des constructions actuelles ont des objectifs beaucoup moins ambitieux : le PUE moyen de ces projets doit actuellement se situer à un taux de 1,7. Les premiers projets en Total Free Cooling Direct (PUE de 1,3) ne verront pas le jour avant 2011 et constitueront encore des exceptions pendant de nombreuses années. En effet, les centres informatiques sont de véritables investissements et leur taux de remplacement est très lent (un centre informatique a au moins une durée de vie de 20 à 30 ans). De plus, ces centres existants ne peuvent pas être améliorés significativement. Donc, on verra encore longtemps cohabiter des centres très performants et d’autres totalement dépassés avec des PUE de 2,5. Claude Dos Santos considère, au contraire, que la possibilité d’amélioration du PUE des Data Centers d’ancienne génération est une évidence. Toutefois, la marge de progression sur les principes actuels est limitée par l’objectif même du Data Center qui consiste à protéger et assurer la disponibilité des données. Les technologies applicables aux constructions traditionnelles (photovoltaïque, géothermie, puits canadien...) ne peuvent généralement pas s’appliquer à notre domaine. Bien entendu, comme le sujet est devenu essentiellement marketing, les effets d’annonces vont bon train. Mais qu’en est-il de la réalité et quel sera le résultat dans les cinq prochaines années d’exploitation ? Est-il judicieux, sur un plan strictement écologique, de remplacer une consommation d’énergie électrique par une consommation d’eau ? Est-il judicieux sur un plan strictement sécuritaire de faire cheminer de l’eau à proximité des serveurs pour gagner, peut-être, quelques KWH ? Le PUE ne doit pas être le guide d’un processus, mais seulement un paramètre à prendre en compte parmi tant d’autres. Eric Arbaretaz n’est pas tout à fait de cet avis. Pour lui, le PUE est un indicateur qui doit être utilisé tout au long du cycle de vie d’un Data Center. Il est regrettable de constater que le calcul du PUE ne reste pour l’instant qu’un indicateur servant à la conception des centres informatiques. Cet indicateur devrait également rester présent pendant la phase d’exploitation car la variation du PUE sera importante entre un centre très bien exploité et un autre où cette exigence n’est pas prise en compte (variation pouvant être estimée à 20% ou 30% dans certains cas). Mais, un suivi et une amélioration du PUE en phase d’exploitation nécessite à la fois une instrumentation du centre informatique et une gouvernance dont on constate l’absence dans la plupart des centres informatiques. ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com © Paul Fleet DATA CENTER La virtualisation, le Cloud Comptuing sont des pistes à suivre pour améliorer la rationalisation des Data Centers… Eric Arbaretaz considère que l’amélioration du PUE est maintenant entrée dans les mœurs mais il faut avouer que celle-ci ne touche pas au cœur de l’activité informatique. C’est sans doute la partie la plus facile car elle concerne une partie vue comme moins stratégique au niveau de la production informatique. En réalité, cet effort est très insuffisant, car il existe un gisement d’économie encore plus important au niveau même de la production informatique. En effet, les centres informatiques fonctionnent en permanence à pleine puissance alors que les besoins informatiques ont une très forte variabilité. C’est ce qui explique que la plupart des serveurs fonctionnent actuellement avec un taux d’activité inférieur à 15%, alors que la consommation du centre informatique reste plus ou moins constante quel que soit le taux d’utilisation des serveurs. La solution semble donc évidente. Pour être réellement efficace, il faudrait pouvoir aligner dynamiquement et en temps réel les ressources énergétiques du centre informatique aux charges d’applications réellement utilisées. Avec la virtualisation des serveurs et les approches de type Cloud Computing, cet objectif est théoriquement tout à fait réalisable puisqu’il suffit d’éteindre les serveurs physiques et de les redémarrer au fur et à mesure des besoins de la production informatique. Le gain énergétique est théoriquement supérieur à 50% de la consommation totale du centre informatique et s’ajoute aux efforts effectués avec l’amélioration du PUE. Les efforts combinés permettront de diminuer par un facteur 3 la consommation des centres informatiques ! La bonne nouvelle, c’est que, depuis peu, des solutions existent. L’éditeur