Le Brésil

Transcription

Le Brésil

INTERNATIONAL
SPÉCIAL
SÉCURITÉ
BRESIL
N°012 - Prix : 18 € - Trimestriel : juillet, août, septembre 2010
ConFIG a le plaisir
de vous offrir ce magazine
Pour plus d’informations, cliquez ici
ÉDITORIAL
DE
MARC
JACOB
REVUE TRIMESTRIELLE
N°12 – juillet – août - septembre 2010
www.globalsecuritymag.fr et
www.globalsecuritymag.com
ISSN : 1959 - 7061
Dépôt légal : à parution
Editée par SIMP
RCS Nanterre 339 849 648
17 avenue Marcelin Berthelot
92320 Châtillon
Tél. : +33 1 40 92 05 55
Fax. : +33 1 46 56 20 91
e-mail : [email protected]
Lorsqu’au début des années 1990, un certain Hervé
Schauer a inventé le principe du relayage applicatif
(proxy firewall), il n’avait peut-être pas réalisé qu’il aurait
pu devenir un homme riche ! Par contre, certains industriels ont su saisir cette idée au vol pour enrichir leurs firewalls commerciaux. C’est ainsi que le concept de défense périmétrique
s’est développé. Les entreprises ont construit de véritables châteaux forts
pour se protéger de toutes les attaques réseaux. Bien sûr, cette pièce stratégique a évolué « au fil des menaces », le concept d’UTM ou de « firewall tout en un » est apparu dans les années 2000 avec des boîtiers qui
proposent toujours plus de solutions de sécurité intégrées.
Aujourd’hui, l’avènement du Cloud, des outils de mobilité…, en un mot ce
que l’on nomme par le barbarisme « dépérimétrisation », a fait voler en
éclat la stratégie du château fort. D’aucuns auraient pu penser qu’on allait
voir la fin des firewalls ! Pourtant, ce dernier n’a jamais été aussi présent
et diversifié sur le SI. Les gammes se sont segmentées afin de répondre à
chaque type de besoin. On parle de firewall applicatif, authentifiant, UTM,
réseau… des RSSI s’en servent même pour faire de l’IAM… Ainsi, ces derniers sont loin de remettre en cause le déploiement des pare-feux, mais
doivent faire face à une complexité croissante en termes de management.
Le rêve des RSSI serait sans doute d’avoir une console unique de management agnostique de tous les produits de sécurité... mais c’est une
autre histoire !
LISTE DES ANNONCEURS
APC
3 DE COUVERTURE
ARKOON
P. 34
ASSISES SECURITE
P. 6 & 8
ATHENA GS – ESET
P. 20
BEE-WARE
P. 18
CARTES & ID
P. 56
CHECK POINT
P. 32
CHERRY – ZF ELECTRONICS
P. 12
FORTINET
P. 42
GS DAYS
P. 16 , P. 47 + 1 ENCART LIBRE
ÈME
HSC
IBM
IP CONVERGENCE
KLEVERWARE
NETASQ
PRIM’X TECHNOLOGIES
SONICWALL
STONESOFT
VERIZON BUSINESS
P. 41
P. 4
P. 2
2
DE COUVERTURE
2
DE COUVERTURE
ÉME
P. 36
ÉME
P. 38
P. 46
P. 24
REDACTION
Directeur de la Publication :
Marc Brami
Rédacteur en chef :
Marc Jacob
Rédactrice :
Emmanuelle Lamandé
Ont collaboré à ce numéro :
Olivier Iteanu, Diane Mullenex,
Théa Zimnicki, Thibault du Manoir
du Juaye, Thierry Durand,
Alain Mowat.
Assistante :
Sylvie Levy
Responsable technique :
Raquel Ouakil
Photos :
Nobert Martiano, Marc Jacob
Comité scientifique :
Pierre Bagot, Francis Bruckmann
Eric Doyen, Catherine Gabay,
François Guillot, Mauro Israël,
Olivier Iteanu, Dominique Jouniot
Zbigniew Kostur, Patrick Langrand,
Yves Maquet, Thierry Ramard,
Hervé Schauer, Wayne Sutton,
Michel Van Den Berghe,
Bruno Kérouanton.
PUBLICITE
SIM Publicité
Tél. : +33 1 40 92 05 55
Fax. : +33 1 46 56 20 91
PAO
Imadjinn sarl - tél. : 09 75 45 71 65
Image de couverture : © Emelyanov
IMPRESSION
Imprimerie Hauguel
8-14 villa Léger
92240 Malakoff
Tél. 01 41 17 44 00
Fax 01 41 17 44 09
Imprimé avec des encres végétales
sur papier éco-responsable certifié
PEFC par un imprimeur adhérent à
Imprim’vert selon le procédé CTP
sans chimie.
ABONNEMENT
Prix au numéro :
18 € TTC (TVA 19,60%)
Abonnement annuel :
50 € TTC (TVA 19,60%)
ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com
1
THE LOGICAL & PHYSICAL SECURITY MAGAZINE
THÉMA
30
FIREWALL
10
SOMMAIRE
01 Edito : Le firewall peut-il disparaitre?
03 Editorial : Is the firewall going to be phased out?
09 Agenda Événements 2010
SÉCURITÉ BRÉSIL
10 DU CÔTÉ DE L’INTERNATIONAL
• Brésil : l’informatique pousse la sécurité
• Rififi sur les banques à Rio
Par Marc Jacob et Emmanuelle Lamandé
• Le Brésil pèche par une législation insuffisante
Par Diane Mullenex, avocat au Barreau de Paris et
Solicitor England & Wales, et Théa Zimnicki, juriste
au sein du cabinet Ichay & Mullenex Avocats.
30
26 CHRONIQUE JURIDIQUE
Le statut juridique du mot de passe en question
Par Olivier Iteanu, Avocat à la Cour Chargé
d’enseignement à l’Université de Paris XI
THÉMA
30 THÉMA - FIREWALL
• Firewall : un maillon indispensable
• Les 10 règles d’or pour administrer un firewall
• La sécurité du poste client est complémentaire
au déploiement de firewall
44 MALWARES BUSTERS
Coupe du monde de la FIFA : double dose
de spams pour les internautes Français
48 BUSINESS INTELLIGENCE
Clearstream, Michelin : Quels enseignements pour
le droit de la sécurité ?
Par Thibault du Manoir de Juaye, Avocat à la cour
44
MALWARES
BUSTERS
50 RISK MANAGEMENT
L’I-PHONOPHOBIE du RSSI...
Par Thierry Durand, Manager du pôle Audit et Conseil, NES
52 DATA CENTER
Rationalisation des Data Centers :
un chemin long et difficile
58 DEFCON 2010
Defcon : How I Met Your Girlfriend
Par Alain Mowat, ingénieur sécurité, SCRT
Retrouvez notre fil d'informations
sur la sécurité et le stockage sur :
www.globalsecuritymag.fr
www.globalsecuritymag.com
50
58
RISK MANAGEMENT
SPÉCIAL DEFCON 2010
5
© Tom Mc Nemar
NotePad
AGENDA
Septembre
21 - 22 septembre - CNIT Paris La Défense
Le Grenelle du Très Haut Débit
Web : www.salon-odebit.com/
21 - 24 septembre - Sophia Antipolis (France)
Smart Event
Web : www.strategiestm.com
22 - 23 septembre - Londres (UK)
360°IT
Web : www.360itevent.com
13 octobre - CCI Paris
10ème Rencontres Economiques &
Technologiques France-Israël
Contact : Dominique Bourra, CEO de
NanoJV, Joint Ventures Constructor
Tél. : + 33 6 24 90 03 34
E-mail : [email protected]
19 - 21 octobre - Paris Porte de Versailles
IP Convergence
Contact : Tarsus
Tél. : +33 (0)1 41 18 60 63
Web : www.ipconvergence.fr
28 septembre - Casablanca (Maroc)
Storage et Security Forum Maghreb
Web : www.itieurope.net/maghreb_visitante_carrefour_fr.php
9 - 21 octobre - Londres (UK)
Biometrics
Web : www.biometrics.elsevier.com
28 - 30 septembre - Mumbai (Inde)
Interop Mumbai
Web : www.interop.com/mumbai/
IIPSEC
Web : www.iipseconline.com
29 - 30 septembre
Kuala Lumpur (Malaisie)
Data Centres Malaysia Summit
Web : www.datacentres.com/ma
25 - 27 octobre – Doha (Qatar)
Milipol
Web : www.milipol.com
29 septembre - 1er octobre
Vancouver (Canada)
VB2010
Web : www.virusbtn.com/conference/index
Octobre
5 - 7 octobre - CNIT Paris La Défense
E-Procurement - ERP - MVI - SOLUTIONS CRM - Serveurs & ApplicationsSolutions DEMAT’
Contact : Infopromotions
Tél. : 33(0) 1 44 39 85 00
Web : www.groupesolutions.com
6 - 9 octobre - Monaco
Les Assises de la Sécurité
Contact : DG Consultants
Tél. standard : 01 41 93 07 07
Web : www.les-assises-de-la-securite.com
6 - 10 octobre - Istanbul (Turquie)
CeBit Bilisim Eurasia
Web : www.cebitbilisim.com
9 - 15 octobre - Miami (USA)
Hacker Halted USA
Web : www.hackerhalted.com/usa
12 - 14 octobre - Casablanca (Maroc)
Med-IT @ Casablanca
Contact : XCOM
Tél. : +33 (0)4 42 70 00 66 - Sylvie REFORZO
Tél. : +33 (0)4 42 70 95 10
Mob : +33 (0)6 62 48 22 29
Web : www.xcom.fr
25 - 28 octobre - Sao Paulo (Brésil)
FUTURECOM
Web : www.futurecom.com.br/brasil.html
26 - 27 octobre - Francfort (Allemagne)
SNW Europe
Web : www.snweurope.net/
Novembre
INU
ONT
EN C AG.FR
R
U
M
À JO CURITY
MIS
SE
NDA GLOBAL
E
G
L’A
W.
WW
S UR
22 - 25 novembre - Singapour
EIS - Enterprise Information Security
Contact : Catherine Cheong, Marketing Manager
Tél. : +65 6722 9490
Fax : +65 6224 2515
Web : www.infosecurityasia.com
DCM - Data Centre Management
Tél. : +65 6722 9490
Fax : +65 6224 2515
Web : www.datacentreasia.com
CC - Cloud Computing
Tél. : +65 6722 9490
Fax : +65 6224 2515
Web : www.cloudcomputing-asia.com
23 - 24 novembre - CNIT - Paris La Défense
INFO to DOC / Démat’Expo
Web : www.infotodoc.com
30 novembre – Espace Saint-Martin - Paris
GS Days
3 novembre - San Francisco (USA)
Network World IT Roadmap
Conference & Expo
Web : www.networkworld.com/events/
2 - 5 novembre – Paris-Nord Villepinte
Expoprotection
Web : www.expoprotection.com
3 - 4 novembre - Jaarbeurs Utrecht (Pays-Bas)
Infosecurity Netherlands
Web : www.infosecurity.nl
3 - 5 novembre - Wiesbaden (Allemagne)
tcworld Conference
Web : www.tekom.de/conference
8 - 11 novembre - Abu Dhabi (EAU)
Black Hat Abu Dhabi
Web : www.BlackHat.com
10 - 11 novembre - New York (USA)
SC World Congress
Tél. : 00 1-410-418-4861
Email : [email protected]
Web : www.scworldcongress.com
« Convaincre sans contraindre », telle est
la devise de cet événement sur la sécurité
de l’information. L’objectif des GS Days,
Journées Francophones de la Sécurité de
l’Information, est d’établir le dialogue entre
le monde de la technique (administrateurs,
experts sécurité), les RSSI, DSI et les décideurs. Ce colloque, exclusivement en français, proposera, dans un même espace, plusieurs cycles de conférences, sous un angle
technique, organisationnel et juridique,
ainsi que des démonstrations d’attaques
informatiques, réalisées, en partie, en collaboration avec les experts de l’ARCSI.
Plusieurs associations professionnelles
reconnues sont partenaires de cet
événement : ARCSI, AFCDP, Cercle
d’Intelligence Economique du Medef
Ouest Parisien, CLUSIF, Forum Atena,
Chapitre français de l’OWASP, OSSIR,
FedISA, Club 27001, CLUSIS. En parallèle à
cet événement, un espace sera également
ouvert à quelques sponsors spécialisés.
17 – 19 novembre - Moscou (Russie)
InfoSecurity Russia Exhibition. Storage
Expo. Documation
Contact : Marc Jacob Brami
Contact : Groteck Business Media
Tél. : +33 1 40 92 05 55
Tél. : + 7495 787 88 14
Fax : +33 1 46 56 20 91
RSA Conference Europe
Fax : +7 495 221 08 62
Web : www.rsaconference.com/2010/europe/
Web : www.gsdays.fr
Web : www.infosecurityrussia.ru
9
INTERNATIONAL
BRÉSIL :
L’INFORMATIQUE POUSSE LA SÉCURITÉ
Le Brésil, aujourd’hui dixième puissance mondiale, a mené à marche forcée
une politique d’informatisation du pays. Le pays est devenu le 5ème marché
mondial en ce qui concerne la vente de PC. Bien sûr, cette entrée dans le monde
des TIC a engendré une augmentation des menaces informatiques.
Pour y répondre, une législation « partielle » a été mise en place qui s’est
accompagnée du déploiement de l’arsenal complet des outils de sécurité
physique et logique par les grandes entreprises et les PME.
Le Brésil fait partie
des dix premières
puissances économique s mondiale s.
Avec près de 190 millions d'habitants (1),
c’est le pays le plus
peuplé d'Amérique
latine et le plus
grand puisque son
territoire couvre la
moitié de la superficie de cette région du
monde. De plus, le
Brésil dispose de resEduardo Siqueira, Fortinet Brazil
sources naturelles
abondantes et son économie est relativement diversifiée
allant de l’agriculture aux services, en passant par l’industrie. Ce pays est également devenu en quelques années la
plaque tournante du système bancaire de l’Amérique
Latine. Depuis 1990, le Bovespa(2), le plus grand centre
d'Amérique Latine d'échange d'actions, a mis en place,
pour les transactions boursières, le « Computer Assisted
Trading System (CATS) ». Internet est devenu, en 2009, le
principal canal pour les services bancaires au Brésil. La
banque en ligne y est très populaire, au même titre que
tous les systèmes de paiement à distance.
Dans le domaine IT, une « Silicon Valley » a été créée à
Sao Paulo, considérée comme la capitale économique du
pays. Enfin, les politiques fiscales et monétaires, menées
prudemment par le président Lula, couplées avec les
réformes microéconomiques, ont restauré la confiance
envers ce marché, qui bien qu'affecté par la crise écono10
mique internationale, a des fondamentaux robustes.
Le Brésil, 5ème marché mondial
pour la vente de PC…
Ce développement des secteurs industriels et tertiaires a
conduit à l’informatisation des entreprises, mais aussi des
particuliers. Ainsi, la vente de PC au Brésil a aujourd’hui
dépassé celle de l’Allemagne et ce pays est devenu le
5ème marché mondial en ce domaine. Cet engouement
est dû à une volonté de l’Etat qui a mis en place le programme « un PC pour tous ». Pour l’appuyer, une politique de prix attractive avec des propositions de mensualisation d’achat de PC sur deux à trois ans et des taux d’intérêt faibles a été mise en place. Les brésiliens, sans doute
pour refuser l’hégémonie américaine, favorisent le développement de l’open source. Ainsi, 18 à 20% des PC vendus fonctionnent sous Linux. D’ailleurs, SERPRO (Serviço
Federal de Processamento de Dados), le plus important
service informatique du gouvernement fédéral brésilien,
et Bull(3) ont annoncé en 2009 un accord de coopération
pour le développement conjoint de technologies Open
Source destinées à l’administration en ligne.
…Mais a amené son lot
de menaces informatiques
et de contre-mesures
Le revers de la médaille de ce positionnement, dans un
continent en proie à une instabilité économique et poli-
Quelques associations
spécialisées en sécurité :
4 ABSEG (Associação Brasileira de Profissionais de
4 Segurança): www.abseg.com.br
4 ABRID (Associação Brasileira das Empresas de
4 Tecnologia em Identificação Digital) :
4 http://www.abrid.org.br/br/
4 SIA (Security Industry Association): ww.siaonline.org/
4 ISIO (International Security Industry Organization) :
4 www.intsi.org/
Toutes ces associations produisent des études de
marchés, définissent des standards, participent à des
salons professionnels…
tique source de violence, est une criminalité en constante
augmentation. D’autant que les mafias locales ont rapidement compris que le rapport recette/risque était particulièrement attractif. Dans ce contexte, la cybercriminalité
est un problème croissant pour toutes les entreprises brésiliennes. La demande en matière de produits de sécurité
informatique suit l'expansion considérable de l'informatisation de la société brésilienne et de sa connexion à
Internet. Selon Eduardo Siqueira, Channel Manager,
Fortinet Brazil, l’usage d’internet couplé à la croissance
des usages en matière de device mobile a conduit à une
augmentation exponentielle des menaces. En particulier,
les attaques de sites web par injection de codes malicieux,
ou encore l’utilisation de méthodes « drive-by-download »
qui permettent d’infecter de façon automatique les visiteurs. De ce fait, le gouvernement a souhaité mettre en
place une législation sur la sécurité des système d’information. Cette dernière est fortement influencée par les
lois de sécurité informatique espagnole et donc par celle
de la Communauté Européenne, comme le note Daniel
Vega dans sa thèse soutenue à l’Université Paris I(4). Au
Brésil, la loi phare de la sécurité informatique date de
2004. Elle a été portée par le Sénateur Sérgio Zambiasi et
concerne la protection des données(5). Depuis 10 ans,
explique Eduardo Siqueira, Channel Manager, Fortinet
Brazil, le gouvernement a voulu mettre en place une loi
contre le cybercrime « Projeto de Lei n. 89 de 2003 »
nommé depuis 2003, « Projeto Azeredo ». Ce projet a été
approuvé par le Sénat mais est resté en attente de validation par la Commission Science et Technology de la
Chambre des Députés du Brésil. Pourtant les entreprises
ne sont pas restées sans rien faire et ont déployé des politiques de sécurité internes afin de protéger leur SI. Selon
lui, les entreprises utilisent principalement :
• Des UTM, des systèmes de sécurité pour la messagerie et
de gestion de la bande passante,
LaiQuocAnh
SPECIAL SECURITE
BRÉSIL
• Des outils de
sécurité des
EndPoints : firewall personnel, filtrage de contenu, antivirus, antispam,
antispyware, VPN
• Des outils d’authentification, de chiffrement de la messagerie et du disque…
Un marché de la sécurité
de 600 M$ à l’horizon 2013
Ainsi, selon une étude du Ministère du Développement
économique, de l'Innovation et de l'Exportation du
Québec réalisée en 2007, le marché des systèmes de
sécurité était évalué à 200 M$ et devrait tripler pour passer à 600 M$ à l’horizon 2013. Les grandes entreprises
s'étant déjà équipées, la croissance la plus marquée provient des PME. En 2007, 52 % des produits de sécurité
électronique, au sens large, étaient importés, soit un marché de 1,3 G$. Les équipements de contrôle d'accès, de
surveillance (vidéosurveillance sur IP…) et les lecteurs
biométriques, bien qu'ils connaissent un développement
rapide, sont moins en demande que les équipements traditionnels de protection des réseaux. Au niveau des systèmes de surveillance par caméras, les grandes compagnies japonaises (Panasonic, Sony, Toshiba et JVC) dominent ce marché. Dans sa globalité, le marché de la sécurité électronique et de ses composantes est constitué par
INTERNATIONAL
BRAZIL: IT GROWTH DRIVES
SECURITY APPLICATIONS
BY MARC JACOB AND EMMANUELLE LAMANDÉ
Brazil, which is the 10th largest economy in the world,
has been pushing the adoption of IT country wide. As a result,
the country now ranks 5th in the global PC market. Of course,
the increase in ICT activity has also lead to an increase in the
number of threats. To counter this, interim legislation has been
implemented and businesses have rolled out an arsenal of
physical and logical security applications.
11
les produits étrangers à 75 %. La moitié de ces importations provient des États-Unis, suivis du Japon, d'Israël et
de la Corée du Sud. Selon Eduardo Siqueira, « on retrouve
sur ce marché les prinicpaux acteurs comme Fortinet,
Check Point, Juniper, SonicWALL, Cisco, Websense, McAfee,
Symantec, Trend Micro, RSA Security (EMC)... ».
Bien sûr, quelques acteurs locaux sont également présents, dont le plus célèbre est Modulo, qui a un rayonnement international dans le domaine du risk management. Les sociétés brésiliennes sont plutôt spécialisées
dans la biométrie, avec comme fer de lance Acura,
Biométru, Fingertech, Fingerprints…, Ardaco pour la
sécurisation des documents…
Eduardo Siqueira estime que les solutions qui bénéficient des plus fortes croissances sont les UTM, les produits de sécurité pour le Wi-Fi et la VoIP. En parallèle, il
note une forte demande pour les architectures incluant
des UTM haute performance pour sécuriser les réseaux
pour de grands nombres d’utilisateurs. Pour lui, l’évolution du marché de la sécurité brésilien est aujourd’hui
identique à celui des pays occidentaux, les menaces
informatiques étant quasi les mêmes que dans le reste
■■■
du monde.
Événements importants
au Brésil*
• 6 octobre 2010 - São Paulo
FISP – Feira Internacional de Segurança e Proteção
www.fispvirtual.com.br/
• 25 - 28 octobre 2010 - São Paulo
FUTURECOM
www.futurecom.com.br/brasil.html
• 26 - 28 avril 2011 - São Paulo
ISC Brasil (International Security Conference and
Exposition) et INTERSECURITY
www.iscexpo.com.br
• 2 - 4 mai 2011 - São Paulo
CARDS & Identification
www.cards2011.com.br
• 24 - 26 mai 2011- São Paulo
EXPOSEC
www.exposec.tmp.br/
• 24 - 26 août 2011 - São Paulo
BRASEG
www.braseg.tmp.br/
* La plupart des salons s’apparentent à Expo Protection
ou Milipol
LaiQuocAnh
SPECIAL SECURITE
BRÉSIL
Les types de produits
les plus demandés ou les plus
susceptibles de le devenir :
4 systèmes de contrôle d'accès
4 systèmes de sécurité des communications et des
4 réseaux sans fil
4 systèmes d'information géographique
4 systèmes de sécurité des transactions et
4 de cryptographie
4 systèmes de sécurité de l'information
4 services et équipement d'investigation informatique
4 dispositifs de surveillance
4 dispositifs GPS
4 systèmes d'identification intelligente
4 systèmes de vidéosurveillance
4 systèmes de surveillance pour la protection
4 du territoire
4 capteurs et lecteurs biométriques
4 composantes électroniques
4 systèmes d'alarme
4 simulateurs et services de formation par simulations
4 services de consultation en gestion du risque et
4 prévention des pertes
4 logiciels de gestion de la sécurité en milieu de travail
4 logiciels de gestion de crise
Source : Ministère du Développement économique, de
l'Innovation et de l'Exportation du Québec
Estimation en 2007
Bolsa de Valores de São Paulo
(3)
http://www.integris.com.br/fr/bulldirect/N40/BullDirectN40_fr.pdf
(4)
http://www.univ-paris1.fr/fileadmin/diplome_droit_internet/0405__Vega_Daniel_Memoire.pdf
(5)
http://www.senado.gov.br/publicacoes/diarios/pdf/sf/2004/11/101
12 004/35787.pdf
(1)
(2)
13
INTERNATIONAL
RIFIFI
SUR LES BANQUES À RIO
Si le Brésil est connu pour son football, sa musique et son célèbre carnaval,
importé par les marins dunkerquois, c’est aussi la plaque tournante du système
bancaire de l’amérique latine. Les banques brésiliennes ont poussé, depuis de
nombreuses années, leurs clients à utiliser internet pour toutes leurs transactions.
De ce fait, les mafias et autres criminels ont vite compris qu’il était plus facile de
braquer une banque sur le net que dans la vie réelle. Ils sont donc devenus
des spécialistes mondiaux de l’envoi de malwares bancaires.
Tous nos chercheurs
de malwares sont
unanimes, les cybercriminels au Brésil
sont des spécialistes
mondiaux de toutes
les techniques visant
à voler les identités
des
clients
des
b anque s. Eduardo
Siq u e ira, Ch an n e l
Manager de Fortinet
Brazil, estime que
« les cybercriminels
brésiliens sont les
Eduardo Siqueira, Fortinet Brazil
véritables pionniers
d'une catégorie de malware que, dans le jargon, nous
appelons « banker ». Un banker est un cheval de Troie
spécifiquement destiné à intercepter les coordonnées
bancaires de la victime infectée (numéros de cartes de
crédit, mais aussi surtout nom d'utilisateur et mot de
passe de comptes bancaires en ligne), via des techniques
plus ou moins avancées, du simple keylogging à l'injection de frames « en direct », man-in-the-middle, etc. ».
D’ailleurs, reprend François Paget, chercheur de virus
chez McAfee, « en matière de pillage de comptes bancaires en ligne, les cybercriminels ont fait du Brésil l’un de
leurs terrains de chasse préférés. Pour la seule année
2005, la Febraban (la fédération des banques brésiliennes) estimait les pertes dues à la fraude virtuelle à 300
millions de réaux (environ 165 millions de dollars). La
majorité des brésiliens effectuant leurs transactions bancaires sur Internet, les pirates utilisent toutes les techniques modernes d’ingénierie sociale pour inciter les titu14
laires des comptes à divulguer leurs informations personnelles. Dans ce pays, les renifleurs de mots de passe, tels
que Win32/Bancos et PWS-Bankers (également reconnus
dans ce pays comme Win32.Banload), dominent largement le monde du malware. Certains chercheurs n’hésitent pas à affirmer que ce sont eux que l’on rencontre
dans plus de 60 % des cas sur les ordinateurs brésiliens
infectés. Outre les techniques de phishing standards (sites
