Le Symposium sur la Sécurité des Technologies de l’Information et de la Communication (SSTIC) est un événement important pour la communauté sécurité francophone. L’édition 2009 a regroupé 440 personnes du 4 au 6 Juin dans un amphi de l’université de Rennes. Le détail des conférences est sur le site du SSTIC; l’objet de cet article n’est pas de décrire ou paraphraser les conférences, mais d’essayer de faire un lien entre les présentations parfois très techniques ou du domaine de la recherche avec les problèmes que nous rencontrons régulièrement en tant que consultants sécurité.
La présentation de Nicolas Ruff a fait un constat pessimiste (et polémique) sur le faible niveau de sécurité des entreprises pour lesquelles il intervient. Le problème principal qu’il relève est l’utilisation de mots de passe comme (faible) moyen d’authentification. Avec les techniques d’attaques locales ou à distance, il est (trop) souvent possible de récupérer des bases de comptes et les techniques de cassage modernes permettent de découvrir les mots de passe (même complexes) très rapidement. L’autre problème relevé est l’explosion du nombre de virus et autres malwares, ce qui rend de plus en plus difficile leur détection par les anti-virus. La solution passe par le contrôle systématique de la signature des logiciels par les systèmes d’exploitation. La résolution de ces deux problèmes nécessite la mise en oeuvre des techniques de chiffrement, de gestion de clé (PKI) et ces techniques sont loin d’être déployées à large échelle.
Alexandre Fernandez-Toro a posé plusieurs questions sur l’utilité de la norme ISO27001. La bonne nouvelle pour les RSSIs et plus généralement pour les personnes qui mettent en oeuvre cette norme, c’est que cela sert en général leur carrière. La mauvaise nouvelle qu’il constate est qu’en général la conformité à la norme n’améliore pas la sécurité globale des entreprises. Les entreprises qui améliorent effectivement leur niveau de sécurité n’ont en général pas besoin de la norme pour mener leurs actions.
L’introduction de Pascal Andrei a mis l’accent sur l’évolution des techniques mises en oeuvre par Airbus pour accompagner les mutations de technologies dans l’informatique embarquée. Il a exposé les différences entre les notions de safety (sécurité de fonctionnement) et de security (sûreté de l’environnement). La première fait référence à la conception des systèmes pour limiter les impacts liés à une anomalie ou une panne. La deuxième s’intéresse à la protection des systèmes contre des actes malveillants (physique ou logique). Si on fait une analogie avec un système d’information plus classique, un RSSI doit travailler sur la disponibilité des systèmes nécessaires à la vie de l’entreprise, mais il doit également mettre en oeuvre des contre mesures contre des actes malveillants (internes ou externes). La difficulté supplémentaire dans le cas d’un avion est le peu de temps disponible pour la maintenance (difficile voir impossible à faire en vol). Depuis l’A380, le SI embarqué intègrent une PKI qui assure l’intégrité des logiciels et de tous fichiers sensibles via des contrôles de signatures. Dans un système embarqué c’est une nécessité absolue, mais ce type de contrôle, déjà en place dans l’informatique mobile, devrait se généraliser au monde du logiciel entreprise (à plus ou moins long terme).
Les techniques d’attaque montrées par les différents intervenant ne sont pas nouvelles mais le constat est que ces techniques fonctionnent encore pour plusieurs raisons. Dans le cas des attaques de type fuzzing, tant qu’il y aura des bugs, il sera possible de les rechercher et de tenter de les exploiter. La bonne nouvelle est néanmoins que les outils de plus en plus sophistiqués peuvent être utilisés pour améliorer la qualité des logiciels développés. Mais est ce vraiment le cas ? Concernant les attaques (plus triviales) de type XSS, les statistiques montrées par Pierre Gardenat sont très inquiétantes (85% des sites web sont vulnérables – source OWASP). Le moindre manque de contrôle d’une entrée d’un formulaire peut rendre un site vulnérable. Cela concerne tous les sites, y compris les sites de réseaux sociaux comme facebook, avec dans ce cas, des conséquences sur la vie privée des internautes. Le manque d’éducation des développeurs et des maîtres d’oeuvre est la seule explication à une statistique aussi élevée. Enfin les techniques d’attaques bas niveaux sur les mécanismes de gestion mémoire et de gestion des bus PCI sont bien plus difficile à mettre en oeuvre mais elles restent terriblement efficaces. Dans le cadre d’une entreprise, il est difficile à expliquer à un DSI qu’il faut supprimer les extensions type bus PC CARD des portables de l’entreprise car il est possible de se connecter sur un poste sans mot de passe en utilisant une PC CARD “malveillante”, comme l’on montré Guillaume Vissian et Christophe Devine. La sécurité du SI d’une entreprise reste liée à son environnement, comme au contrôle d’accès physique aux bâtiments (par exemple).
La virtualisation a été montré comme un moyen de renforcer la confiance dans un système d’exploitation. L’ANR a lancé le projet SEC&SI en 2008 et les 3 soumissionnaires ont pu présenter leurs travaux. Il est à noter que 2 solutions mettent en oeuvre la virtualisation comme couche supplémentaire de contrôle et de cloisonnement entre les espaces privilégiés (matériel, système) et les espaces utilisateur. Cette présentation a été l’objet de multiples discussions avec d’autres participants et les avis sont partagés. Tous les participants (ou presque ?) sont cependant impatients de tester les résultats et curieux de connaître le vainqueur de ce défi. Dans le monde de l’entreprise, la virtualisation semble de plus en plus utilisée aussi pour le gain de sécurité qu’elle apporte. Cependant la virtualisation est en général utilisée pour les serveurs et pas pour les postes de travail.
En conclusion, ce papier ne traite pas volontairement de tous les sujets présentés (cf programme), ni des rump sessions (sujets libres de 4 minutes) car les actes sont (ou seront) disponibles sur le site. Même si les sujets présentés sont techniques et parfois du domaine de la recherche, il est important de suivre les évolutions de ces techniques et donc des menaces. De ce point de vue, l’édition 2009 du SSTIC a encore une fois tenu toutes ses promesses et gageons que les places de l’édition 2010 seront aussi rapides à être vendues. La difficulté après ces trois jours est de faire la part des choses (risques) et de ne pas sombrer dans la paranoïa.
(8 votes)
Loading ...