américain Power Assure vient par exemple de mettre sur le marché un logiciel permettant de gérer en temps réel les capacités serveurs tout en maintenant un niveau de rendement optimum. Mais il faudra encore beaucoup de temps pour que ces outils et ces méthodes se généralisent au niveau de tous les centres informatiques. En premier lieu, la production informatique devra passer sur un mode virtuel, là encore cette mutation prendra du temps. Cependant, il faudra surtout changer les mentalités et les habitudes car l’automatisation du Data Center nécessitera une phase d’apprentissage et de mise en confiance des équipes d’exploitation qui est loin d’être évidente. Il faudra passer d’une m e ntalité de « toujours à pleine puissance » à celle de « puissance toujours disponible ». Quand on connaît les contraintes de la haute disponibilité, on voit que cette évolution nécessite une réelle révolution. Les solutions pour garantir la sécurité de fonctionnement de la production informatique et des centres informatiques sont notamment totalement à revoir. Ce sont de nouveau les entreprises de type Google et Microsoft qui sont précurseurs dans ce domaine. …Mais la rationalisation du domaine applicatif est difficile à réaliser Tout à fait d’accord, constate Claude Dos Santos, comme nous l’avons vu précédemment, le PUE des Data Centers n’est que le rendement d’un dispositif en charge d’alimenter les infrastructures IT qui ne cessent de progresser, pour permettre le développement des entreprises ou répondre à une demande croissante d’applications grand public. La plus grande marge d’économie énergétique réside aujourd’hui dans l’optimisation des infrastructures IT. Tous nos clients s’inscrivent dans ce schéma et utilisent autant que faire se peut différentes techniques permettant de réduire la consommation énergétique. Ainsi, comme le témoigne Fabrice Choron, DSI adjoint du groupe Acadomia et client de notre société : « notre service est souvent sollicité pour la mise en place de nouveaux systèmes et de nouvelles applications. Nous avons donc été confrontés à un problème d'augmentation des ressources serveurs, augmentation que nous avons pu ralentir tout en offrant la même capacité de mise en service grâce à la virtualisation. En règle générale, un serveur est sollicité sur des pics d'activité, la virtualisation permet de lisser le temps d'utilisation des ressources, afin d'exploiter au mieux les machines. Nous avons aussi opté pour une solution de stockage SAN EVA, qui nous permet un niveau d'allocation des ressources de stockage beaucoup plus précis que sur du disque classique. Ainsi, on se limite au nécessaire en évitant le gaspillage d'espace et d’énergie ». Claude Dos Santos rajoute : « il faudrait également s’attaquer au domaine applicatif qui n’est pas aujourd’hui suffisamment impliqué dans cette démarche. Le cahier des charges des développeurs doit comporter dès aujourd’hui des contraintes de rationalisation ». Toutefois, rebondit Fabrice Choron : « la rationalisation sur le domaine applicatif est plus difficile à mettre en ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 55 © Paul Fleet DATA CENTER œuvre qu'une rationalisation sur l'architecture. Elle n'est pourtant pas à négliger, une bonne politique sur les technologies à employer permet de limiter le nombre de plateformes, rendant de fait la mutualisation des ressources ainsi que la virtualisation beaucoup plus aisées. On peut aujourd'hui grâce à la mise en œuvre de parallélisme ou d'une meilleure exploitation des plateformes X64 abaisser le temps processeur et ainsi gagner sur le nombre de machines. Les différences de consommations entre plusieurs applications d'un même périmètre fonctionnel peuvent varier suivant la finesse et la logique de programmation ». Eric Arbaretaz voit, lui aussi, la rationalisation des applications comme une possibilité de réduire les coûts de maintenance et de soutien des applications existantes au sein des entreprises. La première démarche consiste naturellement à éliminer les applications dupliquées et/ou diminuer le coût de soutien des applications sous-utilisées. Cette démarche débute donc par un inventaire précis des applications existantes et des services rendus. Maintenant qu’il est connu que la consommation d’énergie représente une part très importante des coûts de fonctionnement de la production informatique, il devient nécessaire de lier les services rendus par les applications à la consommation d’énergie