miroirs), l'une des arnaques locales consiste à exploiter la
compassion envers les victimes de tornades, de catastrophes aériennes, etc. ».
Pillage bancaire :
la rançon de la gloire
Ce positionnement spécifique dans le panorama de la
cybercriminalité mondial est principalement dû au fait
que le Brésil est la
plaque tournante du
système bancaire de
l’Amérique Latine.
F e rnando Cim a,
Senior Security
Arc hite c t, Se c urity
Center of Excellence,
Microsoft Corp, suppose que cette place
est la résultante de la
conjonction de plusieurs facteurs :
• Une industrie bancaire très orientée
François Paget, McAfee
vers les technologies,
SPECIAL SECURITE
BRÉSIL
une mercantilisation totale du
marché du piratage, le Brésil a toujours eu un contingent de hackers
(pas forcément malicieux, on ne parle pas ici de cybercriminels) important. Au début des années 2000, un certain nombre de groupes de « defacers » fameux avaient
des racines brésiliennes... D’ailleurs, complète François
Paget, l’hacktivisme est aussi présent. On en parlait déjà
en 2001(2). Sans compter que les hackers sont aussi parfois à la une de l’actualité. Quelques jours avant la
grande panne qui, dans la nuit du 10 au 11 novembre
2009, priva d’électricité 18 des 26 états brésiliens, un
reportage du magazine « 60 minutes », sur la chaîne
CBS News, mettait en cause des hackers brésiliens dans
ces types d’attaque. Rien n’a été prouvé pour 2009, loin
de là ; mais les soupçons d’attaques par hackers semblent plus probables lorsque les systèmes informatiques
de contrôle ont été mis à mal en 2005 et 2007, causant
des pannes générales qui ont touché des millions de
personnes(3).
ZTS
qui s’appuie énormément sur des transactions en ligne afin
d’assurer la couverture de l’intégralité
du territoire,
• L’absence de lois
spé cifique s pour
combattre le cybercrime et d’un fort
taux de piratage des
logiciels.
Effe ctive me nt,
r e p r e n d F r an ç o i s
Benoit Grunemwald, ESET France
Page t, lors de
l’étude menée par McAfee sur la vulnérabilité des informations sensibles et de la propriété intellectuelle mondiales (1), un avocat et professeur brésilien, Renato Opice
Blum, n’a pas hésité à affirmer que son pays était mal
préparé à la défense contre les cybermenaces. Selon lui,
« le principal problème vient de l'immaturité des systèmes judiciaires et forces de l'ordre brésiliens qui les
rend incapables de faire face aux menaces pesant sur les
informations. Les lois brésiliennes ne prévoient pas de
dispositions précises concernant les délits liés aux
atteintes aux données. Dès lors, les sociétés doivent se
référer à des lois
promulguées pour
s anc tio nne r d e s
délits traditionnels,
d'une nature plus
physique que virtue lle . Dans un
contexte numérique,
la charge de la
preuve est plus difficile à établir et pose
des exigences plus
élevées. Ainsi, la victime ne doit pas seulement démontrer
Loïc Guézo, IBM
que l'auteur de l'attaque a accédé à un réseau privé, mais aussi qu'il a
occasionné des dommages ». D’autres spécialistes sont
moins pessimistes, Pedro Bueno, chargé de recherche
antivirus auprès du McAfeeLabs à Brasilia, estime que
les Brésiliens bénéficient d'un système de transactions
bancaires en ligne raisonnablement sécurisé. Pour
autant, il insiste pour dire que le combat contre les logiciels malveillants est loin d'être gagné ». Pour Eduardo
Siqueira, il n'est pas interdit de penser qu'il y ait aussi
des raisons, en partie sociologiques, au phénomène –
par exemple dues à de grandes différences de niveau de
vie entre les couches sociales de la population. D'autre
part, il faut savoir qu'avant l'émergence du Cybercrime
au sens « moderne » du terme, c'est-à-dire impliquant
Le Brésil, dans tous les Top 10
de la cybercriminalité
Le Brésil figure dans tous les Top 10 des éditeurs d’antimalware toutes catégories confondues. Ainsi, Benoit
Grunemwald, Directeur Commercial d’ESET France, classe
INTERNATIONAL
TROUBLE FOR THE BANKS IN RIO
Besides its reputation for football, music and its famous
carnival (introduced by sailors from Dunkirk), Brazil is also the
hub of the South American banking system. For a number
of years now, Brazilian banks have been encouraging their
customers to use the Internet for all their banking transactions.
The mafia and other criminal elements have quickly grasped
the fact that it is easier to hold up a bank on the Internet
than in the physical world. As a result, they have become
world specialists in banking malware.
15
2ème édition
www.gsdays.fr
Les Journées Francophones
de la Sécurité de l’Information
“ Convaincre sans contraindre ”
Citation de Jean-Marc Laloy, ARCSI
Un colloque sur la sécurité
des Systèmes d’Informations
exclusivement en français
pour réunir : les RSSI, DSI,
Administrateurs Réseaux &
Sécurité, Experts Sécurité…
Un cycle
de conférences
techniques
organisationnelles
et juridiques
Comité de programme :
Hervé Schauer (HSC)
Philippe Humeau (NBS System)
Paul Such (SCRT)
Olivier Revenu (EdelWeb)
Olivier Guerin (CLUSIF)
Maître Diane Mullenex
(Ichay & Mullenex avocats)
Global Security Mag
Comité de pilotage :
Jean-Marc Laloy (ARCSI)
Francis Bruckmann (France Telecom - Orange)
David Dupré (CommonIT)
Jean-Nicolas Piotrowski (ITrust)
Global Security Mag
Partenaire institutionnel :
ANSI (Tunisie)
Partenaires associations :
ARCSI, CLUSIF, Forum Atena, FedISA,
Club 27001, OWASP, OSSIR, AFCDP, CLUSIL,
CLUSIS, CIE Medef Ouest Parisien
Partenaires Presse :
Global Security Mag, SecurityVibes,
Programmez !, Solutions&Logiciels
30 NOVEMBRE 2010
>
Espace Saint-Martin - 199 Bis Rue Saint-Martin 75003 Paris
Marc Jacob - Tél. 01 40 92 05 55
[email protected]
SPONSORS
SPECIAL SECURITE
BRÉSIL
ZTS
INTERNATIONAL
ce pays dans le top
10 des pays émettant
le plus de Spams. Les
pirates
informatiques brésiliens profitent de leur important parc de bots
pour spammer les
u t i l i s at e u r s . L u i s
Corrons, Directeur du
PandaLabs de Panda
Security, positionne
le Brésil comme l'un
des pays qui crée le
plus de « Trojans »
Luis Corrons, PandaLabs
d'opérations bancaires. Loïc Guézo, Responsable Technique, IBM Security
Solutions, est plus précis : « en 2009, 13.7% du spam
total a été envoyé d’ordinateurs localisés au Brésil
(rang 1). Sur la première moitié de 2010, ce chiffre atteint
les 8.4% (rang 2). En 2009, 23.9% de tous les phishing ont
été envoyés d’ordinateurs localisés au Brésil (rang 1),
contre 14.3% sur la première moitié de 2010 (rang 1
encore). La comparaison des chiffres de 2009 et 2010
semble montrer un rôle un peu moins dominant pour le
Brésil. En tout état de cause, le Brésil reste l’un des
majeurs pays émetteur de spams et de phishing ».
François Paget complète, en rapportant les statistiques
du CERT.br (équipe CERT nationale qui collecte des
statistiques publiques sur les incidents qui lui sont
signalés sur une base volontaire), que le nombre de
chevaux de Troie différents (repérés par leur hash MD5),
ainsi que celui des sites brésiliens les accueillant
semblent en baisse :
Nota : DSN = Delivery Status Notification ou encore “non-delivery
receipts”. Certains de ces mails peuvent être légitimes.
On notera par ailleurs que le Brésil est le second pays en
matière de production de spams et le troisième pour les
botnets.
Au cours du second trimestre 2010, son laboratoire a
détecté plus d’un million d’infections par botnet au
Brésil.
Catégorie
2006 2007 2008 2009 (Q1 à Q3)
URL unique 25 087 19 981 17 376
7 622
Adresses IP 3 859 4 415 3 921
2403
Hash MD5 malware
(hors vers,
hors bot) 19 148 16 946 14 256
5673
Temporisons cependant cette situation à la baisse en
notant que cette statistique ne comptabilise pas les victimes mais les lieux d’hébergement et les différents malwares
utilisés. Au Brésil, comme le montre la statistique McAfee
suivante, c’est bien la diffusion de malwares qui est la
catégorie de tête pour le spam (situation au premier trimestre 2010).
Cyril Voisin, Microsoft France
C’est sans doute ce
qui explique les statistiques de Cyril
Vo is in , Dire c tio n
Technique et Sécurité
de Microsoft France :
• Le nombre
de
machines nettoyées
p ar Mic ro s o ft au
Brésil a augmenté de
15,8% grâce à la mise
à disposition de l’ant im al ware g r at u it
Mic ro s o ft Se c urity
Essentials en version
brésilienne.
17
SPECIAL SECURITE
BRÉSIL
Des langages de programmation
des malwares basiques
mais efficaces
La signature des malwares « made in Brésil » est une réalité, constate l’ensemble de nos experts. Pour Luis Corrons,
même si en règle générale cela n’est pas évident à détecter, il y a certaines familles de ces « Trojans » qui sont
faciles à identifier car elles sont souvent des variantes de
« Trojans » déjà connus. Elles intègrent des indices faisant référence aux banques brésiliennes. Souvent, il suffit d’avoir un regard particulier sur certaines caractéristiques du « Trojan » comme : le langage de programmation utilisé, taille du dossier, techniques employées pour
envoyer les qualifications aux criminels, etc. En particulier,
rebondit Eduardo Siqueira, un certain nombre de malwares conçus par des cybercriminels brésiliens sont programmés en Delphi, un langage probablement très populaire au Brésil. Pour Fernando Cima, les malwares locaux
comme ceux des familles W32/Bancos et W32/Banker ne
sont pas sophistiqués. Ils sont écrits en VisualBasic,
enregistrent les mots de passe et effectuent des captures
d’écran lorsque les utilisateurs naviguent vers des sites de
banques en ligne. Les données volées sont envoyées par
SMTP vers les voleurs. Toutefois, des versions plus sophistiquées ont émergé
de rniè re m e nt e t
interceptent des one
time passwords qui
ont été récemment
déployés par certaines banques. Les
pirates sont passés
maîtres en matière
de social engineering,
e x p liq u e F ran ç o is
Paget, en décrivant
une de leur technique : « la plupart
des banques brésiFernando Cima, Microsoft Corp
liennes demandent
un numéro de
compte, un
numéro de filiale,
ainsi qu'un code PIN Internet pour permettre à l'utilisateur de se connecter. Le che val de Troie Banker
demande, quant à lui, des informations supplémentaires :
le code PIN de la banque, le numéro de carte de crédit
ainsi que le code de vérification et la date d'expiration,
entre autres. Dès que le logiciel malveillant est en possession de ces informations, il affiche un message d'erreur et redirige l'utilisateur vers la véritable page
Internet de la banque tout en envoyant à son auteur un
e-mail contenant ces données :
• Nom du compte
• Numéro du compte
• Code PIN Internet
• Code PIN de la banque
• Mot de passe
• Nom du titulaire du compte
• Numéro de la carte de crédit
• Code PIN de la carte de crédit
• Date de la carte de crédit
• Date d'expiration de la carte de crédit
• Nom du père (pour l'authentification formelle)
C’est ce qu’illustre l’écran suivant :
ZTS
• Le Brésil est le 3ème pays au monde par nombre de
machines nettoyées par les produits Microsoft (derrière
les USA et la Chine). La France est le 6ème.
• Nous avons relevé environ 6 fois plus de pages victimes
d’attaques par injection SQL pour les sites en .br (Brésil)
que pour les .fr (France).
• Microsoft nettoie 18 machines sur mille au Brésil
(5,6/1000 en France et 7/1000 dans le monde), ce qui en
fait le pays le plus infecté au monde derrière la Turquie.
• Le Brésil se classe 4ème pays au monde pour l’envoi de
spams (derrière les USA, la Corée et la Chine).
Les affaires se multiplient
depuis ces dernières années avec
leurs lots de succès et d’échecs
Heureusement, on pourrait dire qu’il y a une justice, car
les affaires de pirates informatiques mis sous les verrous
se multiplient, constate Paget François McAfee : « selon
le CERT.br, la fraude qui représentait 5% des incidents en
2004 en représente, en 2009, près de 70%. Le tableau suivant tente de synthétiser les données de ce CERT qui sont
venues en notre possession.
19
SPECIAL SECURITE
BRÉSIL
DDOS
42 268
17 332
109 676
77 473
32 960
45099
5 873
104
96
277
954
100
896
10
INTRUSION ATTAQUES
SITES WEB
Pour l’année 2009, les chevaux de Troie ne sont impliqués
qu’à 8,79% dans la colonne fraude. Celle-ci concernerait d’ailleurs, dans 88% des cas, des faits liés à une infraction touchant
les droits d’auteur et non pas la grande criminalité(4).
La hausse des incidents va de paire avec l’activité de la police
fédérale brésilienne. Celle-ci a multiplié les arrestations de
pirates informatiques impliqués dans le vol de mots de passe.
En mars 2005, l’arrestation de Valdir Paulo de Almeida, à la
tête d’un groupe de 18 personnes spécialisées dans le phishing, fait la une des journaux. Pour le groupe, le bénéfice
estimé atteint les $37 millions. En février 2006, l’arrestation de
63 pirates ayant visité près de 200 comptes dans 6 banques du
pays (bénéfices estimés pour le groupe : 4,74 millions de dollars) marque le début d’une série d’opérations d’envergure
menées par la police brésilienne (voir tableau ci-dessous).
Les efforts coordonnés des institutions financières, de la
police fédérale et des éditeurs de logiciels de sécurité, ainsi
que la sensibilisation des utilisateurs finaux semblent contribuer à une meilleure maîtrise et une diminution des activités criminelles visant les transactions bancaires en ligne. Le
16 juin 2007, le groupe Banco de Brasil lance un nouveau
site Web de transactions bancaires sur Internet, dont la
conception a été entièrement revue. Banco de Brasil est
l'une des banques les plus ciblées du pays, et la plupart des
PWS-Bankers possèdent déjà une copie de l'ancien site Web
dans leurs bases de données de fausses banques. Dans les
quelques jours qui ont suivi ce lancement, McAfee découvre
NOM DE L’OPERATION
Scan
Galaticos
Replicante
Control+Alt+Del
Valaquia
Navegantes
Nerds
Colossus
Carranca de Troia
Iliada
Muro de Fogo
Cardume
Lamers
Trilha
SCAN
DE PORTS
FRAUDE
AUTRES
28 158
22 197
45 191
34 408
43 822
52 114
10535
4 015
27 292
41 776
45 298
140 067
250 362
8 387
406
65
ZTS
VERS
DATE
14 FEV 2006
23 AOU 2006
12 SEP 2006
7 DEC 2006
13 FEV 2007
11 MAI 2007
JUL 2007
21 AOU 2007
04 SEP 2007
11 NOV 2007
4 DEC 2007
13 MAI 2008
18 SEP 2008
28 MAI 2009
248
448
523
258
327
11
7
70
31
65
101
69
275
[1] http://www.3dcommunication.fr/pdf/Unsecured_economies.pdf
[2] http://www.sans.org/reading_room/whitepapers/hackers/brazilianconnection-brazilian-defacement-groups-stake-claim_605
1 051
4 169
1861
un référentiel de code source de PWS-Bankers, révélant une
multitude de fichiers ciblant des institutions bancaires brésiliennes. Un fichier en particulier attire l’attention : « New
Banco do Brasil Screen.jpg ». Daté du 21 juin, le fichier représente le tout nouvel écran de saisie de mot de passe du nouveau site Web de Banco do Brasil ! A supposer que les dates
soient exactes, en moins de cinq jours, les criminels avaient
créé un cheval de Troie PWS-Banker fonctionnel, prêt à cibler
le nouveau site de la banque.
Aux Pays-Bas, en août 2008, un individu de 19 ans a été
arrêté par la police. Il était à la tête du botnet « Shadow »
qui regroupait plus de 100.000 machines. Le jeune homme
allait vendre son réseau pour 25.000 € à Leni de Abreu
Neto, un brésilien de 35 ans, lui aussi interpellé. Toutefois,
cette même année, les polices brésiliennes et américaines
se sont « cassées les dents » avec l’affaire Daniel Dantas,
déplore Eduardo Siqueira : « un banquier brésilien, Daniel
Dantas, arrêté en 2008, avait encrypté les preuves de ses
possibles forfaits avec TrueCrypt, un logiciel de cryptage gratuit et open source. Les autorités brésiliennes compétentes
(l'Institut National de Criminologie), s'étant cassées les dents
sur le cryptage, firent parvenir les disques durs du banquier
à leurs collègues du FBI, dotés d'une bien plus impressionnante puissance de calcul pour « brute-forcer » les clefs de
cryptage. Ces derniers viennent de jeter l'éponge... » La
cybercriminalité au Brésil a donc encore de beaux jours
devant elle entre une législation peu aboutie et des pirates
de plus en plus astucieux.
■■■
MANDATS D’ARRET
64
80
120
27
524
570
449
1 689
4 201
5 592
1652
Source : McAfee
TOTAL
INCIDENTS
SIGNALES
75 722
2004
2005
68 000
2006
197 892
2007
160 080
2008
222 528
2009
358 343
2010 (Jan à Mars)
28 325
ARRESTATIONS
63
63
58
41
23
14
29
22
4
33
50
27
3
76
PERTES ESTIMEES
$5 million
$50k/mois
$5,5 million
$500k/mois
$250k/mois
Source : McAfee - CERT Br
ANNEE
[3] http://www.foreignpolicyjournal.com/2009/11/15/brazils-next-battlefield-cyberspace/
[4] http://www.cert.br/stats/incidentes/2009-jan-dec/fraude.html
21
INTERNATIONAL
LE BRÉSIL PÈCHE
PAR UNE LÉGISLATION INSUFFISANTE
Par Diane Mullenex, avocat au Barreau de Paris et Solicitor England & Wales,
et Théa Zimnicki, juriste au sein du cabinet Ichay & Mullenex Avocats.
Le Brésil compte la plus grande population d'utilisateurs d'Internet en Amérique
latine et occupe le cinquième rang mondial. Il y a environ 72 millions d'utilisateurs
d'Internet au Brésil, ce qui ne représente que 36 % de la population brésilienne.
Au début de l’année 2010, 88 % des villes brésiliennes avaient accès à l’Internet
à haut débit, selon Anatel, l’Agence Nationale des Télécommunications de Brésil.
En outre, le réseautage personnel en ligne a explosé au Brésil, dans la mesure
où les Brésiliens se ruent sur des sites populaires tels qu’Orkut, MSN Messenger,
Facebook et Skype. Toutefois, malgré ce développement, le Brésil pèche par
une législation encore insuffisante.
Anatel estime qu'il y
avait 183.700.000
lignes de téléphones
mobiles au Brésil en
mai 2010, avec une
augmentation de 2,9
millions rien qu’en
avril. Cela représente
près de 96 téléphones cellulaires
pour 100 habitants.
La société brésilienne de téléphonie
mobile TIM Brasil
e nvis ag e d 'é larg ir
Diane Mullenex, avocat
son réseau 3G afin de
couvrir 60 % de la population d’ici 2012; alors que la couverture est déjà de 30 % en 2009. La connectivité mobile
au Brésil est très bonne et l'utilisation du téléphone cellulaire est étendue dans tout le pays.
Pour étendre la portée de l’Internet, les initiatives venant
des municipalités ainsi que de l'industrie existent pour
élargir et fortifier la disponibilité du Web. Par exemple, le
projet Baixada de Rio de Janeiro, lancé en 2009, vise à
mettre en place un réseau sans fil à haut débit qui pourrait offrir un accès gratuit à près de 1,4 millions de personnes. Le 5 mai 2010, le gouvernement fédéral a
annoncé son Plan National pour le Haut Débit consistant
à investir massivement dans le réseau brésilien de fibres
optiques afin d'offrir un service haut débit dans 25 états
22
et le District Fédéral, soit environ 75 % des ménages brésiliens, d’ici 2014. Cela représente un véritable effort du
Brésil de continuer à améliorer et développer son réseau
national pour la connectivité Internet.
L'Internet est de plus en plus intégré dans les secteurs
commerciaux, juridiques et gouvernementaux de la
société brésilienne, ainsi que dans l'éducation et la
finance. Par exemple, le gouvernement utilise l'Internet
pour l'immatriculation électronique des voitures. En
outre, le Brésil a mené les élections par vote électronique
depuis 1996, et est en train d'intégrer la reconnaissance
biométrique dans l'identification des électeurs.
La justice brésilienne
se numérise
La numérisation des documents judiciaires a commencé
et les tribunaux cherchent à poursuivre ce processus afin
de mieux gérer d’importants volumes d'informations. En
Juin 2009, la Cour Supérieure de Justice du Brésil
(Superior Tribunal de Justiça, STJ) a ouvert un portail électronique, appelé e-STJ, avec des dossiers administratifs et
des ressources pour les avocats ainsi que le grand public,
lequel comprend une bibliothèque électronique. Cela a
eu un effet positif considérable sur la réduction de la
bureaucratie et la simplification des procédures. La Cour
Suprême a même créé un profil sur Twitter et propose un
contenu sur YouTube.
Les achats en ligne
sont soumis au code
des consommateurs
Les achats effectués en ligne sont soumis au code de la
défense des consommateurs. Le Brésil a un système de
classe mondiale pour les transactions bancaires électroniques, appelé Sistema de Pagamentos Brasileiro (SPB).
Ce système de paiement a été élaboré avec la reconnaissance de la nécessité de mettre en place des normes
rigoureuses de sécurité, y compris le chiffrement des données et la certification numérique. Ce système, géré par la
banque centrale brésilienne (Banco Central do Brasil),
contribue à la volonté croissante du Brésil d’être considéré quand un endroit où faire des affaires.
On observe une augmentation du nombre de procédures
judiciaires qui sont diligentées à l’encontre des éditeurs
de contenus et des individus qui publient du contenu illégal ou contrefaisant sur Internet. Toutefois, il est de plus
en plus reconnu que les fournisseurs d’accès Internet ne
sont pas responsables des contenus illicites ou des cyberattaques. Néanmoins, il peut être demandé aux hébergeurs d’Internet de tenir des registres d’informations des
utilisateurs telles que les heures et les dates de connexion
et les adresses IP.
Le Brésil a été à la pointe de
la législation sur la protection
des données à caractère
personnel…
Le Brésil a été à la pointe de la législation sur la protection des données personnelles en Amérique latine. En
1988, il est devenu le premier pays d'Amérique latine à
inclure la demande d’habeas data dans sa Constitution
(Article 5, LXXI, Titre II), qui établit un droit d'action pour
une personne de déposer une plainte devant un tribunal
pour l'utilisation des données personnelles qui violent
son image, sa vie privée, son honneur ou sa liberté d'information.
En vertu de Habeas Data (qui se traduit approximativement par « vous aurez les données »), toute personne
doit être autorisée à inspecter tout renseignement personnel la concernant qui a été collecté et doit avoir la possibilité de corriger des données erronées.
Cependant, très probablement en raison de la position du
Brésil en avant-garde de l'Amérique latine à disposer
d’une action en justice d’habeas data, cette disposition
est aussi l'une des plus faibles et les moins développées.
En fait, la Constitution brésilienne ne prévoit pas que la
LaiQuocAnh
SPECIAL SECURITE
BRÉSIL
de struc tio n de s
données personnelles puisse être
demandée, mais seulement l'accès à ces données et à
pouvoir les rectifier. La vie privée est faiblement protégée
par la Constitution du Brésil.
… mais la complexité
de cette législation la rend
difficilement applicable
En 1997, la loi de réglementation de la procédure d'habeas data (loi n° 9507) a été adoptée par le parlement
brésilien. Elle avait pour but d’approfondir la disposition
constitutionnelle habeas data et intégrait des directives
administratives et procédurales concernant le dépôt
d’une plainte. Elle permet également à tout individu de
