Nicolas Joulain

Pour ce cru 2010, les réflexions juridiques étaient invitées d’honneur aux cotés des traditionnels sujets SSI.
Pour ceux qui n’ont pu assister à cette journée, je vous propose de revenir sur l’ensemble des sujets abordés. (Supports prochainement disponibles)

Problématiques SSI

” Juste une imprimante ? “.
Au travers de leur exposé, Thibault KOECHLIN et Jean BARON, alertent l’auditoire sur les menaces liées aux MFDs. Encore une problématique de chercheurs de labo de sécu ? Eh bien non ; sans même le savoir, vous manipulez des MFDs tous les jours. Tel les imprimantes/scanners, les «MultiFunction Devices» s’apparentent à des équipements proposant de multiples fonctionnalités. Plus largement, caméras IP et téléphones intègrent également cette catégorie.
Bien que dotés de processeurs, de RAM et d’espace disque, les MFDs ne sont pas traités (ou très peu) par la politique SSI des entreprises :
- Les OS sont obsolètes (à ce niveau là ce n’est plus un problème de patch management !) ;
- L’implémentation des différentes piles (http/ tcp/ip …) embarquent des vulnérabilités dignes des années 1990 ;
- Ces équipements sont démunis de mécanismes de sécurité natifs ;
- Ces équipements ne sont jamais soupçonnés par le RSSI comme étant la source probable d’un incident de sécurité.
La présentation démontre avec quelle facilité il est possible de compromettre durablement ces équipements. Et comme d’habitude, avec une bonne couche d’ingénierie sociale, il devient possible de faire des miracles….
Du côté des contre-mesures, rien de très original :
- Considérer les MFDs comme toute machine connectée au SI (gestion des droits, des mises à jours …)
- Former et sensibiliser le personnel ;
- Filtrer et cloisonner le réseau ;
- Adapter la configuration des éléments de défenses actives (IPS face aux idle scan …)

“Analyse avancée de la mémoire physique de Mac OS X”.
Matthieu Suiche décortique à travers cette présentation les mécanismes associés à la mémoire RAM sous environnement MAC. La grande nouveauté se situe au niveau de l’OS étudié ; des travaux similaires ayant déjà été menés sous environnement Microsoft.
Les applications découlant de ces travaux devraient être nombreuses sur les domaines du Forensics et de l’analyse de malwares MAC.

“Les PME françaises contre la mafia russe et les hackers chinois – retour d’expérience”.
Peu de nouveauté dans les propos de Nicolas Ruff. L’orateur nous démontre une fois de plus et avec brio que « la sécurité est un échec ». Plus précisément, c’est le quatuor suivant qui tend à devenir explosif :
- Des utilisateurs peu sensibilisés qui errent sur le net sans faire appel à leur bon sens ;
- Une menace qui s’industrialise ;
- Des éditeurs peu enclins à distribuer des logiciels répondant aux problématiques de sécu actuelles ;
- Des administrateurs dépourvus d’outils de sécurité efficaces.
Forcé de constater que le risque SSI pèse de plus en plus sur les TPE / PME, cette présentation se fait l’écho des problématiques de sécurité des grands comptes.

“Les webshells, ou comment ouvrir les portes de son réseau ?”
Entre une porte d’entrée entrouverte et la fenêtre du premier fermée à double tour, Renaud Dubourgais a fait son choix et l’explique au cours de son intervention. Dans ses travaux, c’est toute la chaine de sécurité, ou plutôt ses faiblesses, qui sont exploitées :
- Faible filtrage du port 80 ;
- Vulnérabilités au sein des serveurs web exploité au travers de quelques légèretés de développement !
- Manque de restriction sur l’accès aux interfaces d’administration des serveurs d’applications ;
Le concept reposant sur le déploiement d’applications malicieuses, il est donc légitime de s’interroger sur l’intérêt de disposer de fonctions d’installation sur des éléments de production ?
Il résulte de cette première étape, le déploiement d’un « Webshell ». Ces véritables boites à outils sont contrôlables à distance par l’attaquant. A noter que les webshell disponibles sur l’Internet embarquent scanner de ports et autres frameworks de sécurité… De cette manière, l’attaquant dispose de tout son arsenal offensif derrière les défenses périmétriques du SI victime.