nécessaire à leur fonctionnement. La prise en compte de l’efficacité énergétique des applications informatiques est un sujet nouveau, mais il est évident que cela sera une tendance lourde des prochaines années. Il est fort à parier que les logiciels du type de Power Assure qui permettent de réaliser cet inventaire vont très rapidement être appelés à se répandre au sein des sociétés. Ce sera la première phase de l’industrialisation des centres informatiques : les applications inefficaces seront soit améliorées, soit remplacées. La phase suivante sera d’automatiser les Data Centers : les ressources techniques et énergétiques seront dynamiquement affectées aux applications en fonction de leurs besoins pour maintenir un état d’efficacité le plus optimum possible et constant dans le temps quel que soit le taux d’utilisation de l’application. en train de naître au niveau des entreprises les plus avancées et les plus matures. Elle devrait permettre d’obtenir une meilleure gestion et optimisation des Data Centers. Urbaniser, c'est diriger la transformation continue du système d’information pour l’opérer durablement et au meilleur coût. L'urbanisation définit donc des règles ainsi qu'un cadre cohérent, stable et modulaire, auquel les différentes parties prenantes se réfèrent pour toute décision d'investissement dans le système d’information. Il s’agit d’un processus qui requiert une gouvernance étendue sur toutes les couches techniques et opérationnelles de l’exploitation aussi bien au niveau des couches applicatives qu’au niveau des infrastructures énergétiques du Data Center. Bien sûr, explique Claude Dos Santos, il est essentiel d’impliquer tous les acteurs jouant un rôle dans cette démarche, des constructeurs de Data Center aux développeurs d’application, en passant par les constructeurs informatiques. D’ailleurs, sur le terrain, Fabrice Choron explique : « nos équipes sont sensibilisées sur une étroite collaboration entre les équipes software et hardware. Cette liaison étroite est importante afin de cibler au mieux les besoins des développeurs, les contraintes machines et celles des administrateurs, ceci dans l'objectif de mettre en place des archi■■■ tectures cohérentes et efficaces ». Les équipes de développeur et de production doivent travailler de concert Pour nos deux experts, il est primordial que les équipes de développeurs et de production travaillent ensemble afin de rationaliser l’utilisation des Data Centers. Pour Eric Arbaretaz, il est nécessaire de mettre en place une véritable gouvernance au niveau du centre informatique impliquant l’ensemble des équipes. La fonction d’urbaniste est ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 57 SPECIAL DEFCON 2010 DEFCON : HOW I MET YOUR GIRLFRIEND Par Alain Mowat, ingénieur sécurité, SCRT L'une des présentations les plus en vue cette année à la Defcon, tout comme à la BlackHat, était intitulée « How I met your girlfriend ». Il fallait scruter la brochure pour comprendre qu'il s'agissait d'une présentation donnée par Samy Kamkar, illustre créateur du vers « Samy » ayant sévi sur MySpace il y a quelques années, qui allait traiter de plusieurs nouvelles failles Web. Le tout était présenté de manière intelligente autour de la recherche fictive d'une célébrité. La première attaque vise le générateur de sessions PHP et surtout le générateur de nombres pseudo-aléatoires du mécanisme. En effet, il a démontré qu'il est possible de réduire l'entropie des identifiants de session de 160 à moins de 30 bits, ce qui donne la possibilité de découvrir la valeur d'un identifiant à l'aide d'une attaque de type « bruteforce ». En examinant le code utilisé pour générer un identifiant de session dans la version 5.3.1 de PHP, on remarque qu'il se base sur les éléments suivants : • Adresse IP du client (32 bits) • Temps Epoch (32 bits) • Microseconde courante (32 bits, mais réellement moins de 20) • vale ur alé ato ire is s ue d e la fo nc tio n php_combined_lcg (64 bits) • Total : ~148 bits char *buf; struct timeval tv; char *remote_addr = NULL; gettimeofday(&tv, NULL); spprintf(&buf, 0, "%.15s%ld%ld%0.8F", remote_addr ? remote_addr : "", tv.tv_sec, (long int)tv.tv_usec, php_combined_lcg(TSRMLS_C) * 10); On se rend compte que certaines de ces valeurs peuvent être découvertes relativement facilement par un attaquant, surtout sur des réseaux sociaux. En effet, la plu- 58 part d'entre eux offrent aux utilisateurs (dans ce cas-ci à l'attaquant) la possibilité