joindre une note aux données en litige en précisant que
lesdites données font l’objet d’un contentieux et qu’il est
attendu une résolution juridique. Malheureusement, la
loi réglementaire de 1997 n’a guère simplifié les nombreuses règles de procédure, en particulier concernant les
règles de juridiction, de sorte que le système reste très
compliqué et inadapté.
Surtout, la législation en vigueur au Brésil n’est pas
conforme aux normes européennes de protection des
données. L'Union européenne, par sa directive sur la proINTERNATIONAL
BRAZIL LACKS ADEQUATE LEGISLATION
AND
BY DIANE MULLENEX, ATTORNEY IN PARIS
AND SOLICITOR IN ENGLAND & WALES,
THÉA ZMINICKI, LAWYER, ICHAY & MULLENEX.
Brazil has the largest number of Internet users in Latin America
and ranks 5th worldwide. There are around 72 million Internet
users in Brazil accounting for 36% of the total population. At
the beginning of 2010, 88% of Brazilian towns & cities had
access to broadband Internet according to the Brazilian
national telecommunications agency. Social networking on sites
such as Orkut, MSN Messenger, Facebook and Skype is extremely
popular. However, despite this growth in Internet usage, there is
a lack of adequate legislation to protect users.
23
tection des données, exige de ses États membres de maintenir des normes strictes concernant le transfert des données au niveau international. Les Etats de l'UE ne peuvent
pas transférer de données vers des pays qui ne possèdent
pas de législation suffisante sur la protection des données. À ce jour, l'Argentine est le seul pays d'Amérique
latine qui répond aux normes de l'UE.
La cybercriminalité n’est pas
traitée efficacement par la
législation brésilienne
Le Brésil est l’un des trois pays les plus infectés au monde
par la malveillance sur Internet, selon le « Symantec
Internet Security Threat Report » publié en 2010. La
cybercriminalité demeure un problème crucial qui n’est
pas encore traité efficacement par la législation brésilienne.
Au cours des dernières années, le Brésil a pris des mesures
pour remédier à l'absence d'un cadre juridique spécifique
se rapportant à l'Internet. En 2005, un projet de loi
controversé sur la cybercriminalité connu comme
« Azeredo », nommé d’après le sénateur qui l’a proposé,
a été présenté et est encore à l’étude par le Congrès. Les
objectifs principaux de ce projet de loi comprennent la
vigilance sur le téléchargement illégal, le contenu criminel sur l’Internet, le mauvais usage des données personnelles et publiques et les violations du droit d'auteur.
Toutefois, le projet de loi a soulevé des préoccupations
importantes à propos de la censure et plusieurs de ses dispositions sont trop générales ou abstraites, ce qui crée un
risque que des actes innocents ou légers puissent être
considérés comme des actes criminels. Bien que le projet
de loi soit toujours à l’étude, le président brésilien Luiz
Inacio da Silva a fait allusion à un veto présidentiel, si le
projet de loi était approuvé par le Congrès.
La question de la réglementation nationale de l'Internet
et les initiatives gouvernementales ont soulevé de nombreuses interrogations auprès de la population brésilienne. Prenant en compte cette inquiétude, le gouvernement brésilien a mis en place une consultation publique.
Celle-ci comporte deux phases et a pour but de générer
un « cadre réglementaire civil » pour l'Internet (Marco
civile da Internet). Le traitement du projet de loi Azeredo
est suspendu jusqu'à ce que ce cadre réglementaire soit
mis en place.
Dans la première phase de consultation publique fin
2009, toutes personnes et toutes institutions ont été invitées à soumettre des suggestions afin qu’elles soient éventuellement incluses dans le cadre juridique. Le ministère
de la Justice a examiné les contributions et publié par la
suite un projet de loi au début de 2010. Dans la deuxième
phase, le public avait 45 jours pour soumettre des com-
LaiQuocAnh
SPECIAL SECURITE
BRÉSIL
mentaires
en
ligne sur ce projet
de loi, délai à la
fin duquel le projet a été envoyé au Congrès. Ce projet est
actuellement examiné par le Congrès et contient des dispositions concernant la liberté d'expression, la protection
des données personnelles, la vie privée, la rétention des
données de l’utilisateur, la neutralité du net et la pornographie impliquant des enfants, entre autres.
Le Brésil :
un acteur prometteur
de l'ère du numérique
Pour ceux qui veulent protéger leur propriété intellectuelle, les logiciels et bases de données sont protégés par
le droit d'auteur au Brésil et la loi n° 9.609/1998 régit la
protection du droit d'auteur des programmes d'ordinateur. Bien qu'il y ait un grand nombre de poursuites judiciaires impliquant le piratage de logiciels, il reste un problème considérable au Brésil. Il y a eu de nombreuses discussions depuis 2005 pour la modification éventuelle de
la loi actuelle, la loi n° 9.610/1998 sur le droit d’auteur. Le
Ministère de la Culture du Brésil a tenu un forum national
sur le droit d'auteur en 2007 et, depuis ce temps-là, le
Brésil a participé et a organisé plusieurs autres conférences nationales et internationales sur le sujet. Bien que
le projet de loi n’ait pas encore été ratifié, le Ministère de
la Culture a rédigé un document résumant ses objectifs.
Les discussions sont centrées sur l'assouplissement de
l'interdiction de la copie privée d'œuvres pour un usage
non-commercial, y compris une clause d’usage équitable
pour la recherche et une accessibilité électronique augmentée des œuvres archivées. La tendance semble aller
vers une libéralisation des politiques de propriété intellectuelle.
Bien que la situation dans laquelle se trouve actuellement le Brésil, concernant la connectivité Internet, la protection des données personnelles et le cadre juridique à
mettre en place, laisse à désirer, le pays s'efforce de remédier à ses points faibles.
Avec plusieurs initiatives du gouvernement et de l'industrie, soit déjà mises en place soit en discussion par le
Congrès, et l’enthousiasme des Brésiliens à adopter de
nouveaux produits technologiques une fois disponibles, le
Brésil est certainement un acteur prometteur de l'ère du
numérique. Dans le domaine des nouvelles technologies,
■■■
le Brésil est riche en possibilités pour l'avenir.
25
CHRONIQUE JURIDIQUE
LE STATUT JURIDIQUE
DU MOT DE PASSE EN QUESTION
Par Olivier Itéanu, Avocat à la Cour, Chargé d’enseignement à l’université de Paris XI
Dans de très nombreux cas, l’identifiant et le mot de passe
ou le mot de passe seul constituent la clef d’accès au système d’information. Le mot de passe est le passage quasi
obligé pour accéder au téléphone mobile, à l’ordinateur
personnel ou de travail, au PDA, au réseau d’entreprise,
etc. Dans le monde physique, les techniques d’authentification à l’entrée des entreprises, des immeubles, des
appartements, des lieux publics sont des plus variées.
L’apparence ou la connaissance visuelle de la personne, le
son de sa voix à l’interphone ou au téléphone, sa façon de
se comporter, de se tenir, peuvent jouer ce rôle. Badges
d’accès et saisie de codes y sont également courants. À l’inverse, il existe quantité de situations ou d’actions pour lesquelles aucune authentification n’est exigée. Dans le
monde informatique, et plus particulièrement dans celui
des réseaux, le recours à une authentification technique
est obligatoire. Comme la signature manuscrite, le couple
identifiant/mot de passe détenu par la personne qui se
présente à l’accès d’un système d’information sert à cette
authentification.
Le mot de passe n’a pas de
définition légale…
Dans le monde informatique,
l’authentification se définit comme une
méthode, un moyen ou une technique
permettant de vérifier l’identité de
personnes et parfois de machines ou
de programmes d’ordinateur qui
s’exécutent. Identifiant, mot de passe
(password), code confidentiel, biométrie,
etc. : quantité de moyens d’authentification permettent de contrôler l’accès à
un système d’information. L’accès par
saisie d’un mot de passe reste à ce jour
le moyen d’identification le plus communément utilisé, même s’il n’a pas de
définition légale.
26
Le mot de passe n’a pas de définition légale ni juridique. Les
experts déterminent de manière empirique ce que devrait
être un bon mot de passe. L’efficacité du mot de passe
dépend en fait essentiellement des choix de l’utilisateur(1).
On considère généralement qu’il doit être personnel et
alphanumérique, c’est-à-dire composé de mots et de chiffres, voire de caractères spéciaux. Il doit être, en outre,
imprononçable et ne pas figurer dans un dictionnaire. La
CNIL considère qu’il doit être constitué de plus de quatre
caractères et de préférence d’au moins huit. Huit caractères
bien choisis parmi les quatre-vingt-quinze caractères ASCII
offrent 6,6 millions de milliards de combinaisons possibles(2). Un mot de passe est dit « statique » lorsqu’il est valable un certain temps, jusqu’à ce que l’utilisateur décide d’en
changer. Il est dit « dynamique » ou « à usage unique » ou
encore « jetable » lorsqu’il n’est valable que le temps d’une
connexion. Le mot de passe est réservé à une personne ou
un groupe de personnes. Il est donc, par essence, confidentiel. La pratique consistant à écrire sur un stick collé sur le
côté de l’écran de l’ordinateur l’identifiant et le mot de passe
servant à contrôler l’accès à un système quel qu’il soit est
non seulement un manquement aux règles élémentaires de
la sécurité informatique, mais aussi une faute au sens juri-
dique. L’obligation de confidentialité est régulièrement rappelée à l’utilisateur dans les contrats qui le lient au maître
du système. La société Orange rappelle dans ses conditions
générales d’abonnement professionnel à Internet que
« l’ensemble des éléments permettant au client de s’identifier et de se connecter au service sont personnels et confidentiels(3) ». Le manquement à cette obligation juridique
n’est pas sans conséquence. Si un abonné ne la respecte pas
et qu’il se trouve victime d’un accès frauduleux, l’opérateur
peut parfaitement dégager sa responsabilité. En outre, le
client engage sa responsabilité si ce manquement a causé
un préjudice à un tiers. Par exemple, si un accès frauduleux
est la conséquence d’un manquement à l’obligation de
confidentialité d’un abonné d’Orange et que cet accès a permis à un individu d’entrer en possession d’informations
confidentielles appartenant à des tiers, la responsabilité du
négligent peut être engagée. Au final, c’est cet abonné négligent qui pourrait avoir à réparer le préjudice subi en payant
des dommages et intérêts auxquels un tribunal l’aurait
condamné.
Sur le plan juridique, le mot de passe présente un certain
nombre de caractéristiques qui peuvent, au final, constituer
son statut.
…Mais il a un statut juridique
Le mot de passe a, tout d’abord, un détenteur légitime. C’est
souvent au sein de l’entreprise que cette caractéristique est
rappelée. Chaque salarié se voit attribuer un mot de passe
pour accéder à une ressource informatique, ordinateur,
intranet, etc. Dans sa gestion juridique de l’identité, l’employeur attribue des droits d’accès à ce mot de passe, lesquels peuvent être différenciés selon le service ou le niveau
hiérarchique du salarié.
Outrepasser ou bafouer les droits du détenteur légitime du
mot de passe est une faute qui peut justifier le licenciement
du salarié. Dans un arrêt rendu le 21 décembre 2006(4), la
chambre sociale de la Cour de cassation a confirmé que le
comportement d’un salarié qui avait tenté sans motif légitime et par emprunt du mot de passe d’un autre salarié de
se connecter « sur le poste informatique du directeur de la
société » pouvait justifier un licenciement pour faute grave.
Le mot de passe est ensuite un moyen de preuve. Il peut
être retenu par les parties dans leur contrat pour constituer
un moyen de preuve. C’est ce qu’on appelle une « convention de preuve ». Cette pratique est reconnue par la loi
depuis 2000(5) et figure à l’article 1316-2 du Code civil, qui
dispose que « lorsque la loi n’a pas fixé d’autres principes,
et à défaut de convention valable entre les parties, le juge
règle les conflits de preuve littérale en déterminant par tous
moyens le titre le plus vraisemblable, quel qu’en soit le support ». Quantité de contrats et de chartes stipulent que « la
saisie du mot de passe confidentiel remis à l’utilisateur vaudra preuve de l’utilisation du système entre les parties ».
Cette disposition est une « convention valable » au sens de
© Falko Matte
CHRONIQUE
JURIDIQUE
la loi. Le mot de
p as s e d e vie nt
dans ces conditions le moyen de
preuve décidé par les parties.
Ce moyen de preuve peut cependant être contesté, car il se
heurte à un autre grand principe du droit français, celui
selon lequel on ne peut s’offrir une preuve à soi-même. Or
le mot de passe est souvent enregistré sur un équipement
contrôlé en totalité par la personne qui peut avoir intérêt à
prouver un usage par ce moyen. Les tentations de manipuler la preuve et la facilité avec laquelle peut être opérée
cette manipulation pourraient rendre suspecte la production du moyen de preuve.
C’est alors à l’autre partie d’apporter des éléments de
contestation, lesquels peuvent être parfaitement entendus
par le juge. Si ces éléments sont trop techniques et que la
contestation de la preuve conditionne pour l’essentiel l’issue du litige, le juge peut recourir à un expert technique, le
plus souvent inscrit sur des listes d’experts agréés par les
cours d’appel ou la Cour de cassation.
…que seul le juge apprécie
Au final, et dans tous les cas, la parole est au juge. C’est lui
qui appréciera le moyen de preuve rapporté. La loi lui
impose une seule contrainte. Il ne peut rejeter un mode de
preuve au seul motif de sa forme. Pour rejeter une preuve,
il doit motiver son rejet. Pour cette raison, les plaideurs s’efforcent d’apporter devant les tribunaux des preuves électroniques dans des formes familières aux juges et s’aident pour
cela notamment d’huissiers de justice et d’experts agréés
LEGAL COLUMN
THE LEGAL STATUS OF PASSWORDS
BY OLIVIER ITÉANU, ATTORNEY-AT-LAW,
LECTURER AT PARIS I AND PARIS XI UNIVERSITIES
In the IT world, authentication is defined as a technique,
method or means of validating a person’s, or in some cases,
a machine’s or program’s identity. Identifiers, passwords, pins,
biometric recognition etc., are all authentication devices used to
control access to an IT system. The most common method is
password protected access even though it has no legal definition.
27
CHRONIQUE JURIDIQUE
auprès des tribunaux. Enfin, le mot de passe est une signature. La carte bancaire est un exemple fameux de ce type de
signature. Stipulée au contrat qui lie le client à sa banque,
la saisie du code confidentiel vaut engagement du client à
donner un mandat irrévocable à la banque de payer le commerçant concerné. Le mot de passe dépasse ici le statut de
moyen d’authentification pour déborder sur celui, classique
pour une signature, de preuve d’engagement.
Dans de très nombreux cas, le couple identifiant/mot de
passe ou le mot de passe seul constitue la clef d’accès au
système d’information. Or l’accès à un système d’information est protégé par la loi. Un délit spécifique punit le fait
d’accéder frauduleusement à un système d’information,
appelé STAD (Système de Traitement Automatisé de
Données).
L’accès frauduleux à un STAD est le délit pénal « traditionnel » de la cybercriminalité. Ce délit, constitué par le « fait
d’accéder ou de se maintenir frauduleusement dans tout ou
partie d’un système de traitement automatisé de données(6) »,
est puni des peines maximales de deux ans d’emprisonnement et de 30 000 euros d’amende.
C’est l’accès non autorisé en lui-même qui est sanctionné,
qu’il y ait eu ou non des dommages dans le système ou
dans les données stockées sur le système (7). La loi ne précise
pas s’il est obligatoire que le système d’information comporte une protection technique. Elle ne précise donc pas si
l’accès au système doit être contrôlé, notamment par la
technique du mot de passe. Dans les faits, cependant, deux
raisons au moins poussent à affirmer que la faculté donnée
à l’utilisateur d’un système de disposer d’un moyen d’authentifier les accès, notamment par la technique du mot de
passe, est obligatoire.
La première de ces raisons tient à l’application du délit
d’accès frauduleux à un STAD. Pour que le délit s’applique, l’accès doit être intentionnel, c’est-à-dire que le
délinquant doit avoir conscience qu’il accède sans droits
et non par erreur au STAD. Dans ces conditions, l’usurpation d’un identifiant/mot de passe établirait sans contestation possible la preuve de l’élément intentionnel du
délit. Par exemple, si le délinquant a « cassé » un mot de
passe de quelques caractères en saisissant toutes les combinaisons possibles, ces essais ont laissé des traces dans le
système d’information qui prouvent son intention. À
défaut d’un mot de passe, la preuve de l’intention délictuelle est plus difficile à rapporter.
Mais la jurisprudence va plus loin et semble pousser vers la
présence obligatoire d’une protection minimale à l’entrée
des systèmes d’information. C’est l’affaire dite Kitetoa qui, la
première (8), a posé ce principe. À l’occasion de visites sur le
site d’une grande société française, l’animateur du site
Kitetoa a découvert une faille de sécurité qui lui donnait
accès à une base de données de quatre mille noms. Il a rap-
28
porté sa découverte sur son site sans que quiconque s’en
émeuve particulièrement.
Quelques mois plus tard, le magazine Newbiz rendait
compte de l’affaire, déclenchant un dépôt de plainte de
l’éditeur du site incriminé pour accès et maintien frauduleux dans un STAD. En première instance, les juges ont
considéré l’infraction réalisée. Leur argumentation était
la suivante :
Attendu que le prévenu a déclaré qu’une fonction du
navigateur Netscape permettait d’afficher l’ensemble du
contenu du serveur [XXX] ; qu’il a indiqué à titre de
démonstration lors de son interrogatoire par les services
de police avoir procédé à une copie d’écran démontrant
qu’à partir de la page d’accueil du site [XXX], il choisissait
les fonctions « communicator » puis « outils du serveur »,
puis « service de la page », fonctionnalités présentes sur
tous les navigateurs Netscape ; que dans « services de la
page », l’ensemble du contenu du serveur s’affichait sous
forme d’arborescence ; qu’en consultant les liens HTML,
il avait trouvé notamment le listing de clients apparaissant dans le journal Newbiz, fichier de type « .mdb »
dans lequel la société T. enregistrait le résultat de questionnaires posés aux internautes, dans lequel apparaissaient les noms, adresses et autres données personnelles
des visiteurs du site ayant bien voulu répondre à des
questions personnelles, fichier qui comportait selon lui
environ 4 000 entrées […] ; qu’en accédant à plusieurs
reprises au fichier litigieux et en le téléchargeant, le prévenu, qui fait d’ailleurs état dans ses déclarations de la loi
qui fait obligation aux sociétés de protéger les données
nominatives collectées, avait nécessairement conscience
que son accès et son maintien dans le site de la société T
étaient frauduleux ; qu’il y a lieu en conséquence d’entrer en voie de condamnation à son encontre.
Considérant l’absence de protections des pages Web auxquelles il avait accédé et l’absence d’agissements caractéristiques d’une volonté de nuire, le tribunal a condamné le
prévenu à une amende de 1 000 euros avec sursis, ce qui
constitue une condamnation très légère. Sur le plan du
principe, le parquet général a considéré le jugement
comme insatisfaisant et interjeté appel le 28 mars 2002.
Dans un communiqué de presse du 4 avril 2002 - une procédure assez inhabituelle - , le procureur général a expliqué
que « cet appel [avait] pour but de permettre à la cour d’appel de se prononcer sur la définition et la portée du délit
d’accès et de maintien frauduleux dans un système ». Or
l’arrêt qui allait être rendu comportait une évolution
majeure. Les juges d’appel relevaient que « considérant
que […] il ne peut être reproché à un internaute d’accéder
ou de se maintenir dans les parties des sites qui peuvent
être atteintes par la simple utilisation d’un logiciel grand
public de navigation, ces parties de site […] devant être
réputées non confidentielles à défaut de toute indication
contraire et de tout obstacle à l’accès […] ».
L’évolution majeure tient à ce que les juridictions avaient
plusieurs fois eu l’occasion de dire que la présence ou non
d’un système de sécurité était indifférente pour la commission du délit d’accès frauduleux à un STAD. Même en
cas d’absence de code d’accès ou de mot de passe, même
en présence d’une faille de sécurité manifeste, le délit
était réalisé. La doctrine justifiait cette position en rappelant que « même une porte ouverte dans un domicile ne
doit pas donner droit d’accès et de maintien dans ce
domicile ».
Cependant, l’avènement d’Internet a considérablement
élargi la typologie des actes couverts par ce délit. Un site
Internet peut voir se côtoyer, sur une même machine et
dans un environnement proche, des parties de site qui ne
sont pas destinées au public, et qui pourtant se trouvent,
par erreur ou incompétence, en accès libre, et d’autres
parties publiques. Fallait-il considérer l’internaute de
Kitetoa comme un délinquant au sens de l’article 323-1
du Code pénal lorsqu’il avait accédé à une partie d’un site
non sécurisée par erreur ?
La cour d’appel a répondu par la négative, en posant trois
critères à cette nouvelle situation :
• L’internaute a accédé à des parties de site qui ne lui
étaient pas destinées au moyen d’un simple logiciel de
navigation, sans utilisation d’outils particuliers venant
forcer un passage ou une entrée.
• Il y a bien eu constatation d’une faille de sécurité. En
quelque sorte, la cour a entendu faire peser la responsabilité de cette « erreur » non sur l’internaute lui-même
mais sur l’éditeur du site défaillant.
• Rien n’indiquait à l’internaute que ces parties du site visité
lui étaient interdites, aucune « indication contraire »,
ni « aucun obstacle à l’accès » n’y figurant.
Par le dernier critère, les juges ont semblé considérer que si
le propriétaire d’un système voulait bénéficier de la protection de la loi, il devait au minimum installer une authentification à l’accès, notamment par identifiant et mot de
passe. Cette évolution majeure fut accueillie de manière
plutôt positive à l’époque (10). Au final, les tribunaux ont
accordé au mot de passe une place privilégiée dans le dispositif juridique de protection des systèmes d’information.
La sécurité offerte
par le mot de passe
est variable et aléatoire
Nous vivons au quotidien avec le mot de passe. Les procédures d’identification par mot de passe sont aujourd’hui