La réponse juridique

Bon gré, mal gré, les défenses mises en œuvre ne sont pas infaillibles. Ainsi, le patrimoine immatériel reste trop souvent à la portée de l’attaquant. La réponse judiciaire apparait alors comme un élément de réponse complémentaire.
Dans cette deuxième partie, les intervenants ont tenté de répondre aux questions suivantes :
- Quel est le cadre juridique des scans et tests d’intrusion ?
- Quelle réponse judiciaire est-il possible d’apporter à la cybercriminalité ?
- Quel est le cadre technico-juridique accordé au log ?

“Les aspects juridiques du scan et des tests intrusifs”
Afin d’introduire le sujet, Yoann GAROT rappelle que sans intention malicieuse, un scan ou un test d’intrusion semble difficilement condamnable. Toutefois, sans texte clair ni jurisprudence, cette affirmation reste au conditionnel. Le cas échéant, il est nécessaire de convaincre le juge que l’intention de nuire n’était pas un objectif !
La présentation se focalise ensuite sur les sociétés réalisant des prestations d’audits techniques. Un encadrement contractuel fort est nécessaire dans ce type de prestation. A minima :
- Identifier une durée ;
- Identifier le périmètre de l’audit ;
- Identifier la responsabilité du prestataire en cas de perte d’exploitation du SI audité.

“Se préparer à la réponse judiciaire contre les attaques informatiques”
Pour répondre à cette question, Eric FREYSSINET rappelle tout d’abord la loi en vigueur. Bien que les textes relèvent de la compétence nationale, une harmonisation tend à se mettre en place au niveau international : même la Russie possède un arsenal juridique pas forcément très éloigné de celui de la France !
A propos des évolutions à venir, notons que l’AFCPD (Association Française des Correspondants Informatique et Libertés) se pose actuellement la question de rendre obligatoire la déclaration des incidents de sécurité. Le sénat a d’ailleurs très récemment voté un texte de lois en ce sens (http://www.senat.fr/dossierleg/ppl09-093.html). Nos voisins européens ont d’ailleurs déjà franchi ce pas et le contrôleur européen s’y est déclaré favorable !
Espérons que cette dimension législative permettra de faire évoluer les mœurs. En effet, les entreprises hésitent encore à porter plainte en cas d’incidents de cybercriminalité. Les raisons sont nombreuses du coté des entreprises :
- Manque d’information sur le processus de dépôt de plainte ;
- Manque de structure organisationnelle en interne ;
- Peur de l’atteinte à l’image de marque…
A ce sujet, l’orateur estime que les services de l’état sont prêts à accueillir ce type de plainte. Toutefois (de mon point de vue), les entreprises ne sont pas les seules responsables. En effet, il est parfois bien difficile d’identifier le bon point d’entrée parmi tous les organismes étatiques (DCRI/ CERTA-CERT IST/ ANSSI …), les procédures sont longues et les résultats hasardeux !

“Présentation du livre blanc sur les logs issu du groupe de réflexions technico-juridiques de l’OSSIR”
Formidable travail proposé par l’OSSIR qui a réussi à réunir autour d’une même table juristes et experts SSI.
En écho à la préparation de la réponse aux attaques informatiques, ce livre blanc nous guide sur les éléments qu’il est nécessaire de « logger » et sur le « comment faire » pour constituer des éléments de preuve lors d’une instruction judiciaire.

En conclusion, la JSSI a proposée cette année une alchimie intéressante entre le domaine SSI et le domaine juridique.
Conscient que les menaces pesant sur nos SI ne seront que grandissantes et diversifiées, espérons que le cadre juridique, trouvera, dans le futur un autre écho que l’échec annoncé d’HADOPI !