de voir lorsqu'un autre utilisateur se connecte, par exemple via un chat. De plus, l'utilisation de ce chat pourrait permettre à un attaquant de convaincre sa victime de visiter un site sous son contrôle afin de découvrir son adresse IP. Cela signifie que les 64 bits d'entropie liés à l'adresse IP du client et de la seconde à laquelle il s'est connecté disparaissent. Il reste donc les 20 bits liés à la microseconde de la connexion, qui sont difficilement devinables, et les 64 bits liés à l'utilisation de la fonction php_combined_lcg. Cette fonction génère 2 x 32 bits d'informations pour générer les 64 bits d'entropie. Lors du premier appel à la fonction, une valeur est générée par lcg_seed pour rendre aléatoire les prochains appels à la fonction. Cependant, si l'on connait cette valeur, il va être possible d’en déduire toutes les prochaines valeurs « aléatoires » générées. La fonction lcg_seed va concaténer deux valeurs de 32 bits afin de créer les 64 bits d'entropie de la fonction. struct timeval tv; if (gettimeofday(&tv, NULL) == 0) { LCG(s1) = tv.tv_sec ^ (~tv.tv_usec); } else { LCG(s1) = 1; } #ifdef ZTS LCG(s2) = (long) tsrm_thread_id(); #else LCG(s2) = (long) getpid(); #endif ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com Le premier de ces nombres (s1) est un XOR entre la valeur epoch et le complément à une des microsecondes lors de l'appel de la fonction. Le problème vient ici du fait que les microsecondes n'ont qu'une entropie de 20 bits ( 0 – 1'000'000) et les 12 premiers bits du complément à 1 ne changent donc jamais. Les premiers bits du temps en epoch ne sont que peu aléatoires et si l'on peut estimer que le premier « seed » a été généré dans un espace de 12 jours, seuls les 20 derniers bits ne sont pas déterministes. Les 12 premiers bits de s1 peuvent donc être considérés comme constants. Le second nombre (s2) utilisé par lcg_seed est simplement le process ID d'Apache. Sur un système Linux, cet identifiant n'est codé que sur 15 bits par défaut, ce qui signifie que l'entropie de ce deuxième chiffre est réduite de 32 à 15 bits. On arrive alors à une combinaison de 20+15 bits, soit 35 bits au lieu des 64 bits annoncés par la fonction. En imaginant que l'on puisse exécuter du code sur la machine cible, par exemple via une faille web, on peut alors découvrir le PID exact (commande getmypid()). Il ne reste alors que les 20 bits du lcg à découvrir. En utilisant la fonction lcg_value, on peut écrire un programme permettant de « bruteforcer » la valeur du seed initial. Au final, il ne reste plus que les 20 bits relatifs à la microseconde de connexion de l'utilisateur. Cela correspond à environ 1 million de valeurs de cookie différentes, ce qui peut être testé en une journée. L’attaque Cross Protocol Scripting (XPS) pour exploiter la faille NAT Pinning Durant la suite de sa communication, Samy a présenté une attaque dite de Cross Protocol Scripting (XPS) qui se base sur l'utilisation de JavaScript pour communiquer avec un protocole autre que le traditionnel HTTP. En effet, il est tout à fait possible d'ouvrir une session en spécifiant un port autre que 80 ou 443, malgré certaines limitations au niveau de quelques navigateurs Internet. Il est, par exemple, possible de se connecter à un serveur IRC en envoyant les requêtes désirées via un formulaire caché dans une page. Le serveur recevra les en-têtes HTTP qu'il ignorera car ce ne sont pas des commandes IRC valides, cependant le corps de la requête peut contenir des commandes valides. L'XPS peut alors être utilisé pour tenter d'exploiter une faille dite de NAT Pinning sur certains routeurs. L'idée se base sur le fait que certains protocoles nécessitent l'ouverture de certains ports sur la machine du client. Par exemple, lors de transferts de fichiers sur IRC via la commande DCC, un nouveau port est ouvert et le contact de l'autre côté se connecte directement sur la machine du client pour récupérer le fichier. Ceci évite de surcharger la bande passante du serveur. Comme de plus en plus de machines se trouvent aujourd'hui derrière un firewall, ces derniers ont évolué. Ils sont capables de reconnaitre ce type de flux et peuvent rediriger automatiquement le port requis vers la machine initiant la connexion. On peut donc utiliser cela pour accéder directement à la machine de la victime en redirigeant les ports voulus sur le firewall. Finalement, la dernière partie de la présentation se base sur une combinaison d'attaques de type Cross-Site