indispensables pour protéger l’accès, l’intégrité et la confidentialité des systèmes d’information.
Ce succès résulte incontestablement du rapport efficacité/
© Falko Matte
CHRONIQUE
JURIDIQUE
coût/difficulté de
mise en œuvre
re m arq uab le
qu’offre le mot de
passe. Mais à la différence des autres modes d’identification, la sécurité offerte par le mot de passe est variable et
aléatoire. Cet aléa dépend de l’utilisateur lui-même, qui
en fait le choix : long, varié, différent pour chaque service, changé régulièrement, tenu strictement confidentiel, le mot de passe offrira une sécurité importante. Dans
le cas contraire, ce dernier n’offrira qu’une protection
insuffisante et, pire encore, illusoire.
Sur Internet, cette difficulté est aggravée par l’absence de
système d’identité global, qui contraint les utilisateurs à
devoir user d’un mot de passe distinct pour chaque service qu’ils souhaitent utiliser. Dans ces conditions, il est
tentant de n’utiliser qu’un seul et même mot de passe
pour l’ensemble de ces services en ligne. On en perçoit
immédiatement le danger : en cas de compromission du
mot de passe pour quelque cause que ce soit, l’identité de
l’utilisateur peut s’en trouver aisément usurpée.
C’est pourquoi, lorsque l’accès à un système d’information est sensible, l’authentification dite forte est indispensable. Le manque de crédit attaché au mot de passe étant
alors complété par d’autres éléments, comme une carte à
puce, que seul l’utilisateur autorisé est censé avoir en sa
■■■
possession.
[1] www.securite-informatique.gouv.fr, « Les dix commandements ».
[2] http://www.journaldunet.com/solutions/0205/020527_bon_password.shtml.
[3] Art. 11, conditions générales Internet Pro Orange (décembre
2007).
[4] Cass., chambre sociale, 21 décembre 2006, pourvoi n° 05-41165,
inédit.
[5] Loi n° 2000-230 du 13 mars 2000 portant adaptation du droit de
la preuve aux technologies de l’information et relative à la signature
électronique.
[6] Art. 323-1 du Code pénal. Le délit a été créé et introduit dans le
code pénal par la loi n° 88-19 du 5 janvier 1988 relative à la fraude
informatique, dite « loi Godfrain », du nom du député qui l’a proposée.
[7] Si l’accès frauduleux a engendré des dégâts involontaires, c’est
l’alinéa 2 de l’article L321-1 du Code pénal qui s’applique, lequel
double la peine maximale susceptible d’être prononcée. Cet article
dispose que « lorsqu’il en est résulté [de l’accès frauduleux] soit la
suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement dans ce système, la
peine est de deux ans d’emprisonnement et 30 000 euros
d’amende ». Si les dégâts sont volontaires, on applique l’article
L321-2 du même code.
[8] CA de Paris, 12e chambre, 30 octobre 2002, Kitetoa/Tati,
www.leglais.net.
[9] Jérôme THOREL, ZD Net, http://www.zdnet.fr/actualites/internet/0,39020774,2104590,00.htm.
29
THÉMA
A l’ère du Cloud Computing, de la mobilité… qui entraînent de nouvelles définitions
du SI des entreprises, la question se pose de l’utilité des outils de protection périmétrique.
Pourtant, pour nos trois experts, Joseph Graceffa, Directeur Technique associé d’Advens,
Yannick Hamon, Consultant et responsable du pôle « Tests d'intrusion et audits » chez
XMCO Partners, et Raphaël Marichez, Consultant chez Hervé Schauer Consultants (HSC),
le firewall a plus que jamais sa place au cœur de la défense de l’entreprise. Bien sûr,
il va s’agir de choisir les bonnes solutions, de les positionner aux bons endroits
et de savoir les administrer dans le temps. Encore une fois, l’organisation
et le bon sens sont aussi la clé d’une bonne protection contre les menaces.
Le phénomène d’ouverture du SI de l’ent re p r i s e , ap p aru
de puis que lque s
années et qui s’accélère avec le Cloud
Computing, conduit
les dirigeants d’entreprises, et, en particulier, les directions des achats,
toujours sur le « qui
vive » en matière
d’économies, à se
poser des questions
Joseph Graceffa, Advens
sur l’intérêt d’utiliser
des firewalls. Pourtant, pour nos trois experts, aucun
doute, le firewall reste un outil indispensable de protection du SI. Ainsi, Joseph Graceffa considère que le rôle
du firewall à l’ère du Cloud est fondamental pour la
sécurité, voire encore plus important avec l’usage de
machines virtualisées de plus en plus nombreuses dans
le Cloud. Pour lui, il faut absolument s’assurer des
contrôles d’accès réseaux à ces ressources externalisées :
chaque machine ou chaque application virtualisée dans
le Cloud doit avoir son firewall. De plus, reprend
Yannick Hamon, « en fonction du modèle de Cloud
Computing choisi, le firewall peut être contrôlé par l’entreprise ou par le fournisseur du Cloud. Cependant,
30
dans tous les cas, même en SaaS, les applications reposent sur des architectures N-Tiers et exposent des services sensibles (administration, supervision, base de
données, serveur de fichiers…). Même dans le Cloud,
l’accès à ces services doit être maitrisé afin de limiter le
risque en cas de compromission d’un serveur. Un firewall est donc toujours indispensable cependant, en
fonction du modèle choisi, ce dernier sera à la charge
de l’entreprise ou du fournisseur de service. Dans ce
contexte, le type de firewall à déployer dépendra surtout du modèle de Cloud. Plus l’entreprise doit maintenir de composants dans l’architecture (Modèle PaaS :
logiciels, bases de données) et plus le firewall doit être
complet (filtrage réseau couche 3 et 4, IDS/IPS, applicatif etc.). Ainsi, le type de firewall dépend uniquement
du périmètre à couvrir (réseau, application…) ».
Yannick Hamon, XMCO Partners:
les 3 principaux modèles de Cloud Computing
4IaaS : l’entreprise continue de maintenir les
couches logicielles (serveur, services, bases de données), seule la partie matérielle est gérée par le
Cloud.
4PaaS : l’entreprise est uniquement responsable de
l’application, le reste est géré dans le Cloud.
4SaaS : le Cloud prend son sens, c’est-à-dire que
même l’application est gérée par le fournisseur de
THÉMA
De ce fait, l’UTM qui regroupe plusieurs fonctionnalités
dans une appliance est un outil apprécié de nos
experts, comme l’explique Joseph Graceffa : « l’arrivée
des UTM nous a démontré que l’on pouvait mettre plusieurs fonctions de sécurité sur les réseaux, ceci dans
une seule boîte et donc simplifier les infrastructures de
sécurité dans les SI. A l’ère du Cloud, la virtualisation du
firewall paraît indispensable. De plus, compte tenu du
fait que les attaques ciblent maintenant les applications, il est tout aussi pertinent d’avoir des technologies
de type firewalls applicatifs, mais également à cause de
la facilité avec laquelle les outils arrivent à traverser les
filtrages réseaux en se « cachant » dans des flux standards et légitimes. Il est, par exemple, très difficile
d’empêcher un flux skype de sortir de son entreprise…
De ce fait, il convient d’avoir une forte capacité de filtrage applicatif ou de contenu. Les UTM ont donc un bel
avenir devant eux car, pour certains, ils couvrent l’ensemble de ces fonctionnalités : filtrage réseaux, filtrage
applicatif, filtrage de contenu, virtualisation et sécurité
dans la virtualisation… Reste que le débat de l’administration de l’ensemble de ces couches de sécurité
demeure entier : peut-on raisonnablement penser
qu’un administrateur de firewall aura la meilleure
expertise pour paramétrer au mieux la couche de sécurité applicative ? En effet, il n’y connaît généralement
rien en développement et est incapable d’analyser finement le site web que l’équipe marketing de l’entreprise
a fait développer chez un tiers qui ne documente rien
et utilise un obscur Framework personnel développé en
interne. Je pense que nous reviendrons soit à des fonctions de sécurité séparées dans différents outils experts
dans leur domaine, soit à un outil tout-en-un autorisant une administration fine de chaque fonctionnalité
de sécurité par différents profils dans l’entreprise et
avec bien-sûr une interface de management utile utilisable par tous ».
Quel que soit le réseau utilisé
(Cloud, réseau virtuel ou
périmétrique…), les mesures
de sécurité traditionnelles
s’appliquent toujours
toujours : simplement, elles s'appliquent à la couche virtualisée, sans que
ce la ne pe rme tte
d'en faire l'économie
sur la couche supp o rt. En g é n é ral,
dans une offre Cloud,
ces cloisonnements
e t f i l t r ag e s e n t r e
ré s e au x virtu e ls ,
entre réseaux d'adm inis tratio n, e tc .,
font partie des activiRaphaël Marichez, HSC
tés qui sont sous-traitées. Le client d'une offre Cloud n'a donc, en théorie, plus
à se préoccuper des fonctions de filtrage, du moins pour
la partie externalisée.
Cependant, il subsiste nécessairement un SI minimal qui
n'est pas externalisé, qu'il convient donc de protéger de
manière traditionnelle : cloisonnement des réseaux et
DMZ.
Par ailleurs, l'externalisation dans un Cloud impacte le
niveau applicatif : la navigation internet et plus généralement les flux applicatifs entre les postes de travail (y compris nomades) et l'extérieur (y compris dans le Cloud)
représentent l'essentiel des communications informaSPECIAL FEATURE
FIREWALLS ARE AN ESSENTIAL
PART OF THE CHAIN
Cloud computing and mobility have changed the contours of company
IT systems and raised the issue of peripheral protection. However, our
three experts -- Joseph Graceffa, associate technical director, Advens,
Yannick Hamon, consultant and intrusion testing and audit manager,
XMCO Partners, and Raphaël Marichez, consultant with Hervé Schauer
Consultants (HSC) – consider that the firewall is more than ever a key
element in a company's protection set up. Of course the right solutions
have to be selected, they have to be put in the right place and they have
to be managed correctly on an ongoing basis. Once again, the right
organisation and good sense are the key to successful threat protection.
Pour Raphaël Marichez, sur un plan purement logique,
un réseau virtuel reste un réseau, et les mesures de sécurité traditionnelles comme les firewalls s'y appliquent
31
THÉMA
tiques. Ces interconnexions constituent donc également
l'essentiel des possibilités d'attaques et des vulnérabilités
liées au réseau. Des firewalls applicatifs et d'autres
mesures de sécurité au niveau du SI résiduel de l'entreprise sont donc, comme avant, chargés d'assurer l'innocuité, autant que faire se peut, des flux entrants et sortants.
Finalement, la problématique fonctionnelle n'a pas beaucoup évolué ; ce sont les chemins empruntés par les flux
réseau qui ont changé, entraînant dans le même temps
une augmentation de la complexité et de l'imbrication
des réseaux. Tout à fait d’accord, complète Joseph
Graceffa, même si de nombreux opérateurs internet proposent des offres de firewall, le filtrage d’accès réseaux ne
doit pas se cantonner à l’accès Internet ou les accès à distance. Il est de plus en plus courant de mettre en œuvre
des firewalls dans les réseaux internes, pour séparer les
infrastructures, les applications des bases de données, les
utilisateurs de certaines applications, voire même de segmenter le réseau LAN en fonction des missions de chacun
dans l’entreprise… Ainsi, il faudrait pratiquement positionner un firewall devant chaque application. Bien sûr,
reprend Yannick Hamon, le firewall doit être situé au plus
proche de la donnée. Il ne suffit pas de mettre un firewall
à l’entrée du Cloud car celui-ci n’est pas une zone de
confiance. Idéalement, il faudrait mettre un firewall sur
chaque serveur, mais l’administration deviendrait alors
plus complexe. D’ailleurs, explique Raphaël Marichez,
cette complexité croissante augmente les coûts bruts d'exploitation ; les coûts marginaux ne peuvent donc être
réduits que lorsque l'économie d'échelle est suffisamment efficace pour compenser les coûts bruts. La sécurité,
quant à elle, pâtit de cette complexité croissante entraînant une inflation des vulnérabilités et des vecteurs d'attaque, et l'impact potentiel résultant d'une compromission, à l'inverse des coûts marginaux, augmente avec le
f ac t e u r d ' é c h e l l e . L e r é s u l t at d e l ' é q u at i o n
avantages/inconvénients n'est pas garanti malgré les discours marketing. Comme le conclut Joseph Graceffa,
« serait-ce là les prochaines réussites commerciales et
techniques à venir pour certains éditeurs de firewall ?
Probablement ! »
Firewalls de nouvelle génération :
nouveaux concepts marketing
ou véritables avancées ?
Nos trois experts ne sont pas tout à fait d’accord sur les
apports des firewalls de nouvelle génération. Pour
Raphaël Marichez, certains produits sont du bricolage
essayant, à partir de techniques parfois peu, voire pas
innovantes, d'améliorer l'efficacité des boîtiers, de
réduire les erreurs d'exploitation et, éventuellement, de
diminuer les faux-positifs, encore que ce dernier aspect
semble de moins en moins considéré ces derniers temps.
Il ne s'agit que d'une augmentation incrémentale du
niveau des technologies « arme contre bouclier », et ne
saurait constituer ne serait-ce que l'embryon d'une révolution. Par contre, Yannick Hamon estime que ces nouveaux types de firewall, en couplant un firewall traditionnel avec un firewall applicatif, amènent un apport supplémentaire en termes de sécurité. En effet, ils permettent
d’inspecter le contenu des flux et d’intégrer des notions
de comptes utilisateurs qui peuvent être utilisés afin de
filtrer l'accès en fonction des comptes Active Directory.
Enfin, Joseph Graceffa est un fervent « supporter » de ces
technologies : « ces firewalls apportent en fait une vision
et une organisation de la politique de sécurité basée sur
les utilisateurs, les ressources cibles et les usages de cellesci. Enfin, ils amènent une vue qui peut être comprise du
business et des fonctionnels de l’entreprise et non plus
une vision centrée sur « adresse IP / ports » qui ne résonnent qu’aux oreilles des administrateurs réseaux & sécurité. Un peu comme l’ont fait les premiers acteurs du VPN
SSL, où on parlait d’accès et d’usage de ressources plutôt
que de règles d’accès réseaux. Couplés à des systèmes de
fédération d’identité et d’IAM, de plus en plus développés
en entreprise, on peut maintenant rêver d’avoir une politique d’accès basée sur les utilisateurs, leurs métiers,
leurs contraintes et leurs objectifs de sécurité.
Enfin, ces nouveaux acteurs du firewall offrent des capacités avancées de contrôle des usages des applications qui
permettent de fixer clairement dans une organisation que
le DG a le droit à FaceBook ou Youtube sous toutes les
formes et que les utilisateurs du service clients n’auront
accès qu’à leur CRM favori… »
Administration des firewalls :
une question d’outils
et d’organisation
L’administration des firewalls, comme pour tout outil de
sécurité, est un problème crucial. Joseph Graceffa
explique de façon consensuelle : « tout réside dans le
choix de bon outil et d’une organisation sans faille ! »
Yannick Hamon entre dans le détail : « dans un premier
temps, les administrateurs doivent durcir la configuration
de leur firewall et se tenir informés des vulnérabilités afin
33
La gamme
Virtual Edition d’Arkoon :
l’UTM 100% virtualisé, pas émulé !
PUBLI-INFO
Interview de Gilles d'Arpa, Managing Director B.U. Network Security chez Arkoon
A l’ère du Cloud Computing, à
quoi peut servir un UTM ?
La porte d'entrée du réseau doit
assurer une étanchéité nette.
L’UTM, avec son filtrage des protocoles et des couches réseaux, et
l’établissement de tunnels sécuriGilles d’Arpa
sés, répond à ce besoin. En outre,
le concept de défense en profondeur justifie aussi
le maintien d’architecture de type UTM.
www.arkoon.net
Dans ce contexte, quel type de sécurité
périmétrique est-il pertinent de déployer en
entreprise ?
La sécurité périmétrique connaît plusieurs évolutions simultanées toujours plus consommatrices
en ressources. Pour y répondre, l’association de
l’UTM et de la virtualisation de services de sécurité assure une solution de protection actuelle et
évolutive. On peut passer d’une infrastructure de
100 jusqu’à 6 000 utilisateurs toutes fonctions de
sécurité activées (Firewall, Antivirus, Antispam,
Filtrage URL, VPN SSL) dans un budget contrôlé.
Comment faire le « bon choix » d’une
architecture virtualisée ?
L’objectif qui guide le choix de l’architecture de
l’entreprise doit être clair : comment conserver les
performances initiales de l’UTM quand l’ensemble
des relais applicatifs est activé ? comment sécuriser réellement la segmentation des réseaux et des
hébergements sur un même matériel physique ?
La gamme Virtual Edition d’Arkoon répond à ces
objectifs. Elle est basée sur deux solutions :
FAST360 Virtual Edition Web&Mail et FAST360
Virtual Appliance.
Que recouvre FAST360 Virtual Edition Web&Mail ?
C’est une architecture qui met en œuvre
appliances matérielles et virtuelles. Les appliances
FAST360 filtrent les flux au niveau applicatif (niv. 7)
en temps réel et intègrent une fonction de
concentrateur VPN IPsec. Les appliances virtuelles
sur VMware filtrent les données applicatives au
travers de fonctions de sécurité. La combinaison
appliance matérielle et appliance virtuelle
apporte à l'administrateur de sécurité une solution de filtrage frontale très performante et surtout évolutive. Ce type d'architecture est particulièrement adapté pour des infrastructures de plusieurs milliers d'utilisateurs ou des infrastructures
de services de type SaaS.
La segmentation des réseaux et des serveurs
doit être réellement sécurisée. Que proposezvous ?
Les besoins actuels tendent vers une sécurisation
34
PUBLI INFO
personnalisée des infrastructures et des applications. Ce que nous proposons aujourd’hui avec
FAST360 Virtual Appliance permet de sécuriser la
segmentation des services hébergés et des
réseaux. Nous avons fait le choix d’offrir une
sécurité totale. Virtual Appliance est le portage
complet du savoir-faire Arkoon en environnement virtualisé VMware, en une seule image. Les
solutions virtualisées Arkoon intègrent les toutes
dernières optimisations de VSphere 4. Elles possèdent un accès IO direct à l'hyperviseur, augmentant de manière significative les performances et autorisant les fonctions de gestion de
VSphere 4. La performance inter-machines virtuelles est optimale : elle est limitée uniquement par le fond de panier du serveur ESX.
A noter : tous ces avantages sont disponibles
en mode paravirtualisé, et non en simple
émulation.
L’évolution vers la virtualisation des fonctions
de sécurité ne bouleverse-t-elle pas les acquis de
l’UTM ?
La virtualisation doit être comprise comme une
redistribution des fonctionnalités existantes. Par
e xe m p le , l’antivirus So p h o s , l’antis p am
Commtouch sont préservés. Nos clients conservent leurs connaissances et méthodologies
acquises avec leurs équipement précédents. Avec
la virtualisation, la sécurité devient plus facile à
administrer: toutes les fonctions de sécurité font
l’objet d’une seule et même interface dans notre
gamme Virtual Edition. Elle perpétue le concept
d’unicité propre au tout-en-un de l’UTM. En sus,
les outils d’administration ACC, AMC, Arkoon
Manager, Monitoring, gèrent de manière homogène nos gammes virtuelles et physiques. En
termes de souplesse d’administration et de
pérennité d’investissement pour nos clients,
notre offre n’a rien de virtuel !
Les plus de FAST360
Virtual Edition Web&Mail
• Une garantie de tenue en charge
• Pérennité de l’investissement réalisé
• Maîtrise des coûts
• Mêmes outils d’administration que FAST360
Les plus de FAST360
Virtual Appliance
• Identiques à ceux de V.E. Web&Mail, avec
• Evolutivité des technologies de virtualisation
• Un socle virtualisé solide : VMware
• Sécurisation de la topologie
• Moindre coût de l’hébergement physique
THÉMA
de maintenir à jour la version logicielle du pare-feu. Le
firewall est un élément maître de la sécurité d'une entreprise et son accès doit être restreint et maitrisé. Il n'est
pas rare lors de tests d'intrusion de trouver des firewalls
implémentant encore des mots de passe par défaut.
Dans un second temps, les règles nécessaires au métier
doivent être étudiées et approuvées par l'équipe sécurité.
Dans les grandes entreprises, des nouveaux projets sont
lancés chaque semaine. Des dizaines de flux métiers doivent être ouverts. L'administrateur doit donc travailler
main dans la main avec les études et architectes afin de
comprendre le rôle de chaque flux au lieu d'ajouter
« bêtement » sans réflexion.
Enfin, les règles des firewalls doivent être simplifiées.
Aujourd’hui, la majorité des protocoles utilisés par les
logiciels n’utilisent plus de ports ouverts dynamiquement
(i.e : ouverture des ports 1024-65534), d’autres nécessitent,
par défaut, uniquement un peu de configuration
(i.e : Oracle 9 ou NFS) ».
Encapsulation : quel champ
d’action pour le firewall ?
Pour Raphaël Marichez, il est illusoire d'espérer pouvoir
abandonner la sécurité sur les flux réseau traditionnels qui
soutiennent les réseaux virtuels (encapsulés). La sécurité
étant une chaîne constituée de maillons, une vulnérabilité
du réseau sous-jacent entraîne la défaillance de la sécurité
de l'ensemble des réseaux virtuels qui en dépendent. Il faut
rappeler que le principal objectif d’un firewall est de restreindre l’accès à un service donné et de ne pas exposer
d’éventuels services
d’administration ou
dangereux, analyse
Yannick Hamon. Il ne
faut pas tout mélanger : si le service
exposé propose des
fonctionnalités d’encapsulation, ce service doit être renforcé
ou surveillé par un
composant
tiers
(IDS/IPS/Analyse de
logs) pour limiter
l’impact : ce n’est
Yannick Hamon, XMCO Partners
pas le rôle d’un firewall. Le pare-feu est un élément de sécurité, tout comme les
antivirus ou les proxy/reverse-proxy…, ceux-ci ne couvrent
pas tous les risques informatiques, mais sont indispensa-
bles. Toutefois, pour Joseph Graceffa, un firewall doit pouvoir analyser les flux le traversant et doit savoir identifier
toute tentative d’encapsulation ou, du moins, proposer un
moyen pour bloquer toute activité non reconnue ou non
autorisée.
Pas d’alternative aux firewalls !
Pour nos trois experts, il n’y a aucun doute, il n’y a pas
d’alternative au déploiement des firewalls. Selon Joseph
Graceffa, dans l’état de l’art actuel, il est illusoire de penser que les réseaux, les applications et les utilisateurs
assureront par eux-mêmes le contrôle d’accès… on peut
juste penser que la fonctionnalité de contrôle d’accès sera
présente à tous les étages, et plus ou moins automatisée
ou autonome, mais sera bien présente. Il ne faut pas
oublier que les firewalls ne sont qu'un outil et non un
objectif en soi. Il ne faut pas chercher une alternative,
comme si l'on pouvait choisir entre un outil et un autre,
rappelle Raphaël Marichez. « C'est l'ensemble des outils
qui seul permet d'atteindre un objectif de sécurité. Les
firewalls s'inscrivent d'ores et déjà dans des systèmes de
gestion (systèmes de management) permettant d'assurer
que l'ensemble de mesures de sécurité atteint un objectif
visé. Les firewalls n'en sont qu'un maillon, mais il semble
impossible de s'en passer : le principe de la virtualisation
repose sur un cloisonnement des réseaux virtuels ou des
applications virtuelles au sein de supports physiques
mutualisés.
Les fonctions de cloisonnement ne peuvent donc pas être
évitées, que ce soit au sein de l'univers nouvellement virtualisé ou au sein de l'univers des réseaux traditionnels,
sans oublier bien entendu l'isolation des univers les uns
des autres.
Il ne faut pas non plus oublier les flux d'administration
des équipements de sécurité tels que les firewalls euxmêmes : avec les imbrications liées au cloud, il est obligatoire d'assurer des protections périmétriques (fonctionnelles ou logiques) autour des firewalls eux-mêmes. En
termes clairs, il faut « firewaller » les firewalls. Cela est
exacerbé avec l'informatique nomade: l'administration à
distance des postes nomades, à relier avec le concept de
dé-périmétrisation, n'est ni plus ni moins qu'un contournement formidablement consensuel et ostentatoire des
structures de firewalls traditionnels qui ont mis plusieurs
années à se construire convenablement. Sans même pouvoir abandonner les premiers firewalls, il faut construire
des firewalls autour des nouveaux SI virtualisés ».
Toutefois, reprend Yannick Hamon, il n'existe véritablement pas de solutions alternatives aux firewalls d’autant
que la dé-périmétrisation n'est pas encore d'actualité et
35
THÉMA
ne sera certainement jamais implémentée en entreprises.
L’avenir des firewalls passera-t-il
par son déploiement sur des
équipements mobiles ?
Joseph Graceffa pense que les éditeurs de solutions firewalls et surtout ceux qui proposent des appliances ont
du souci à se faire s’ils ne vont pas vers le poste de travail utilisateur... Le firewall ne pourra plus se contenter
de se positionner en périphérie du réseau. D’ailleurs, il
pourrait même être intégré dans les cartes réseaux*. En
effet, la ligne entre le monde extérieur (Cloud, externalisation...) et le SI (infra, BDD, users) de l'entreprise est
de plus en plus floue et il faut maintenant se soucier de
la sécurité de l'équipement de l'utilisateur qui produit
et gère les données... Ainsi, nos clients les plus matures
réfléchissent à se passer de firewalls en périphérie.
Effectivement, pourquoi mettre en œuvre des firewalls
sur internet alors que l'internet est partout et que les
données sont soit sur des machines internes, ou de plus
en plus des machines externes... Dans ce nouveau
contexte, le firewall sur le poste de travail et très rapidement sur l'équipement mobile (GSM, Smartphone,
IPhone, NetPC ...) va devenir indispensable. Cependant,
ces équipements mobiles sont pour l'instant encore un
peu légers en capacité (mémoire, CPU...) pour faire
fonctionner une application de sécurité complète... De
plus, ces solutions mobiles arrivent tout juste et ne disposent pas, pour certaines, de consoles de management
dignes de ce nom... bref... ces solutions sont l'avenir du
firewall mais ne sont pas encore prêtes ....
Firewall de demain :
toujours plus intelligent
Joseph Graceffa s’exclame : « le firewall de demain
sera entre les mains des managers d’équipes qui pourront mettre en place les règles d’accès aux données
pour leurs métiers ! C’est lui qui aura le pouvoir de laisser ou non passer un flux ou une activité de son poste,
de son serveur, de son application… le challenge technique à venir pour les éditeurs de firewall sera d’avoir
la capacité de proposer une interface de management
que chaque utilisateur pourra utiliser en toute autonomie ». De ce fait, analyse Yannick Hamon, les firewalls
de demain seront sans doute « intelligents », ils détecteront et avertiront les administrateurs de règles trop
permissives ou non utilisées. Cependant, la fonctionnalité la plus attendue est sûrement la « contre-attaque »
à l’aide d’un buzzer USB ou Wifi disposé sur le bureau
du RSSI… Effectivement, reprend Raphaël Marichez,
d’ores et déjà dans les firewalls de la n-ième « nouvelle
génération », les techniques décisionnelles embarquées sont de plus en plus complexes :
• l'utilisation de technologies complexes reste source
de bugs, plus que jamais ;
• la factorisation donc l'homogénéisation des fonctions
techniques et des fonctions décisionnelles, d'une part,
ne s'adapte pas aux organisations ayant des besoins
hors-normes ou qui exigent une maîtrise fine de leur
sécurité, et, d'autre part, augmente le panel d'organismes vulnérables à une unique défaillance donnée.
Sur ce sujet, il n'est pas nouveau de constater que la
multitude d'offres de boîtiers embarque toujours un
petit nombre de techniques que se partagent les différents acteurs du domaine. Le choix ne s'en trouve que
plus confus, puisque les éléments différenciant se
réduisent généralement au marketing et éventuellement à l'accompagnement, et surtout une unique faille
dans une unique technique, une fois exploitée, expose
un nombre de produits considérable.
On est, de plus, en droit de s'interroger sur la pertinence de confier à des boîtiers purement techniques
des fonctions décisionnelles utilisant des critères de
plus en plus complexes. De manière générale, ces boîtiers peuvent apporter une certaine aide technique,
grâce à l'automatisation qu'on appelle « intelligence
embarquée », auprès de PME peu exigeantes et voulant
surtout se rassurer. Cependant, il est constant depuis
plusieurs années que les organisations de la sécurité
matures préfèrent conserver la maîtrise fine de leurs
télécommunications.
En tout état de cause, les conséquences en termes de
sécurité liées à l'intégration dans son SI de solutions
d'une telle complexité sont maintenant bien connues :
une organisation sérieuse ne fait plus l'économie
d'analyser les risques provenant de cette forme de soustraitance. Si certaines venaient à les oublier ou les sousestimer, alors les exemples de pertes d'activité consécutives à une défaillance du sous-traitant seraient fréquents. Ainsi, le dernier en date est celui de la mise
hors service de nombreux relais de messagerie le 16
avril 2010 suite à la fin de vie de ClamAV-0.94, rappelant « un vieux » principe toujours d'actualité : la sécurité étant une chaîne, une défaillance des mécanismes
supports brise la sécurité de tout ce qui en dépend. Et à
trop vouloir sous-traiter les tâches requérant de l'expertise, on perd entièrement la vision des risques
■■■
quotidiens…
* NDLR :
le rachat
de McAfee
par Intel
semble
confirmer
cette
remarque
37
Firewalls de nouvelle génération :
le contrôle au niveau
des applications est un must
Interview de Florian Malecki, EMEA Enterprise Product Marketing Manager SonicWALL
Quels sont les principaux critères
de sélection qui doivent retenir
l’attention d’un RSSI lorsqu’il
doit déployer une solution de
Next Generation Firewall ?
Les applications Web sont au
cœur des innovations du Web 2.0,
de l’informatique de type
Florian Malecki
« cloud » et des initiatives de
mobilité permettant d’augmenter la productivité, de faciliter la collaboration, de simplifier les
opérations et de réduire les coûts. Pourtant, malgré les avertissements répétés de nombreuses
entreprises restent insensibles à l’augmentation
des risques liés aux éléments suivants :
4Logiciels (SaaS) et architecture orientée services (AOS). Ces applications font l’objet d’attaques sophistiquées permanentes et persistantes provenant de pirates dont les motivations
sont financières et politiques.
4Applications Web 2.0 interactives, de réseautage social. Ces applications peuvent permettre
la fuite de données confidentielles de façon
volontaire ou accidentelle, pouvant entrainer
des poursuites judiciaires ou des situations de
non conformité aux réglementations.
4Ordinateurs portables compatibles WiFi et
téléphones intelligents 3G/4G. Plus leur utilisation se généralise, plus celle des applications
Web dans le cadre professionnel augmente, ce
qui engendre de nouveaux risques en matière de
sécurité.
4Cryptage, nouveaux ports et ports non
standard. Ils peuvent permettre au trafic des
applications Web d’échapper à la détection et au
contrôle mis en place par les firewalls
traditionnels.
4Menaces persistantes élaborées et attaques
visant des entreprises précises. Associées
aux menaces existantes, elles participent à l’augmentation exponentielle du nombre total de
menaces.
Les firewalls conventionnels n’ont pas l’œil sur
tous les dangers. Ils n’analysent que les en-têtes
de paquets, négligeant les menaces cachées dans
la partie « données ». Pour assurer une protection totale contre les menaces internes et
externes, il est indispensable de scanner en
temps réel l’ensemble du trafic, et ce quel que
soit le protocole, le port, la taille du fichier etc.
Afin d’offrir le maximum de protection,
un firewall de nouvelle génération doit être
capable de:
SonicWALL
Solution phare : SonicWALL
Network Security Appliances
(NSA and E-Class NSA)
Contact : Franck Trognée,
Country Manager France
Tél. : +33 (0) 49 33 73 09
Web : www.sonicwall.com
38
Par rapport à ces critères comment se positionne
votre offre ?
L’approche de SonicWALL est simple : nous
pensons que les solutions de sécurité doivent
être suffisamment « intelligentes » pour s'adapter de manière dynamique à l'évolution des
entreprises et des menaces, et ce, dans le monde
entier. Pour SonicWALL, les clients aux quatre
coins du globe doivent être à même de contrôler,
gérer et protéger facilement et automatiquement leur réseau global. En outre, les clients
doivent être en mesure de recevoir et de partager
des données concernant les menaces et la
défense, afin d'anticiper les attaques et d'y
mettre fin avant même qu'elles se produisent.
SonicWALL® Application Intelligence permet aux
appliances de sécurité réseau SonicWALL d’étendre la protection, la gestion et le contrôle du
trafic sur la couche applications (via plus de
2700 signatures d’applications uniques), sans
négliger les menaces traditionnelles visant la
couche réseau.
P o u v ez - v o u s n o u s p r és en t er l e p r o j et
SuperMassive ?
So nic WALL a ré c e m m e nt anno nc é Pro je c t
SuperMassive, la première plate-forme et technologie de sécurité de «nouvelle génération », capable de
détecter et de contrôler les applications, les intrusions, et bloquer les malwares à une vitesse de 40
Gbps sans générer de latence réseau.
Le Projet SuperMassive repose sur une architecture multiprocesseur de grande puissance basée
sur les processeurs OCTEON® de Cavium
Networks tournant sur le châssis multilame
de SonicWALL. Le moteur unique RFDPI de
SonicWALL est capable de scanner, d’identifier et
de contrôler les applications, tout en protégeant
simultanément contre les intrusions, virus, logiciels espions et autres chevaux de Troie, sans
compromettre les performances. De plus, la
technologie RFDPI s’appuie sur les bases de données de réputations du réseau GRID SonicWALL,
source supplémentaire de renseignements pour
les 1.6millions de firewalls SonicWALL à travers le
monde.
Cette solution sera commercialisée très prochainement. SonicWALL sera présent aux Assises de la
Sécurité : nous invitons les participants à venir
découvrir le Projet SuperMassive et nos autres
●●●
solutions Grands Comptes.
1) identifier par application, groupe d’utilisateurs/utilisateurs, inspection du contenu
2) catégoriser par application, catégories d’applications, destinations, contenu, groupes d’utilisateurs/utilisateurs
3) contrôler en faisant de la prioritisation et de la
gestion des applications et des flux, bloquer les
attaques (IPS, GAV, etc.)
PUBLI INFO PUBLI INFO PUBLI INFO PUBLI INFO PUBLI INFO PUBLI INFO PUBLI INFO PUBLI INFO PUBLI INFO PUBLI INFO PUBLI INFO PUBLI INFO
Les 10 règles d'or
pour administrer
un firewall
3Par Matthieu Bonenfant, responsable du pôle « Mesure & Amélioration
Continues de la Sécurité » chez ADVENS
Pour une administration efficace et optimale en termes de sécurité, il convient de
respecter certaines règles de base, notamment en ce qui concerne la conception et l’usage
des politiques de filtrage firewall, mais aussi l'administration et la bonne gouvernance
des firewalls :
1• Ordonner
la politique de sécurité par
thème pour une meilleure lisibilité : les différentes règles d'une politique de sécurité doivent être classifiées soit par zone (LAN vers
DMZ, Externe vers DMZ, etc.), soit par type de
flux (flux métiers, surf Internet, etc.).
2• Simplifier les règles au maximum, supprimer les règles inutiles ou désactivées. Mettre
une date d'expiration sur des règles de flux
temporaires.
3
• N'autoriser que les flux explicitement validés. Ne pas utiliser de « ANY » dans les règles,
sauf cas particuliers : en source pour la publication de services sur Internet, « ANY » en destination pour le surf Web, « ANY » en services
pour les tunnels VPN avec des sites distants de
confiance, tout en ayant une analyse régulière
des logs sur ces flux.
4
• Activer la traçabilité des connexions, mais
éviter de loguer les flux broadcast, souvent
trop nombreux, tout en connaissant leur existence et la source de ces évènements.
5• Créer
une console d'administration
Firewalls dans une DMZ Administration
dédiée, et y restreindre son accès aux administrateurs autorisés.
6
• Créer des comptes nominatifs pour l'accès
au firewall, ne pas utiliser de comptes génériques. Changer les mots de passe régulièrement.
7
• Sécuriser le transfert d'informations entre
les administrateurs Firewall : commenter toutes
les règles de la politique de sécurité et les changements apportés à ces règles. L'usage d'une
« main courante » ou d'un journal d'administration permet une investigation a posteriori en
cas d'incident lié à des faits d'administration.
8
• Sauvegarder régulièrement les configurations des Firewalls sur la console d'administration et les stocker dans un espace sécurisé tiers
(coffre).
9
• Surveiller régulièrement le statut des firewalls, leur niveau de mise à jour et consulter
les journaux d'événements pour identifier des
erreurs de configuration ou des incidents de
sécurité.
10• Appliquer un processus ITIL de gestion
du changement de la politique de sécurité :
planification et revue des changements en
comité consultatif. Réaliser une revue régulière
de toutes les règles pour identifier des éventuels chevauchements, superpositions ou dou-
39
THÉMA
Paroles d’Editeurs
Par Marc Jacob
La sécurisation du poste client est une telle préoccupation du monde de la SSI,
consultants, RSSI… que certains se posent même la question d’intégrer les firewalls
dans les cartes réseaux. Face à ce courant, les fournisseurs d’équipement de firewall
émettent des réserves, en particulier par rapport à la centralisation de l’administration
de cette nouvelle architecture. Pour eux, la sécurité du poste client est complémentaire
au déploiement de firewall.
* NDLR :
le rachat
de McAfee
par Intel
semble
confirmer
cette
remarque
Certains consultants estiment que « les éditeurs de solutions firewalls, et surtout ceux qui proposent des
appliances, ont du souci à se faire s’ils ne vont pas vers le
poste de travail utilisateur. D’ailleurs, le firewall pourrait
même être intégré dans les cartes réseaux* ». Du côté des
éditeurs de firewall, trois tendances semblent s’imposer :
ceux qui, comme Check Point ou Arkoon, ont une stratégie d’acquisition pour offrir des solutions complémentaires, en particulier dans le domaine du chiffrement,
ceux qui élargissent le spectre des services proposés dans
leurs appliances, comme Netasq, enfin ceux, comme
EdenWall Technologies, qui se spécialisent sur un segment
ou qui surfent sur des créneaux porteurs comme
Stonesoft avec la virtualisation. Bien sûr, ces stratégies
peuvent également s’entrecroiser, en particulier dans le
domaine de la virtualisation, où pratiquement tous les
éditeurs apportent « leur petite pierre » à la sécurisation
de ces environnements, source de business important
pour les prochaines années.
Face à cette acception, tous les éditeurs sont d’accord, le
déploiement de firewall sur les cartes réseaux pose, entre
autres, le problème de leur administration centralisée.
Pierre Calais, VP Netasq, Ingénierie et Opérations, se pose
plusieurs questions : « en prenant comme hypothèse
que la fonction de Firewall soit intégrée dans la carte
réseau, quel serait le « réceptacle » de cette carte ?
Comment cette solution serait-elle administrée ? Nous
pouvons prendre l’exemple de certains équipements
réseaux qui intègrent la fonction de firewall, est-ce pour
40
autant que le marché du firewall n’existe plus ? Non !
Plus sérieusement, le firewall dans cette configuration
serait une vision très restrictive ». Chez Fortinet, José
Grandmougin, Consultant Senior Europe, rappelle que le
firewall est déjà sur le poste de travail, les PC étant
aujourd’hui tous (ou quasiment) équipés de logiciels firewall. Toutefois, ces déploiements n’empêchent pas le
besoin de la présence du firewall au niveau du réseau,
qui, par ailleurs, ne représente qu’une partie de la sécurité de l’entreprise... Il n’y a donc pas de nouveauté sur ce
point. De plus, le principe de base du firewall réseau est
de cacher les vraies adresses IP des PC avec du NAT (network address translation) et de le faire de façon plus intelligente qu’un simple routeur. Donc, comment gérer les
alertes ? Par exemple, si 5.000 PC se font attaquer en
même temps, alors ces PC remonteront-ils simultanément
des alertes ? Enfin, imaginer une intégration avec les
cartes réseaux n’est pas pensable : comment mettre à
jour ces cartes réseaux ? Et la gestion ? Comment faire respecter les politiques de sécurité ? Comment définir les différents types d’utilisateurs, etc. ? Quid de l’authentification ?
Sans parler du coût exorbitant en comparaison de l’installation et la maintenance d’un seul boitier firewall pour
sécuriser le réseau ! Effectivement, reprend Léonard
Dahan, Country Manager France & Benelux de Stonesoft :
« dans le cadre d’une intégration du firewall au niveau
des cartes réseaux, il faudra prendre en compte l’administration centralisée, la gestion des politiques de sécurité,
ainsi que les contraintes de maintien en conditions opérationnelles de l’ensemble de ces cartes réseaux ».
THÉMA
… Et l’avénement du Cloud
ne résoudra pas le problème
pour autant
Thierry Rouquet, CEO d’Arkoon Network Security, constate
qu’une partie de la profession pense effectivement que la
sécurité périmétrique matérialisée par les firewalls/ UTM
tend à disparaître au profit de contrôles réalisés directement au niveau du cloud, public ou privé, d'une part, et sur
le poste de travail, d'autre part. Dans ce schéma, des
réseaux logiques bâtis sur des technologies d'encapsulation,
de VPN, ou encore de P2P permettent d'assurer la confidentialité des échanges.
Cette vision est séduisante, car elle permet un usage généralisé d’Internet et des ressources cloud via des applications
de collaboration point à point, elle est aussi cohérente avec
le développement exponentiel des usages nomades. « Nous
pensons néanmoins que la porte d'entrée du réseau doit
rester un point de contrôle fort et assurer une étanchéité
nette : protection des données topologiques des réseaux, filtrage des protocoles et des couches réseaux, établissement
de tunnels sécurisés, filtre antimalware.
En réalité, la mise en œuvre des « défenses en profondeur » et de la politique de sécurité doivent pouvoir intervenir à la fois au niveau du réseau, au niveau des centres
serveur ou du cloud et, bien entendu, du poste de travail,
celui-ci constituant le maillon faible, notamment en raison
du comportement de l'utilisateur.
Ce nouveau paradigme implique une mise en cohérence
entre tous les mécanismes de sécurité qu'ils soient mis en
oeuvre sur le réseau, dans le cloud ou sur le poste de travail.
Il conduit le facteur de forme de l'appliance à évoluer :
appliance physique haute performance qui contrôle les flux
en entrée du centre serveur, appliance virtuelle qui segmente les applications et les services, appliance de
connexion de site distant qui s'appuie sur le cloud pour les
services complémentaires au firewall ».
A chacun sa solution
pour renforcer la sécurité
des postes clients
Tous nos éditeurs estiment que le durcissement du poste
client devient « un must ». Dans ce domaine, chacun a sa
stratégie. Pour Michael Amselem, Head of European Sales
Endpoint Solutions de Check Point Software Technologies,
elle passe par une stratégie de rachat d’entreprise : « Check
SOFTWARE PROVIDERS HAVE THEIR SAY
CLIENT TERMINAL SECURITY APPLICATIONS
SHOULD BE COMPLEMENTARY TO
FIREWALL PROTECTION
BY MARC JACOB
Securing client terminals is such a concern for IT security consultants,
ISSMs etc, that some advocate the integration of firewalls into the network cards. Firewall suppliers are dubious however, in particular with
respect to the problems of centralising the network management system
for this type of architecture. Their view is that client terminal security
measures should be complementary to firewall implementation.
41
La fin du pare-feu
traditionnel : quelle
solution pour demain ?
PUBLI-INFO
Par Yann Pradelle, Regional Director
France Belux Spain Portugal & Northern Africa - de Fortinet
Le monde de la sécurité s’agite
beaucoup au sujet des « parefeu de nouvelle génération »
(Next-Generation Firewall ou
NGFW), vu par certains comme
Yann Pradelle
une technologie novatrice. En
réalité, un NGFW n’est qu'une forme de gestion
unifiée des menaces (Unified Threat
Management ou UTM), voire une simple évolution du pare-feu traditionnel. En effet, s’il est évident que les produits pare-feu offrent
aujourd’hui plus de fonctionnalités et de capacité que ceux de première génération, cette évolution ne fait que répondre aux changements
qui se sont effectués au niveau du trafic, des
applications et des menaces qui les visent.
FORTINET
Contact : Yann Pradelle
Tél. : +33 (0) 1 58 58 28 64
Web : www.fortinet.com
42
Face à ces changements, la nouvelle stratégie de
sécurité des entreprises repose-t-elle en l’adoption de produits NGFW ? Faut-il plutôt considérer l’UTM ? Ou encore, comme l’indique l’analyste Richard Stiennon, les solutions UTM sontelles tout simplement la nouvelle génération de
pare-feu*?
La technologie NGFW n'est pas si nouvelle que
les campagnes marketing le prétendent. Décrite
comme l’intégration étroite entre pare-feu, IPS,
des technologies VPN et des fonctions de
contrôle applicatif, elle offre des fonctionnalités
depuis longtemps proposées par d’autres produits de sécurité.
Une des technologies NGFW présentée comme
une des dernières innovations majeures est la