Scripting afin de découvrir la position exacte de la victime. Ceci se fait en plusieurs étapes : ❶ Convaincre la victime d'aller voir une page sous le contrôle de l'attaquant contenant un bout de code javascript permettant de fingerprinter le type de routeur de la victime. Ceci est typiquement fait à l'aide d'iframes cachées recherchant des noms de pages connues pour les différents types de routeurs. ❷ Après avoir trouvé une faille XSS sur le routeur, l'exploiter afin de récupérer l'adresse MAC de ce dernier. S'il est nécessaire de s'authentifier pour cela, l'utilisation des identifiants par défaut du routeur marche dans la plupart des cas. ❸ Utiliser le service de géolocalisation de Google pour localiser l'adresse exacte de la personne. Ce dernier point est possible car pendant que les voitures Google prennent des photos pour Google Street View, elles captent également les différents réseaux WiFi aux alentours. En spécifiant l'adresse MAC d'un routeur WiFi, ce service est alors capable de localiser, à une dizaine de mètres près, la ■■■ position exacte du routeur de la victime. DEFCON 2010 HOW I MET YOUR GIRLFRIEND BY ALAIN MOWAT, SECURITY ENGINEER, SCRT One of the presentations that stood out in particular at this year’s Defcon conference (and at BlackHat) was entitled "How I met your girlfriend". Closer study of the conference programme revealed that the author was none other than Samy Kamkar, the renowned instigator of the “Samy” worm that invaded MySpace a few years ago. The presentation used a fictitious search for a celebrity to illustrate several new Internet flaws. ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 59 Le magazine trimestriel sur la sécurité TOUS CES LECTEURS SONT DÉJÀ ABONNÉS : Les membres du Cercle Européen de la Sécurité, de l’ARCSI, du CESIC, du CIGREF, du Comité SSI du MEDEF, du CLUSIF, de NETFOCUS France, des Conciles de la Sécurité, de FedISA… TOUS CES EXPERTS VOUS CONSEILLENT TOUT AU LONG DE L’ANNÉE Mauro Israël, Philippe Humeau (NBS System), Luc Mensah (Siva), Igor Herrmann (Vipawan), Michel Arditti (Cesic), Xavier Paper (Paper Audit & Conseil), Garance Mathias (Avocat), Michel Bensimhon (Cabinet Pierre-Henry Scacchi & Associés), Jean-Marc Gremy (Cabestan Consultants), Olivier Itéanu (Avocat), Julien Sebban (Avocat), Frédéric Charpentier ( XMCO Partners), Thibault du manoir de Juaye (Avocat), Thierry Ramard (Ageris Consulting), Diane Mullenex (Avocat)... BULLETIN D’ABONNEMENT ❒ Je souscris un abonnement à Global Security Mag pour une durée d’un an au prix de 50€ TTC (TVA 19,60%), 60€ hors France Métropolitaine. Je recevrai les 4 prochains numéros. ❒ ou je commande le numéro : au prix unitaire de 18€ TTC (TVA 19,60%) ❒ Abonnement annuel au format PDF du magazine 30€ TTC (TVA 19,60%) ❒ ou je commande le numéro : au format PDF 10€ TTC (TVA 19,60%) ❒ Je souhaite être abonné gratuitement à la News Letters hebdomadaire voici mon adresse mail : ❒ Je suis RSSI, DSI, Risk Manager, Administrateurs Réseaux – Télécoms, Sécurité et je souhaite être abonné au Service Gold de Global Security Mag. Je suis informé que ce service comprend des invitations VIP sur des événements de sécurité, des remises spéciales à des séminaires de sécurité, des invitations aux événements de sécurité organisés par Global Security Mag. En revanche Global Security Mag s’engage à ne jamais louer à titre gracieux ou marchand mes coordonnées personnelles ou professionnelles. Pour bénéficier de ces avantages, je joins ma carte de visite professionnelle (agrafer ici) et mon adresse mail : Nom Je recevrai par mail une fois par semaine des informations ciblées Prénom Société Fax. E-mail Adresse Tél. Règlement par chèque n° A réception de votre règlement une facture acquittée vous sera adressée par retour. Aucun abonnement ne sera accepté sans un règlement préalable de la totalité de son montant. Date, Signature et cachet de l’entreprise Tiré sur banque à l’ordre de SIMP A retourner à : S IMP 17, av. Marcelin Berthelot 92320 Châtillon Tél. : 01 40 92 05 55 - Fax. : 01 46 56 20 91 E-mail : [email protected] [email protected] En application de l’article 27 de la loi du 6 janvier 1978, les informations ci-dessus sont indispensables au traitement de votre commande et sont communiquées aux destinataires la traitant. Elles peuvent donner lieu à l’exercice du droit d’accès et de rectification auprès de S.I.M. Publicité. Vous pouvez vous opposer à ce que vos noms et adresses soient cédés ultérieurement.