visibilité des applications, associée à des fonctions
de contrôle. Mais est-ce réellement une innovation ? Le contrôle applicatif est tout simplement
la capacité à détecter une application en fonction
de son contenu et non du protocole traditionnel
de la couche 4. Alors que l’on bascule vers un
modèle de distribution basé sur le Web, la capacité à détecter une application en fonction de son
contenu est importante. Cependant, elle n’est pas
particulièrement innovante car elle ne fait que
déplacer le contrôle applicatif au niveau de la
couche 7 du réseau. C’est une différence importante, mais pas suffisante pour justifier la désignation d’une nouvelle catégorie de pare-feu. Le
contrôle applicatif est donc amené à subir le sort
d’autres technologies telles que le NAC (Network
Access Control) et le DLP (Data Loss Prevention)
qui ont d’abord été identifiées comme des pans
entièrement nouveaux du secteur, puis ont été
réduites à de simples fonctionnalités.
La réalité du monde de la sécurité montre que
l’inspection approfondie de tous les contenus est
essentielle. La simple approche d’autorisation/
blocage des applications NGFW ne suffit pas.
Ainsi, pour se protéger contre le récent virus
Conficker, une entreprise devait avoir un parefeu, un filtrage Web, un antivirus réseau et hôte,
un système IPS, et un anti-spam, en plus d’un
mécanisme efficace de mise à jour automatique
de tous ces composants. La solution UTM a ici un
vrai rôle à jouer. Il s’agit véritablement d’une
catégorie de produit qui englobe les pare-feu de
nouvelle génération pour assurer au-delà du
contrôle applicatif, une protection complète du
contenu. Elle intègre la fonctionnalité de
contrôle applicatif, mais les technologies qu’elle
utilise sont plutôt axées sur l’analyse précise du
contenu des applications légitimes et sur le blocage des applications indésirables pour assurer
qu’aucune menace transite par leurs échanges.
Le défi majeur que les éditeurs de solutions UTM
doivent aujourd’hui relever est la capacité à
s’adapter aux déploiements de grande échelle
dans les entreprises. En effet, le volume de
contenu à inspecter est significativement plus
élevé que celui traité par les pare-feu traditionnels ou NGFW. Or, la détection et la protection
contre les menaces les plus complexes sont très
exigeantes en bande-passante. Il est donc essentiel pour les éditeurs UTM de faire évoluer leurs
solutions dans le domaine d’accélération matérielle pour répondre aux besoins des entreprises.
C’est ce que Fortinet offre aujourd’hui à travers
sa gamme de produits FortiGate. L’utilisation
d’accélération matérielle permet d’assurer l’analyse des menaces et le réassemblage du trafic en
temps réel à un débit pouvant atteindre le gigabit. L’intégration des fonctionnalités de sécurité
(pare-feu, IPS, VPN, contrôle applicatif, DLP, filtrage Web, etc) passe par la combinaison de composants matériels spécifiques à une accélération
ASIC permettant d’assurer la réduction des délais
de traitement et un débit élevé du trafic applicatif. Une fois les questions de latence et de résilience réglées, l’UTM devient une solution rentable, apportant un haut niveau de sécurité, et
facile à gérer pour les entreprises. Une solution
haut de gamme, qui répond aux besoins de
●●●
sécurité de « nouvelle génération ».
* cf l’analyse de Richard Stiennon: “UTM is the next
generation firewall” publiée pour Gerson Lehrman Group
le 13 juillet 2010.
PUBLI INFO PUBLI INFO PUBLI INFO PUBLI INFO PUBLI INFO PUBLI INFO PUBLI INFO PUBLI INFO PUBLI INFO PUBLI INFO PUBLI INFO PUBLI INFO
THÉMA
Paroles d’Editeurs
Point en tant que spécialiste de la sécurité réseaux a une
approche très claire par rapport aux solutions Endpoint. C’est
un élément très important de notre offre. A travers nos différentes acquisitions, comme celle de Pointsec (Protect Data) et,
plus récemment, de Liquid Machines, nous avons développé
et étoffé une suite complète de solutions pour les postes de
travail. Il s’agit pour nous de compléter et d’étendre les capacités de nos produits, tant software qu’Appliance, de la passerelle Firewall au poste de travail afin de permettre à nos
clients d’implémenter des politiques de sécurités plus efficaces, plus simples et de les optimiser grâce à une console
d’administration unique ». Chez Arkoon, reprend Thierry
Rouquet, « nous disposons avec StormShield (SkyRecon)
d'une solution performante de protection du point d'accès,
nous avons beaucoup investi dans notre offre FAST360 pour
l'adapter à cette nouvelle donne, notamment en matière de
virtualisation, et nous travaillons à permettre, au travers de
nos plates-formes de management et de reporting, la gestion
d'une politique de sécurité cohérente du point d'accès au
centre serveur en passant par le réseau ».
Chez Netasq, Pierre Calais explique : « nous proposons
davantage de fonctions de sécurité, c’est pour cela que
depuis longtemps la notion de firewall est couplée avec
celle de l’IPS. De plus, un firewall permet de mettre en
place une politique de sécurité pour l’ensemble d’un réseau
au travers de règles de filtrage ; pouvons-nous envisager de
définir des règles de sécurité pour l’ensemble d’un réseau
avec des cartes réseau ?
Les solutions de sécurité périmétriques sont et seront évidemment accompagnées dans l’avenir par des produits
complémentaires. Cela ne changera en rien le fait que cette
sécurité périmétrique continuera d’évoluer et d’exister, car
elle est indispensable dès que l’on est connecté à Internet.
Prenons le parallèle avec des systèmes d’alarmes très performants qui seraient posés sur les portes, cela voudrait-il
dire qu’il n’y a plus de serrures aux portes ?
Cependant, l’évolution des offres de sécurité vers l’appliance
virtuelle et la sécurité embarquée épouse logiquement
l’évolution future des infrastructures informatiques. Bien
plus que cela les dispositifs de type « sécurité périmétrique » du fait de la virtualisation vont se multiplier dans
l’avenir pour venir au plus près des applications.
En conclusion, interrogeons-nous sur la nature du rapport
entre la sécurité périmétrique et le poste de travail de l’utilisateur ? »
EdenWall Technologies a choisi de mettre l’utilisateur au
centre des appliances en prenant le parti de s’intéresser à
l’identité de l’utilisateur ce qui permet de déporter le problème sur le poste de travail tout en gardant une administration centralisée. Ainsi, explique Eric Leblond, CTO
d’EdenWall Technologies, « le but premier et la raison
d'être d'une solution firewall sont d'assurer la protection
des biens d'une entreprise en réalisant un contrôle des flux
réseaux. Le firewall d'entreprise par son rôle de garde-barrière reste donc d'actualité. Les solutions classiques du marché assurent de manière satisfaisante le contrôle des flux
dans le sens extérieur vers intérieur, mais cela est beaucoup
plus difficile pour les flux internes : des questions simples
comme parvenir à limiter les accès à une application critique en fonction des profils des personnes trouvent difficilement des réponses.
Le but d'EdenWall Technologies en mettant au centre de ses
appliances l'utilisateur et l'identité est d'offrir une solution
simple à ce genre de problématiques. En ce sens, nous
considérons qu'il est nécessaire de se rapprocher du poste
de travail de l'utilisateur pour justement intégrer l'utilisateur aux politiques de filtrage.
Concernant l'idée d'un firewall intégré aux cartes réseaux,
cela peut aboutir à une sécurité du poste de travail augmentée, car ne reposant pas sur le système d'exploitation
installé. Cependant, ce n'est dans le cadre de l'entreprise
qu'une brique complémentaire à une solution centralisée :
ce n'est pas parce que mes postes de travail se protègent
que mes serveurs sont protégés (notamment de l'attaque
d'une machine non équipée du pare-feu connectée au
réseau). Il est donc indispensable de garder un dispositif
central garant de la sécurité entre les différents réseaux.
Pour résumer, le poste de travail et l'utilisateur sont les
grands laissés pour compte des solutions firewall traditionnelles et c'est en intégrant ces deux entités que les éditeurs
pourront offrir une réponse globale à la sécurisation des
réseaux et des systèmes d'information afférents ».
José Grandmougin est totalement d’accord sur le fait qu’il
faut sécuriser le poste utilisateur : « d’ailleurs, nous proposons des solutions qui vont dans ce sens. Toutefois, nous
estimons que cette sécurité n’est pas suffisante et ne remplace pas le besoin d’un firewall réseau ». « Chez
SonicWALL, nous proposons des solutions gateway avec
quelques éléments pour la sécurisation des postes de travail
(anti-virus, anti-spyware, client VPN IPsec et SSL) ou encore
l’EPC (SSL VPN). Les firewalls personnels de postes finissent
toujours par rendre le travail et la gestion des postes
nomades impossible. Mais de là à dire qu’un firewall personnel embarqué sur une carte réseau va aujourd’hui éradiquer les firewalls de cœur de réseau, c’est quand même
extravagant… » estime Florian Malecki, EMEA Enterpise
Product Marketing Manager. Et Léonard Dahan de conclure
: « si la cible est de faire des politiques par application
et/ou par utilisateur, alors la visibilité et le contrôle du trafic, transitant sur le SI, se voit amélioré ainsi qu’une meilleure prévention des menaces à la source (ex : propagation
de vers…). Par contre, nous préconisons cette solution
comme un complément au firewall traditionnel ».
43
© Sebastian Kaulitzki
COUPE DU MONDE DE LA FIFA :
DOUBLE DOSE
DE SPAMS POUR LES
INTERNAUTES FRANÇAIS
Si les fameuses Vuvuzelas ont assourdi tous les fans de foot, le spam a comme à son
habitude, pour chaque évènement médiatique, pollué les PC du monde entier.
Dans ce domaine, les internautes français grâce à la « bienveillance » de nos législateurs
ont bénéficié d’une « double dose » de spam avec l’autorisation de l’ouverture des sites
de jeux en ligne. Une aubaine supplémentaire pour les pirates informatiques
toujours à l’affût de bénéfices juteux en quasi toute impunité.
Comme pour tout
évènement médiatique, les pirates
informatiques
se
sont rués sur la
Coupe du monde
pour adresser du
spam aux internautes, et ce depuis
la fin de l’année dernière, date à laquelle
on connaissait les
noms
de
tous
le s p ays qualifié s .
Guillaume Lovet, Fortinet
G u i l l au m e L o v e t ,
Responsable de l’équipe EMEA anti-menaces chez
Fortinet, déplore que chaque évènement dont la résonance est mondiale (évènements sportifs, catastrophes
naturelles,
mort
d'un
« people », fêtes religieuses, etc.), génère la circulation
de nombreux scams. En revanche, Fernando Cima, Senior
Security Architect, Security Center of Excellence, Microsoft
Corp, n’a pas constaté une recrudescence particulière du
spam, même si chaque événement médiatique majeur
est utilisé pour tromper les utilisateurs et leur faire télécharger des chevaux de Troie. On peut donc s’attendre à
ce que la Coupe du monde de football ait pu engendrer
des attaques. Selon le rapport Symantec de juillet 2010
44
sur le Spam et le
Phishing, le nombre
de messages comportant les mots clefs
liés à la Coupe du
Monde (dans l’objet
du courriel) aurait
été plus de neuf fois
plus important pendant cette compétition que pendant
celle
de
2006.
Toutefois, il faut
aussi se rappeler que
Luis Corrons, PandaLabs
le nombre de spams
est multiplié par deux chaque année, donc, en 4 ans, le
spam aurait pu être 8 fois plus nombreux... Cette statistique est, en conséquent, loin d’être alarmante. Bien sûr,
comme l’évoque Luis Corrons, Directeur du PandaLabs de
Panda Security, l’objectif des pirates informatiques reste
le même, le « Gain ».
Le BlackHat Search Engine
Optimization : la méthode la
plus utilisée par les pirates
© Boguslaw Mazur
MALWARES BUSTERS
MALWARES
L’ARJEL, complice involontaire
des pirates…
Benois Grunemwald, ESET
François Paget, McAfee
La modification de la
règlementation française en matière de
jeux en ligne a fait de
l’ARJEL un complice
involontaire
des
pirates. En effet, lors
de cette coupe du
monde, des sites de
jeux en ligne frauduleux proposant de
fausses offres de la
FIFA ont fleuri aux
quatre coins de la
toile. Ainsi, François
Paget, chercheur de
virus chez McAfee, a
recensé :
• Des sites de loterie
faussement attribués
à la FIFA (tout
comme avec le scan
419, « l’he ure ux
gagnant » se verra
demander d’avancer
des frais pour certains honoraires).
• Des fichiers pdf à
l’attention des fans
de foot qui exploitent
une
vulnérabilité
(CVE-2010-0188).
• La mise en avant dans les
moteurs de recherche de pages piégées (search engine poisoning techniques).
• En Chine, des utilisateurs de smartphone Symbian S60
2e génération se sont retrouvés face à un programme
malveillant dont l’une des accroches était « Free World
CUP VOD ». Pour les uns, ce programme participait à la
mise en place d’un botnet, pour d’autres, il envoyait des
SMS surtaxés (SymbOS/ShadowSrv).
Sans compter, une campagne de spam ayant mis en scène
une agression à l’encontre de l’entraîneur Dunga. Le lien
proposé était en fait une redirection vers un site piégé
dédié à l’implantation d’une variante du fameux PWSBanker.
Source : McAfee
Chez ESET France,
Benoit Grunemwald,
son
Directeur
Commercial, comme
pour Loïc Guézo,
Re sponsable
Te c h n iq u e , IBM
Security Solutions, on
a constaté que la
méthode la plus utilisée est le BlackHat
Se arch Engine
Optimization.
Par
cette technique, les
pirates mettent en
Loïc Guézo, IBM
avant sur les moteurs
de recherche des sites corrompus qui forcent le téléchargement des menaces sur les PC des visiteurs. Le but restant toujours le même, infecter la machine pour s'en servir comme relais de spam ou voler des mots de passe.
© Boguslaw Mazur
BUSTERS
Pour François Paget, l’évènement majeur est, en fait, la
conjonction de la coupe du monde de football avec, pour
la France, l’ouverture à la concurrence et à la régulation
du secteur des jeux d’argent et de hasard en ligne. Pour
pouvoir proposer aux joueurs français des jeux d’argent
en ligne, une douzaine d’opérateurs ont bénéficié d’une
licence après qu’ils aient démontré avoir rempli les critères énoncés par la loi du 12 mai 2010 et suite à leur
contrôle par une autorité administrative indépendante :
l’Arjel (Autorité de régulation des jeux en ligne
www.arjel.fr).
THE WORLD CUP AND FIFA : A DOUBLE
DOSE OF SPAM FOR FRENCH WEB SURFERS
While the famous Vuvuzelas were deafening the football fans,
spam continued, as is customary for all media events, to pollute
PCs around the world. Thanks to the ‘benevolence’ of the
French legislators, French web surfers benefited from a double
dose of spam with the authorization of online gambling. An
additional windfall for cyber criminals who are always on the
lookout for low-risk, easy gains.
45
MALWARES
A l’occasion de cette coupe du monde, nous avons donc
vu apparaître dans nos boîtes à lettre des courriers non
sollicités, et lors de nos visites sur des sites, tels que celui
de Météo-France, des bandeaux publicitaires vantant ce
nouveau type de jeux. Même s’ils venaient parfois d’organismes non agréés, les premiers spams avaient une certaine dose de professionnalisme.
Après quelques jours,
les affiliations en vue
de campagnes publicitaires ayant dû se
multiplier, les messages sont devenus
bien moins lisibles...
et malheureusement
beaucoup plus nombreux. Certains spécialistes du spam
allant
jusqu’à
envoyer dans la
même journée des
publicités pour pluFernando Cima, Microsoft Corp
sieurs opérateurs différents auxquelles s’ajoutaient les mêmes jours d’autres
types d’offre...
Au final, cette ouverture à la concurrence des jeux en
ligne a sans doute fait l’affaire de tous les opérateurs et de
l’Etat, mais il a aussi permis aux spammeurs de tirer de
juteux bénéfices. Dans ce nouveau paysage, seul l’inter■■■
naute peu avisé est le « dindon de la farce » !
30 novembre 8h30 – 18h00
GS Days
© Boguslaw Mazur
BUSTERS
Le top 10 de Symantec
des titres utilisés dans l’objet du mail :
1. FIFA World Cup South Africa… bad news (La Coupe
du Monde de FIFA… mauvaises nouvelles).
2. World Cup: Uruguay Beats South Korea 2-1 (Coupe du
Monde: l’Uruguay bat la Corée du Sud 2-1)
3. Germany beats England 4-1 in World Cup
(L’Allemagne bat l’Angleterre 4-1 lors de la Coupe du
Monde)
4. ONGOING FIFA WORLD CUP LOTTERY SOUTH AFRICA
2010. (En cours : Loterie sur la Coupe du Monde
d’Afrique du Sud de 2010)
5. World Cup: Germany Defeats England 4-1 (Coupe du
Monde : L’Allemagne bat l’Angleterre 4-1)
6. SOUTH AFRICAN WORLD CUP 2010. (Coupe du Monde
d’Afrique du Sud 2010)
7. Oil spill teams keep wary eye on storm in Gulf (Suite
à la marée noire, les équipes restent prudentes face à la
tempête dans le Golfe)
8. World Cup: Argentina Beats Mexico 3-1 (Coupe du
Monde: l’Argentine bat le Mexique 3-1)
9. Ghana beat US, reach first World Cup quarter-final
(Le Ghana bat les Etats-Unis, accédant pour la première
fois aux quarts de final de la Coupe du Monde)
10. World leaders slam North Korea, Iran (Les leaders
mondiaux anéantissent la Corée du Nord et l’Iran)
http://www.globalsecuritymag.fr/Allemagne-2006Afrique-du-Sud-2010,20100712,18537.html
44444Espace Saint-Martin - Paris 3
èm
Journées Francophones de la Sécurité
Ce colloque, exclusivement en français, proposera, dans un même espace,
plusieurs cycles de conférences et de démonstrations d’attaque informatique,
sous un angle technique, organisationnel et juridique.
La 2ème édition des GS Days s’articulera autour d’un thème prépondérant :
la fusion des mondes professionnels et personnels, mais aussi physiques et numériques.
Un thème qui ouvre la porte à différents axes, tels que la mobilité, les réseaux sociaux, les Web Services…
Pour plus d ’informations, rendez-vous sur le site : www.gsdays.fr
47
© Francesco Bisignani
© AYAKOVLEVdotCOM
BUSINESS INTELLIGENCE
CLEARSTREAM, MICHELIN :
QUELS ENSEIGNEMENTS POUR
LE DROIT DE LA SÉCURITÉ ?
Par Thibault du Manoir de Juaye, Avocat à la cour - www.france-lex.com
Il y a des décisions de justice qui sentent le souffre,
d'autres le caoutchouc. La décision sulfureuse, c'est celle de Clearstream
datant du 28 janvier 2010. L'autre jugement, émanant du tribunal correctionnel
de Clermont Ferrand, en date du 21 juin 2010, concerne Michelin. Ces deux décisions
ont un point commun: le fondement de la condamnation... l'abus de confiance.
Dans le cas Clearstream, certains y voient un procès politique aux remugles staliniens; d'autres y décèlent un apport
à la protection juridique du secret des affaires, apport qui
intéresse donc tous les praticiens de la sécurité.
L'histoire a été contée par le menu par la presse. On peut se
contenter de la replacer brièvement dans son contexte. Un
salarié d'une société d'expertise comptable, Florian
Bourges, est chargé de procéder à un audit des comptes de
la société Clearstream. Il profite alors de sa situation pour
recueillir des « documents de travail, existant sous la forme
de fichiers de transactions, fichiers « mémos » et de listings
de comptes clients ». Puis il rencontre un journaliste, Denis
Robert, les lui remet, les communique par la suite à Imad
Lahoud. La fin de l'histoire est connue.
Le fondement de la poursuite contre Florian Bourges était,
d'une part, le vol et, d'autre part, l'abus de confiance, qualifications qui pourraient apparaître comme antinomiques
en l'espèce. Les autres prévenus étaient essentiellement
poursuivis pour recel.
L'autre jugement émane du tribunal correctionnel de
Clermont Ferrand, en date du 21 juin 2010. Un salarié de
Michelin a été condamné ce jour là par le tribunal correctionnel de Clermont Ferrand à deux ans de prison avec sursis, 5000 euros d'amende, 10 000 euros au profit de son
employeur et 2000 euros pour frais de procédure.
La faute de ce salarié : avoir tenté de vendre des informations
confidentielles au principal concurrent de Michelin, la société
Bridgeston, et ce après avoir quitté l'entreprise. L'histoire
tient bien heureusement plus du roman que du pain quotidien des entreprises. Le salarié félon aurait contacté
Bridgestone qui en aurait informé Michelin. Cette société
aurait eu recours à une équipe de faux nez pour piéger son
salarié, qui aurait imaginé une société fictive FUKUDA. Le
geste de Bridgestone apparaît trop généreux, trop moral pour
être réel quand on connaît la compétition acharnée que se
livrent les deux fabricants de pneumatiques. Mais comme il
s'agit de la version officielle, adoptons là.
48
Le fondement de la condamnation :
l'abus de confiance
Pourtant un point commun entre ces deux décisions : le
fondement de la condamnation : l'abus de confiance. Une
telle qualification n'est pas nouvelle et la petite stagiaire
chinoise de chez Valéo avait été condamnée sur le même
fondement de l'article 314-1 du code pénal :
« L'abus de confiance est le fait par une personne de
détourner, au préjudice d'autrui, des fonds, des valeurs ou
un bien quelconque qui lui ont été remis et qu'elle a acceptés à charge de les rendre, de les représenter ou d'en faire
un usage déterminé. »
Les tribunaux doivent donc examiner s'il existe bien un
détournement et s'il a été commis volontairement.
Y a-t-il détournement ?
Le raisonnement juridique est simple : une information est
remise dans un but déterminé et étant utilisée à d'autres
fins, il y a abus de confiance au sens de l'article du code
pénal. Toute la difficulté est de savoir si une information
peut être un « bien quelconque ». Les avocats de Florian
Bourges soutenaient qu'un bien est forcément un élément
matériel et que le texte ne pouvait s'appliquer à l'information. Le tribunal utilise, d'ailleurs, alternativement ou
simultanément les expressions de « documents » et
« informations », ce qui pourrait sous-entendre qu'il y eu
appréhension de documents sur support papier, ce qui ne
semble pas être le cas.
Le tribunal correctionnel de Paris a considéré que le détournement d'information était possible, même s'il s'agissait d'un élément immatériel. L'argument a été soulevé également par
Maître Portejoie, le conseil du salarié félon de Michelin, et n'a
pas plus été retenu par le tribunal clermontois.
© Pinchuk Alexey
BUSINESS INTELLIGENCE
L'élément intentionnel ou
la volonté de détourner
Il a, en outre, pris soin de préciser que Monsieur Florian
Bourges était lié par une clause de confidentialité.
« Monsieur Bourges Florian s’engage à conserver, de façon
la plus stricte, la discrétion absolue sur l’ensemble des informations qu’il pourra recueillir à l’occasion de ses fonctions(...) Il veillera à ce qu’aucun document ou information
ne soit montré, divulgué ou relaté à des tiers sans l’autorisation préalable du client concerné, sauf instruction formelle d’une juridiction ou d’un organisme officiel (...) Ces
obligations demeureront même après la fin du présent
contrat quelle qu’en soit la cause. » En conséquence il
connaissait le caractère confidentiel des informations auxquelles il avait accès. De plus, il avait utilisé un pseudo pour
tenter de monnayer l'information. De ce fait, le détournement d'informations avait été fait de manière intentionnelle et en toute connaissance de cause.
L'affaire devant le tribunal correctionnel de Clermont
Ferrand se présentait différemment puisque la volonté du
salarié félon était manifeste. Cependant, le conseil de ce
dernier avait avancé un autre argument qui mérite qu'on
s'y attarde. Maître Portejoie soutenait qu'il n'y avait qu'une
tentative d'abus de confiance, qui n'avait pas aboutie
puisqu'aucune information n'avait été cédée à un concurrent de Michelin. Par ailleurs, le salarié félon n'avait pas
collecté des informations dans le but de les vendre, mais
avait simplement tenté de monnayer les informations auxquelles il avait eu accès dans son activité professionnelle.
Or, la tentative d'abus de confiance n'est pas punissable
contrairement à d'autres infractions.
Les praticiens de l'IE et les juristes en tireront la leçon. Il
faut pouvoir montrer l'élément intentionnel, ce qui sera
grandement facilité si les engagements du détenteur de
l'information sont formalisés. Il ne faut donc pas hésiter à
préciser dans les différentes clauses de confidentialité
l'usage qui doit être fait de l'information qui est remise.
En conclusion, point besoin d'une légalisation sur le
secret des affaires puisqu'il se trouve protégé de plusieurs
manières :
• Si l'information a été remise volontairement à un salarié
ou à un partenaire, il va être possible de recourir à l'abus
de confiance ;
• Si l'information n'est pas remise à une personne de
manière volontaire, la loi contrôle le moyen d'accès à cette
information par le biais de texte spécialisé par exemple, les
dispositions réprimant l'accès frauduleux à un système
informatique, la protection de la vie privée, etc.
Toutefois, la protection est théorique si l'on ne parvient pas
à prouver l'appropriation indue de l'information. Il fau-
drait dès lors prévoir une saisie
« contrefaçon » du
secret des affaires pour accroitre notre efficacité
procédurale.
Il faut souligner que, tant dans l'affaire Clearstream que
dans celle de Michelin, d'autres infractions avaient été
envisagées.
Florian Bourges avait été ainsi poursuivi pour vol d'informations. Mais peut-on voler une information ? Pour
Monsieur tout le monde, la question apparaît évidente et
est positive. Pour le juriste, la situation est autre. En effet,
si l'on me vole un objet, je ne l'ai plus. Or, à proprement
parler, une information n'est pas volée puisqu'elle est toujours en possession de son détenteur initial. Elle est simplement recopiée. Toutefois, il existe certaines décisions de
jurisprudence qui acceptent cette notion de vol. Le tribunal
a esquivé la réponse sur ce point juridiquement important
en cantonnant sa réflexion sur la notion de soustraction
frauduleuse, c'est-à-dire l'appréhension contre la volonté
du détenteur initial de l'information. Comme les informations et documents ont été remis volontairement à
Monsieur Florian Bourges, il ne peut, d'après le tribunal,
avoir vol.
Le salarié de Michelin avait été lui poursuivi également
pour atteinte aux intérêts vitaux de la Nation, motif qui n'a
pas été retenu par le tribunal qui a considéré que l'on ne
pouvait assimiler une grande entreprise à la Nation et a
rouvert une discussion sur l'opportunité de modifier notre
législation sur l'espionnage, qui n'est pas adaptée, voire
inapplicable à notre environnement économique. S'il y a
des réformes législatives à adopter, c'est certainement sur
ce terrain qu'il faudra œuvrer.
Enfin, évoquons le recel d'informations (obtenues frauduleusement) qui avaient été un des chefs de poursuite dans
Clearstream. C'est un délit continu, c'est-à-dire tant que
l'on possède encore l'information, il est possible d'être
■■■
poursuivi.
CLEARSTREAM & MICHELIN
WHAT ARE THE LEGAL CONSEQUENCES
FOR IT SECURITY?
BY THIBAULT DU MANOIR DE JUAYE, LAWYER
Some legal decisions seem suspiciously harsh and others
curiously clement. The suspiciously harsh decision was handed
down in the Clearstream case on 28 January 2010. The other
judgement, involving Michelin, was handed down by the magistrate’s court in Clermont Ferrand on June 21 2010. The prosecution in both of these cases was based on a breach of trust.
49
© Stephen VanHorn
© Jelica Grkic
RISK MANAGEMENT
L’I-PHONOPHOBIE DU RSSI...
Par Thierry Durand, Manager du pôle Audit et Conseil, NES
« Quand on eut bien considéré l'intérêt du public, celui de la partie, le résultat enfin de la
suprême Cour fut de condamner la Folie à servir de guide à l'Amour », voilà près de 320 ans
que Jean de La Fontaine donnait cette chute à sa fable « L’Amour et la Folie ». Gageons que,
grand observateur de la vie de ses contemporains, il illustrerait aujourd’hui le même propos en
publiant « L’iPhone et le RSSI », ou l’inverse, comme nous l’allons voir !
L’iPhone est partout !
C’est un plébiscite !
Seuls quelques informaticiens ont encore des
difficultés à le domestiquer. Il est apprivoisé
par toutes les tranches
d’âge, à la maison et
dans l’entreprise, toutes
cultures et toutes situations confondues …
Mais la découverte quasi
Thierry Durand, NES
quotidienne des limites
que l’iPhone impose à la sécurité conduit le RSSI à
rechercher des outils de protections complémentaires
et le moyen de les mettre en œuvre.
Une liste de menaces qui ne
cesse de s’allonger
Le RSSI a déjà identifié les menaces qui pèsent sur les
PDA et les SMARTPHONES. La probabilité de les voir
s’exercer sur l’iPhone est augmentée par le succès de
l’appareil, mais aussi par sa connexion permanente à
Internet, réseau dont la confiance n’est pas la première
des qualités :
• Accès sans mot de passe, sauf choix à paramétrer,
• Solidité du mot de passe,
• Politique de gestion du mot de passe (renouvellement, etc.),
• Mot de passe administrateur ‘standard’ sauf remplacement volontaire,
• Protocole SSH accessible en WiFi sur appareils
JailBreakés,
• Mot de passe messagerie mémorisé pour accès ‘SSO’,
• Robustesse du navigateur ‘Safari’,
• Filtrage des URLs,
• Virus et autres codes malveillants, en particulier sur
50
les i-Phone ‘JailBreakés’,
• Accès WiFi administrateur à toutes les données, sans
traces exploitables,
•...
L’iPhone fait peur au RSSI ! OUI, mais … que peut-il
faire ?
Peu de chance de voir des
fonctionnalités de sécurité sur
l’iPhone pour le moment…
Apple vise aussi le marché des Entreprises et ne manquera pas d’embarquer dans l’iPhone des solutions de
durcissement et de protection efficaces… mais quand ?
Et avec quelles limites ?
Il ne faut pas perdre de vue que l’iPhone fait l’unanimité parce qu’il est d’un usage simplissime et parfaitement intuitif. Toute évolution qui entacherait cette
approche d’un quelconque relent d’informatique « traditionnelle » le ramènerait immédiatement au rang
des Smartphones sous Windows 6 ou des BlackBerry.
L’avantage étant alors perdu, l’ambition de pénétrer
l’entreprise ne serait plus de mise !
Alors peut-on raisonnablement attendre d’Apple des
réponses complètes aux frayeurs du RSSI qui voit déjà
fuir les données de l’entreprise ? Probablement pas !
En tout cas, pas tant qu’un concurrent aussi habile en
présentation ne proposera pas un niveau de sécurité
très supérieur !
…Et la marge de manœuvre
du RSSI est étroite
Comme il le fait dans l’Entreprise, le RSSI voudrait
imposer une politique de mot de passe, se réserver l’autorité d’administrateur, organiser les contrôles d’accès,
RISK
MANAGEMENT
garantir l’intégrité et la confidentialité, …, en un mot,
appliquer la Politique de Sécurité du Système
d’Information de l’entreprise aux données qui transitent sur les iPhone de son personnel.
En a-t-il les moyens ?
Il est probable que des solutions verront progressivement le jour pour répondre aux préoccupations du RSSI,
mais alors restera-t-il un réel intérêt pour l’employéusager à disposer d’un iPhone plutôt que d’un
Smartphone ou d’un BlackBerry ? Et pour l’entreprise,
pourquoi s’engager dans cette voie mal balisée alors
que les mêmes fonctions résultantes sont déjà servies
par d’autres équipements maitrisés et performants ?
Aujourd’hui, il semble bien que la demande vienne de
l’usager plutôt que de l’employeur !
Et si, malgré l’équipement professionnel qui lui a été
remis, l’employé-usager choisit à titre privé d’utiliser un
iPhone ? Qui saura lui imposer des solutions de protection ? Qui saura l’empêcher d’y faire transiter des données de l’Entreprise ?
Toutes les entreprises qui ont ouvert des accès ‘web’ à
leur messagerie vont voir leurs iPhonistes diriger leur
courrier vers leur iPhone (en mémorisant au passage
leurs crédentiels d’accès professionnel) !
NON, décidément, le RSSI ne peut pas imposer les solutions qu’il juge nécessaires, d’autant que les risques
viennent tout autant des iPhone privés sur lesquels
l’Entreprise n’a pas de prise.
Où est la faille ?
Voilà des années que l’Entreprise laisse ses employé(e)s
(cadres notamment) transporter des documents professionnels dans leur sac à main ou dans leur attaché-case.
Ces objets de maroquinerie, privés et parfois luxueux,
n’ont jamais été interdits dans l’Entreprise et leur
robustesse n’y a jamais été contrôlée avant d’y autoriser
le transport de documents.
L’iPhone ne serait-il pas le premier né d’une génération
de sacs à main numériques ou d’attachés-cases électroniques ?
La question est pertinente si l’on songe à ce qu’il permet de ranger : photos, vidéos, musiques, documents,
courriers, agenda, bloc-notes, répertoire, boussole,
plans et cartes, journaux, magazines et presse, calculette, et tellement d’autres choses… et même un téléphone !
Sans compter que d’innombrables ‘applications’ viennent chaque jour enrichir cet inventaire à la Prévert !
Regardez les possesseurs d’iPhone, dans la rue, dans
le train ou le métro, dans le bus, au bureau, à la maison … ils l’ont ‘en main’, ce n’est ni un ‘jouet’ ni un
‘outil’, c’est juste une sorte de ‘prolongement d’euxmêmes’ !
Laisser l’entreprise installer des protections sur son
iPhone serait vécu par son ‘maître ’ comme lui imposer
une carapace ou, pire encore, lui greffer des organes !
Et la sécurité dans tout çà !
Nous étions nombreux à répéter depuis des années que le
« risque majeur » était installé entre la chaise et le clavier. Le clavier était alors le ‘point d’entrée’ du SI de
l’Entreprise, le premier maillon ‘non humain’ de la chaîne
d’accès au SI.
Avec l’arrivée de l’iPhone, c’est ce maillon qui est remis en
cause. L’utilisateur et l’iPhone tentent, ensemble, de ne
faire qu’un …mais l’iPhone accède directement au SI ! Le
« risque majeur » n’est plus installé entre la chaise et le
clavier, il est installé entre la chaise et … le SI lui-même !
Avec tout ce qui a été dit sur l’iPhone et son usage en
toute liberté, n’est-ce pas « folie » que de le laisser accéder au SI ?
Bien sûr, le SI est protégé et va étendre sa protection à ce
nouveau mode d’accès, mais on voit bien que c’est très
insuffisant.
Jean de la Fontaine suggérait que la Folie soit un guide
pour l’Amour ; ne devrait-on pas espérer que l’iPhone et
son maître devienne(nt) lui(eux)-même(s) un guide pour
le RSSI ?
Quand le comportement de l’homme (et de son iPhone)
est un risque sans parade ou protection possible, c’est la
sensibilisation de l’utilisateur qui doit réduire le
risque.
Le RSSI doit se laisser guider par l’iPhone pour apprendre à chaque utilisateur à se protéger lui-même des
dangers qui le guettent, à devenir ‘prudent’.
« Prudence est mère de Sureté » … qui aurait bien pu
dire cela ?
■■■
THE ISSM AND IPHONE PHOBIA
BY THIERRY DURAND, MANAGER OF THE AUDIT AND
CONSULTING DIVISION, NES
Jean de La Fontaine’s fable ‘Love & Folly’, written 320 years ago,
ends with the lines ‘When the gods had each well considered the
public interest on the one hand and the complainant's demands
upon the other, the supreme court gave as its verdict that Folly
was condemned for ever more to serve as a guide for the footsteps
of Love’. The behaviour of La Fontaine’s contemporaries that inspired this fable could well be illustrated today with a fable entitled 'The iPhone and the ISSM' -- or maybe the reverse, as we shall
see below!
51
© AridOcean
DATA CENTER
RATIONALISATION
DES DATA CENTERS :
UN CHEMIN LONG ET DIFFICILE
La course du « toujours plus » semble sans fin. Ainsi, les entreprises pour survivre mettent sur le marché toujours plus de produits consommateurs en ressources informatiques,
dont l’iPhone et l’iPad sont de nouveaux exemples. Les utilisateurs sont à la recherche de
la dernière nouveauté qui leur apportera reconnaissance et confort… Cette course a des
impacts directs sur les ressources informatiques nécessaires, avec pour conséquence une
« explosion » littérale du nombre de Data Centers et de la consommation énergétique
en France et partout dans le monde. Ainsi, il est nécessaire de chercher de nouvelles solutions qui, comme le montrent nos trois experts, Claude Dos Santos, Dirigeant de Jerlaure,
Fabrice Choron, DSI adjoint du groupe Acadomia, et Eric Arbaretaz, Créateur et Directeur
Général APIS Engineering, passent par la rationalisation des Data Centers et surtout des
applications. Toutefois, le chemin vers cette démarche semble long et difficile.
La demande des
entreprises en
matière de Data
Ce nte rs (DC) e st
exponentielle.
Quasiment tous les
jours, de nouveaux
sites sont mis en
chantier afin de
répondre à la
demande. La plupart de s site s
aujourd’hui se trouvent en région parisienne à la fois pour
Eric Arbaretaz, APIS Enineering
des questions de
proximité avec les
ressources nécessaires (électricité, télécom…), mais aussi
pour être situés au plus près des clients. Cette croissance
quasi-anarchique se fait le plus souvent sans souci de
rationalisation des DC. Pour Eric Arbaretaz et Claude Dos
Santos, cette tendance n’est pas prête de s’arrêter. « La
52
question véritable est de savoir comment pourra être
gérée l’augmentation du besoin de centres informatiques »
explique Eric Arbaretaz. « Les capacités d’hébergement
informatique nécessaires continueront d’être, pendant de
nombreuses années, de plus en plus importantes pour
répondre à la croissance rapide des besoins informatiques. Nous constatons actuellement une pénurie de
centres informatiques qui ne diminue pas malgré l’ensemble des mises en services effectuées récemment. Cette
croissance des Data Centers est directement liée à la croissance explosive des capacités du Web mondial et quelque
part aussi à la nécessité d’amortir le coût de ces réseaux.
Nous voyons tous, dans notre vie courante, la place que
prennent les réseaux sociaux et l’explosion des contenus
que cela entraîne au niveau des centres informatiques
des grands du Web. Mais au-delà des besoins que l’on
peut considérer « domestiques », nous assistons également à un grand chamboulement au niveau de l’informatique dite « professionnelle » : le Cloud Computing
et, en particulier, le modèle SaaS sont la conséquence de
ces nouvelles possibilités du réseau. A l’image des réseaux
d’autoroutes et de la concentration des moyens de pro-
© Paul Fleet
DATA CENTER
duction qui ont
façonné le paysage
de la France et ont
l’exode
permis
ru ral, o n as s is te
actuellement à un
changement radical
d e l’in fo r m atiq u e
qui conduira à une
augm e ntation
constante, pendant
de nombre use s
années, des centres
informatiques mais
aussi à leur concenClaude Dos Santos, Jerlaure
tration ». Claude Dos
Santos n’est pas tout à fait d’accord avec cet avis. Il
déplore : « pourtant si nous parlons d’écologie et de respect de la planète, il convient de différencier le besoin
vital des entreprises du besoin superflu du grand public.
Concernant les entreprises, la tendance est aux infrastructures applicatives dynamiques permettant de mettre en
adéquation les ressources métier et informatiques, pour
davantage de performances. L’ouverture des architectures
applicatives conduit à un accroissement considérable des
moyens informatiques, même si la technique de virtualisation tend à le stabiliser. La complexité de ces architectures et leur coût imposent une consolidation des ressources et donc un regroupement en un même point
dans un Data Center, qui doit évidemment disposer d’un
niveau de disponibilité satisfaisant. Les entreprises se
retrouvent face à cette problématique qu’elles doivent
résoudre en investissant pour réhabiliter ou construire.
On ne peut donc pas parler d’augmentation du nombre
de Data Centers mais d’une transformation qui est en
train de s’opérer. Les multiples « locaux informatiques »
mal agencés et peu disponibles disparaissent au profit de
Data Centers dignes de ce nom, capables d’assurer un
niveau de disponibilité avec un niveau d’efficience optimisé.
En revanche, les Data Centers à usage d’hébergement
mutualisé, destinés à accueillir les entreprises souhaitant
externaliser tout ou partie de leur infrastructure IT se
développent. Ils proposent des surfaces d’hébergement
de plusieurs milliers de mètres carrés, avec un niveau de
sécurité et un niveau de service prétendus sans équivalence. Les informations que nous pouvons lire ou entendre de-ci de-là portent à croire que ces centres ne sont pas
assez nombreux et quasiment saturés. Pourtant, la plupart du temps lorsque nous les visitons dans le cadre de
nos activités, nous sommes surpris par leur faible taux de
remplissage. Des dizaines de baies vides attendent d’être
remplies. Les surfaces sont réservées en prévision d’être
utilisées. « Saturé » signifie donc « commercialisé ».
Nous n’avons aucun doute sur la rentabilité de ces installations qui représentent pourtant plusieurs dizaines de
millions d’euros et nécessitent des puissances de plu-
sieurs
méga
watts.
Dans ce contexte,
nous ne voyons
pas l’utilité de
construire d’énormes Data Centers inoccupés, mais plutôt
des Data Centers à usage d’hébergement de moyennes
tailles, plus proches des utilisateurs, et pour lesquels les
contraintes d’implantation seront moindres ».
Explosion des Data Centers :
une chance pour la France
Eric Arbaretaz estime que ce développement des Data
Centers est une chance pour des pays comme la France,
où l’on constate une croissance très marquée. Ainsi, la
France est devenue le second pays européen en termes
d’implantation de centres informatiques. En effet, les centres informatiques représentent des infrastructures stratégiques autour desquelles se développeront les services et
les activités de l’ère numérique. Cette place privilégiée de
la France est due à la qualité de ses ingénieurs, à son faible coût énergétique et à la fiabilité de ses infrastructures
techniques. Son indépendance énergétique sera également un critère de choix de plus en plus important dans
l’avenir. D’ailleurs, le Club « France for Datacenters »
hébergé par le GIMELEC a publié un livre blanc en français
et en anglais mettant en avant les points forts de la France
dans ce domaine (www.francefordatacenters.fr/).
Toutefois, selon Eric Arbaretaz, cet accroissement continu
DATACENTER
DATA CENTRE RATIONALISATION:
A LONG AND DIFFICULT PATH
The phenomenon of ‘much wants more’ seems never ending. To
survive in today’s competitive world, companies are obliged to
market an ever increasing array of products that require IT
resources e.g. the iPhone and the iPad. Users are always on the
lookout for the latest device that will enhance their status and
make life easier. The IT resources required to support these devices
are generating an exponential increase in the number of data centres and associated energy requirements both in France and in the
rest of the world. New solutions are required, as outlined by our
three experts Claude Dos Santos, manager of Jerlaure, Fabrice
Choron, deputy IS director for the Acadomia group, and Eric
Arbaretaz, founder and general manager of APIS Engineering.
These include data centre rationalisation and in particular, new
applications. However the path to achieving this seems to be long
and difficult.
53
© AridOcean
DATA CENTER
des centres informatiques signifie aussi une empreinte
énergétique de plus en plus contraignante. Aucune solution à court ou moyen terme ne semblant pouvoir permettre de modifier radicalement l’efficacité des serveurs,
cette augmentation nécessite une prise de conscience de
tous (entreprises, fournisseurs et collectivités territoriales)
pour en diminuer les impacts négatifs.
Effectivement, Claude Dos Santos se pose un certain nombre de questions qui aujourd’hui restent encore en suspens. Une entreprise peut-elle se permettre de perdre la
main sur des données importantes sans en avoir la pleine
propriété sous couvert d’un SLA bien bordé et économiquement intéressant ?
Concernant le domaine grand public, il est la cible des
grands pourvoyeurs d’applications plus ou moins utiles.
De gigantesques Data Centers énergivores se construisent
à travers le monde, soit pour permettre les téléchargements à partir des mobiles « branchés », soit pour
stocker les données racontant la vie privée de millions de
membres inscrits. Les applications sont multiples et ne
devraient pas diminuer demain. Doit-on augmenter le
nombre de ces Data Centers ? Raisonnablement non !
Mais peut-on stopper les courants d’idées et les phénomènes de mode qui génèrent le besoin dans ce domaine
comme dans tant d’autres ?
Les limites du PUE seront
bientôt atteintes
Il faudra sans doute une prise de conscience très profonde tant des entreprises à la recherche de nouveautés
rentables que des utilisateurs toujours à la recherche d’innovation pour leur permettre d’améliorer leur quotidien… En attendant une hypothétique prise de
conscience, le mieux est sans doute de travailler sur
l’amélioration du PUE (Power usage effectiveness).
Pourtant, nos deux experts de concert estiment que la
marge de manœuvre est faible, même si leur appréciation
diverge sur certains points. Ainsi, pour Eric Arbaretaz, on
est encore tout au début de la politique d’amélioration
du PUE des centres informatiques. Cette prise de
conscience de l’efficacité informatique est une véritable
révolution dont le début en France date seulement de
2008. Depuis, nous constatons effectivement que l’immense majorité des projets de centres informatiques
neufs prennent maintenant en compte cet indicateur au
niveau de leur programme. L’histoire n’est pas finie
puisqu’on assiste actuellement à une véritable compétition au niveau des PUE affichés. Les entreprises mondiales comme Google ou Microsoft annoncent actuellement des PUE proches de 1,1 qui constitue effectivement
une cible qui ne pourra plus guère être améliorée. Ces
54
objectifs sont cependant inatteignables pour les entreprises traditionnelles puisque ces PUE correspondent à
des caractéristiques très particulières : informatique parfaitement homogène, Tier 1, utilisation des infrastructures à 100% de leur capacité, moyens de refroidissement
non utilisables en France… Mais au-delà des annonces
marketing, l’immense majorité des constructions
actuelles ont des objectifs beaucoup moins ambitieux : le
PUE moyen de ces projets doit actuellement se situer à un
taux de 1,7. Les premiers projets en Total Free Cooling
Direct (PUE de 1,3) ne verront pas le jour avant 2011 et
constitueront encore des exceptions pendant de nombreuses années. En effet, les centres informatiques sont
de véritables investissements et leur taux de remplacement est très lent (un centre informatique a au moins une
durée de vie de 20 à 30 ans). De plus, ces centres existants
ne peuvent pas être améliorés significativement. Donc,
on verra encore longtemps cohabiter des centres très performants et d’autres totalement dépassés avec des PUE de
2,5. Claude Dos Santos considère, au contraire, que la
possibilité d’amélioration du PUE des Data Centers d’ancienne génération est une évidence. Toutefois, la marge
de progression sur les principes actuels est limitée par
l’objectif même du Data Center qui consiste à protéger et
assurer la disponibilité des données. Les technologies
applicables aux constructions traditionnelles (photovoltaïque, géothermie, puits canadien...) ne peuvent généralement pas s’appliquer à notre domaine. Bien entendu,
comme le sujet est devenu essentiellement marketing, les
effets d’annonces vont bon train. Mais qu’en est-il de la
réalité et quel sera le résultat dans les cinq prochaines
années d’exploitation ? Est-il judicieux, sur un plan
strictement écologique, de remplacer une consommation d’énergie électrique par une consommation d’eau ?
Est-il judicieux sur un plan strictement sécuritaire de
faire cheminer de l’eau à proximité des serveurs pour
gagner, peut-être, quelques KWH ? Le PUE ne doit pas
être le guide d’un processus, mais seulement un paramètre à prendre en compte parmi tant d’autres. Eric
Arbaretaz n’est pas tout à fait de cet avis. Pour lui, le
PUE est un indicateur qui doit être utilisé tout au long
du cycle de vie d’un Data Center. Il est regrettable de
constater que le calcul du PUE ne reste pour l’instant
qu’un indicateur servant à la conception des centres
informatiques. Cet indicateur devrait également rester
présent pendant la phase d’exploitation car la variation
du PUE sera importante entre un centre très bien
exploité et un autre où cette exigence n’est pas prise en
compte (variation pouvant être estimée à 20% ou 30%
dans certains cas). Mais, un suivi et une amélioration du
PUE en phase d’exploitation nécessite à la fois une instrumentation du centre informatique et une gouvernance dont on constate l’absence dans la plupart des
centres informatiques.
© Paul Fleet
DATA CENTER
La virtualisation,
le Cloud Comptuing
sont des pistes à suivre pour
améliorer la rationalisation
des Data Centers…
Eric Arbaretaz considère que l’amélioration du PUE est
maintenant entrée dans les mœurs mais il faut avouer
que celle-ci ne touche pas au cœur de l’activité informatique. C’est sans doute la partie la plus facile car elle
concerne une partie vue comme moins stratégique au
niveau de la production informatique. En réalité, cet
effort est très insuffisant, car il existe un gisement d’économie encore plus important au niveau même de la production informatique. En effet, les centres informatiques
fonctionnent en permanence à pleine puissance alors
que les besoins informatiques ont une très forte variabilité. C’est ce qui explique que la plupart des serveurs fonctionnent actuellement avec un taux d’activité inférieur à
15%, alors que la consommation du centre informatique
reste plus ou moins constante quel que soit le taux
d’utilisation des serveurs.
La solution semble donc évidente. Pour être réellement
efficace, il faudrait pouvoir aligner dynamiquement et en
temps réel les ressources énergétiques du centre informatique aux charges d’applications réellement utilisées.
Avec la virtualisation des serveurs et les approches de type
Cloud Computing, cet objectif est théoriquement tout à
fait réalisable puisqu’il suffit d’éteindre les serveurs physiques et de les redémarrer au fur et à mesure des besoins
de la production informatique. Le gain énergétique est
théoriquement supérieur à 50% de la consommation
totale du centre informatique et s’ajoute aux efforts effectués avec l’amélioration du PUE. Les efforts combinés permettront de diminuer par un facteur 3 la consommation
des centres informatiques !
La bonne nouvelle, c’est que, depuis peu, des solutions
existent. L’éditeur américain Power Assure vient par
exemple de mettre sur le marché un logiciel permettant
de gérer en temps réel les capacités serveurs tout en
maintenant un niveau de rendement optimum. Mais il
faudra encore beaucoup de temps pour que ces outils et
ces méthodes se généralisent au niveau de tous les centres informatiques. En premier lieu, la production informatique devra passer sur un mode virtuel, là encore cette
mutation prendra du temps. Cependant, il faudra surtout
changer les mentalités et les habitudes car l’automatisation du Data Center nécessitera une phase d’apprentissage et de mise en confiance des équipes d’exploitation
qui est loin d’être évidente. Il faudra passer d’une
m e ntalité de
« toujours à
pleine puissance » à celle de « puissance toujours disponible ». Quand on connaît les contraintes de la haute disponibilité, on voit que cette évolution nécessite une réelle
révolution. Les solutions pour garantir la sécurité de fonctionnement de la production informatique et des centres
informatiques sont notamment totalement à revoir. Ce
sont de nouveau les entreprises de type Google et
Microsoft qui sont précurseurs dans ce domaine.
…Mais la rationalisation
du domaine applicatif
est difficile à réaliser
Tout à fait d’accord, constate Claude Dos Santos, comme
nous l’avons vu précédemment, le PUE des Data Centers
n’est que le rendement d’un dispositif en charge d’alimenter les infrastructures IT qui ne cessent de progresser,
pour permettre le développement des entreprises ou
répondre à une demande croissante d’applications grand
public.
La plus grande marge d’économie énergétique réside
aujourd’hui dans l’optimisation des infrastructures IT.
Tous nos clients s’inscrivent dans ce schéma et utilisent
autant que faire se peut différentes techniques permettant de réduire la consommation énergétique. Ainsi,
comme le témoigne Fabrice Choron, DSI adjoint du
groupe Acadomia et client de notre société : « notre service est souvent sollicité pour la mise en place de nouveaux systèmes et de nouvelles applications. Nous avons
donc été confrontés à un problème d'augmentation des
ressources serveurs, augmentation que nous avons pu
ralentir tout en offrant la même capacité de mise en service grâce à la virtualisation.
En règle générale, un serveur est sollicité sur des pics d'activité, la virtualisation permet de lisser le temps d'utilisation des ressources, afin d'exploiter au mieux les
machines.
Nous avons aussi opté pour une solution de stockage SAN
EVA, qui nous permet un niveau d'allocation des ressources de stockage beaucoup plus précis que sur du
disque classique. Ainsi, on se limite au nécessaire en évitant le gaspillage d'espace et d’énergie ».
Claude Dos Santos rajoute : « il faudrait également s’attaquer au domaine applicatif qui n’est pas aujourd’hui
suffisamment impliqué dans cette démarche. Le cahier
des charges des développeurs doit comporter dès
aujourd’hui des contraintes de rationalisation ».
Toutefois, rebondit Fabrice Choron : « la rationalisation
sur le domaine applicatif est plus difficile à mettre en
55
© Paul Fleet
DATA CENTER
œuvre qu'une rationalisation sur l'architecture. Elle n'est
pourtant pas à négliger, une bonne politique sur les technologies à employer permet de limiter le nombre de plateformes, rendant de fait la mutualisation des ressources
ainsi que la virtualisation beaucoup plus aisées. On peut
aujourd'hui grâce à la mise en œuvre de parallélisme ou
d'une meilleure exploitation des plateformes X64 abaisser
le temps processeur et ainsi gagner sur le nombre de
machines. Les différences de consommations entre plusieurs applications d'un même périmètre fonctionnel
peuvent varier suivant la finesse et la logique de programmation ».
Eric Arbaretaz voit, lui aussi, la rationalisation des applications comme une possibilité de réduire les coûts de
maintenance et de soutien des applications existantes au
sein des entreprises. La première démarche consiste naturellement à éliminer les applications dupliquées et/ou
diminuer le coût de soutien des applications sous-utilisées. Cette démarche débute donc par un inventaire précis des applications existantes et des services rendus.
Maintenant qu’il est connu que la consommation d’énergie représente une part très importante des coûts de fonctionnement de la production informatique, il devient
nécessaire de lier les services rendus par les applications
à la consommation d’énergie nécessaire à leur fonctionnement. La prise en compte de l’efficacité énergétique
des applications informatiques est un sujet nouveau,
mais il est évident que cela sera une tendance lourde des
prochaines années. Il est fort à parier que les logiciels du
type de Power Assure qui permettent de réaliser cet
inventaire vont très rapidement être appelés à se répandre au sein des sociétés. Ce sera la première phase de l’industrialisation des centres informatiques : les applications inefficaces seront soit améliorées, soit remplacées.
La phase suivante sera d’automatiser les Data Centers :
les ressources techniques et énergétiques seront dynamiquement affectées aux applications en fonction de leurs
besoins pour maintenir un état d’efficacité le plus optimum possible et constant dans le temps quel que soit le
taux d’utilisation de l’application.
en train de naître
au niveau des
entreprises les plus avancées et les plus matures. Elle
devrait permettre d’obtenir une meilleure gestion et
optimisation des Data Centers. Urbaniser, c'est diriger la
transformation continue du système d’information pour
l’opérer durablement et au meilleur coût. L'urbanisation
définit donc des règles ainsi qu'un cadre cohérent, stable
et modulaire, auquel les différentes parties prenantes se
réfèrent pour toute décision d'investissement dans le système d’information. Il s’agit d’un processus qui requiert
une gouvernance étendue sur toutes les couches techniques et opérationnelles de l’exploitation aussi bien au
niveau des couches applicatives qu’au niveau des infrastructures énergétiques du Data Center. Bien sûr, explique
Claude Dos Santos, il est essentiel d’impliquer tous les
acteurs jouant un rôle dans cette démarche, des constructeurs de Data Center aux développeurs d’application, en
passant par les constructeurs informatiques. D’ailleurs,
sur le terrain, Fabrice Choron explique : « nos équipes
sont sensibilisées sur une étroite collaboration entre les
équipes software et hardware. Cette liaison étroite est
importante afin de cibler au mieux les besoins des développeurs, les contraintes machines et celles des administrateurs, ceci dans l'objectif de mettre en place des archi■■■
tectures cohérentes et efficaces ».
Les équipes de développeur
et de production doivent
travailler de concert
Pour nos deux experts, il est primordial que les équipes
de développeurs et de production travaillent ensemble
afin de rationaliser l’utilisation des Data Centers. Pour Eric
Arbaretaz, il est nécessaire de mettre en place une véritable gouvernance au niveau du centre informatique impliquant l’ensemble des équipes. La fonction d’urbaniste est
57
SPECIAL DEFCON 2010
DEFCON :
HOW I MET YOUR GIRLFRIEND
Par Alain Mowat, ingénieur sécurité, SCRT
L'une des présentations les plus en vue cette année à la Defcon, tout comme
à la BlackHat, était intitulée « How I met your girlfriend ». Il fallait scruter
la brochure pour comprendre qu'il s'agissait d'une présentation donnée par Samy
Kamkar, illustre créateur du vers « Samy » ayant sévi sur MySpace il y a quelques
années, qui allait traiter de plusieurs nouvelles failles Web. Le tout était présenté
de manière intelligente autour de la recherche fictive d'une célébrité.
La première attaque vise le générateur de sessions PHP
et surtout le générateur de nombres pseudo-aléatoires
du mécanisme. En effet, il a démontré qu'il est possible
de réduire l'entropie des identifiants de session de 160 à
moins de 30 bits, ce qui donne la possibilité de découvrir la valeur d'un identifiant à l'aide d'une attaque de
type « bruteforce ».
En examinant le code utilisé pour générer un identifiant
de session dans la version 5.3.1 de PHP, on remarque
qu'il se base sur les éléments suivants :
• Adresse IP du client (32 bits)
• Temps Epoch (32 bits)
• Microseconde courante (32 bits, mais réellement
moins de 20)
• vale ur alé ato ire is s ue d e la fo nc tio n
php_combined_lcg (64 bits)
• Total : ~148 bits
char *buf;
struct timeval tv;
char *remote_addr = NULL;
gettimeofday(&tv, NULL);
spprintf(&buf, 0, "%.15s%ld%ld%0.8F",
remote_addr ? remote_addr : "",
tv.tv_sec,
(long int)tv.tv_usec,
php_combined_lcg(TSRMLS_C) * 10);
On se rend compte que certaines de ces valeurs peuvent
être découvertes relativement facilement par un attaquant, surtout sur des réseaux sociaux. En effet, la plu-
58
part d'entre eux offrent aux utilisateurs (dans ce cas-ci à
l'attaquant) la possibilité de voir lorsqu'un autre utilisateur se connecte, par exemple via un chat. De plus, l'utilisation de ce chat pourrait permettre à un attaquant de
convaincre sa victime de visiter un site sous son contrôle
afin de découvrir son adresse IP. Cela signifie que les 64
bits d'entropie liés à l'adresse IP du client et de la
seconde à laquelle il s'est connecté disparaissent. Il reste
donc les 20 bits liés à la microseconde de la connexion,
qui sont difficilement devinables, et les 64 bits liés à
l'utilisation de la fonction php_combined_lcg.
Cette fonction génère 2 x 32 bits d'informations pour
générer les 64 bits d'entropie. Lors du premier appel à la
fonction, une valeur est générée par lcg_seed pour rendre aléatoire les prochains appels à la fonction.
Cependant, si l'on connait cette valeur, il va être possible d’en déduire toutes les prochaines valeurs « aléatoires » générées. La fonction lcg_seed va concaténer
deux valeurs de 32 bits afin de créer les 64 bits d'entropie de la fonction.
struct timeval tv;
if (gettimeofday(&tv, NULL) == 0) {
LCG(s1) = tv.tv_sec ^ (~tv.tv_usec);
} else {
LCG(s1) = 1;
}
#ifdef ZTS
LCG(s2) = (long) tsrm_thread_id();
#else
LCG(s2) = (long) getpid();
#endif
Le premier de ces nombres (s1) est un XOR entre la
valeur epoch et le complément à une des microsecondes
lors de l'appel de la fonction. Le problème vient ici du
fait que les microsecondes n'ont qu'une entropie de 20
bits ( 0 – 1'000'000) et les 12 premiers bits du complément à 1 ne changent donc jamais. Les premiers bits du
temps en epoch ne sont que peu aléatoires et si l'on
peut estimer que le premier « seed » a été généré dans
un espace de 12 jours, seuls les 20 derniers bits ne sont
pas déterministes. Les 12 premiers bits de s1 peuvent
donc être considérés comme constants.
Le second nombre (s2) utilisé par lcg_seed est simplement le process ID d'Apache. Sur un système Linux, cet
identifiant n'est codé que sur 15 bits par défaut, ce qui
signifie que l'entropie de ce deuxième chiffre est réduite
de 32 à 15 bits.
On arrive alors à une combinaison de 20+15 bits, soit 35
bits au lieu des 64 bits annoncés par la fonction. En imaginant que l'on puisse exécuter du code sur la machine
cible, par exemple via une faille web, on peut alors
découvrir le PID exact (commande getmypid()). Il ne
reste alors que les 20 bits du lcg à découvrir. En utilisant
la fonction lcg_value, on peut écrire un programme permettant de « bruteforcer » la valeur du seed initial. Au
final, il ne reste plus que les 20 bits relatifs à la microseconde de connexion de l'utilisateur. Cela correspond à
environ 1 million de valeurs de cookie différentes, ce qui
peut être testé en une journée.
L’attaque Cross Protocol
Scripting (XPS) pour exploiter
la faille NAT Pinning
Durant la suite de sa communication, Samy a présenté
une attaque dite de Cross Protocol Scripting (XPS) qui se
base sur l'utilisation de JavaScript pour communiquer
avec un protocole autre que le traditionnel HTTP. En effet,
il est tout à fait possible d'ouvrir une session en spécifiant
un port autre que 80 ou 443, malgré certaines limitations
au niveau de quelques navigateurs Internet.
Il est, par exemple, possible de se connecter à un serveur
IRC en envoyant les requêtes désirées via un formulaire
caché dans une page. Le serveur recevra les en-têtes HTTP
qu'il ignorera car ce ne sont pas des commandes IRC
valides, cependant le corps de la requête peut contenir
des commandes valides.
L'XPS peut alors être utilisé pour tenter d'exploiter une
faille dite de NAT Pinning sur certains routeurs. L'idée se
base sur le fait que certains protocoles nécessitent l'ouverture de certains ports sur la machine du client. Par
exemple, lors de transferts de fichiers sur IRC via la commande DCC, un nouveau port est ouvert et le contact de
l'autre côté se connecte directement sur la machine du
client pour récupérer le fichier. Ceci évite de surcharger la
bande passante du serveur. Comme de plus en plus de
machines se trouvent aujourd'hui derrière un firewall, ces
derniers ont évolué. Ils sont capables de reconnaitre ce
type de flux et peuvent rediriger automatiquement le port
requis vers la machine initiant la connexion. On peut
donc utiliser cela pour accéder directement à la machine
de la victime en redirigeant les ports voulus sur le firewall.
Finalement, la dernière partie de la présentation se base
sur une combinaison d'attaques de type Cross-Site
Scripting afin de découvrir la position exacte de la victime. Ceci se fait en plusieurs étapes :
❶ Convaincre la victime d'aller voir une page sous le
contrôle de l'attaquant contenant un bout de code javascript permettant de fingerprinter le type de routeur de la
victime. Ceci est typiquement fait à l'aide d'iframes
cachées recherchant des noms de pages connues pour les
différents types de routeurs.
❷ Après avoir trouvé une faille XSS sur le routeur, l'exploiter afin de récupérer l'adresse MAC de ce dernier. S'il
est nécessaire de s'authentifier pour cela, l'utilisation des
identifiants par défaut du routeur marche dans la plupart
des cas.
❸ Utiliser le service de géolocalisation de Google pour
localiser l'adresse exacte de la personne.
Ce dernier point est possible car pendant que les voitures
Google prennent des photos pour Google Street View, elles
captent également les différents réseaux WiFi aux alentours.
En spécifiant l'adresse MAC d'un routeur WiFi, ce service est
alors capable de localiser, à une dizaine de mètres près, la
■■■
position exacte du routeur de la victime.
DEFCON 2010
HOW I MET YOUR GIRLFRIEND
BY ALAIN MOWAT, SECURITY ENGINEER, SCRT
One of the presentations that stood out in particular at this year’s
Defcon conference (and at BlackHat) was entitled "How I met your
girlfriend". Closer study of the conference programme revealed
that the author was none other than Samy Kamkar, the renowned
instigator of the “Samy” worm that invaded MySpace a few years
ago. The presentation used a fictitious search for a celebrity to
illustrate several new Internet flaws.
59
Le magazine trimestriel sur la sécurité
TOUS CES LECTEURS SONT DÉJÀ ABONNÉS :
Les membres du Cercle Européen de la Sécurité, de l’ARCSI,
du CESIC, du CIGREF, du Comité SSI du MEDEF, du CLUSIF,
de NETFOCUS France, des Conciles de la Sécurité,
de FedISA…
TOUS CES EXPERTS VOUS CONSEILLENT TOUT AU LONG DE L’ANNÉE
Mauro Israël, Philippe Humeau (NBS System), Luc Mensah (Siva), Igor Herrmann (Vipawan), Michel
Arditti (Cesic), Xavier Paper (Paper Audit & Conseil), Garance Mathias (Avocat), Michel Bensimhon (Cabinet
Pierre-Henry Scacchi & Associés), Jean-Marc Gremy (Cabestan Consultants), Olivier Itéanu (Avocat), Julien
Sebban (Avocat), Frédéric Charpentier ( XMCO Partners), Thibault du manoir de Juaye (Avocat), Thierry Ramard
(Ageris Consulting), Diane Mullenex (Avocat)...
BULLETIN D’ABONNEMENT
❒ Je souscris un abonnement à Global Security Mag pour une durée d’un an au prix de 50€ TTC (TVA 19,60%), 60€ hors France Métropolitaine.
Je recevrai les 4 prochains numéros.
❒ ou je commande le numéro :
au prix unitaire de 18€ TTC (TVA 19,60%)
❒ Abonnement annuel au format PDF du magazine 30€ TTC (TVA 19,60%)
❒ ou je commande le numéro :
au format PDF 10€ TTC (TVA 19,60%)
❒ Je souhaite être abonné gratuitement à la News Letters hebdomadaire voici mon adresse mail :
❒ Je suis RSSI, DSI, Risk Manager, Administrateurs Réseaux – Télécoms, Sécurité et je souhaite être abonné au Service Gold de Global Security Mag. Je suis informé que ce
service comprend des invitations VIP sur des événements de sécurité, des remises spéciales à des séminaires de sécurité, des invitations aux événements de sécurité organisés
par Global Security Mag. En revanche Global Security Mag s’engage à ne jamais louer à titre gracieux ou marchand mes coordonnées personnelles ou professionnelles. Pour
bénéficier de ces avantages, je joins ma carte de visite professionnelle (agrafer ici)
et mon adresse mail :
Nom
Je recevrai par mail une fois par semaine des informations ciblées
Prénom
Société
Fax.
E-mail
Adresse
Tél.
Règlement par chèque n°
A réception de votre règlement une facture acquittée vous sera adressée par retour.
Aucun abonnement ne sera accepté sans un règlement préalable de la totalité de son montant.
Date, Signature et cachet de l’entreprise
Tiré sur banque à l’ordre de SIMP
A retourner à :
S IMP
17, av. Marcelin Berthelot
92320 Châtillon
Tél. : 01 40 92 05 55 - Fax. : 01 46 56 20 91
[email protected]
En application de l’article 27 de la loi du 6 janvier 1978, les informations ci-dessus sont indispensables au traitement de votre commande et sont communiquées aux destinataires la traitant.
Elles peuvent donner lieu à l’exercice du droit d’accès et de rectification auprès de S.I.M. Publicité. Vous pouvez vous opposer à ce que vos noms et adresses soient cédés ultérieurement.

Le Brésil

Transcription

Documents pareils

concours FFTL du 13 mars 2016

Le meilleur du Brésil

Windows News N° 159 - 01/08/2007 - 318

Service d`enseignement de Tomas Moreira - IDA

le boeuf sur le toit

présentation de l`université

les firewalls

Newsletter

CV 2016.pages - CV de Laurent BOYER

Brésil, 10 Centavos on 100 Cruzeiros, 1961, 1964, KM:185a, SPL

CV N°22 – 042016 – Juridique