Certains ne devraient pas dire ça

Annonce préalable : Il y a un peu de mauvaise foi dans ce qui suit !

Ca y est : nous sommes le deuxième mardi du mois et autrement dit le jour où Microsoft sort ses correctifs mensuels. Un de ces correctifs a une saveur particulière. Techniquement, l’affaire n’a rien d’exceptionnel. Mais c’est plutôt sur la forme.

En effet la semaine passée, les équipes sécurité de Google ont publié des informations techniques et très précises sur cette vulnérabilité. Normalement, Google donne une période de 90 jours à l’éditeur pour corriger la vulnérabilité avant de la rendre publique. Cependant ici ce ne fut pas le cas : sous prétexte que la faille est « activement exploitée », ils ont décidé unilatéralement de rendre publique la vulnérabilité avant que l’éditeur ne soit en mesure de sortir un correctif 7 jours après la notification.

Sans vouloir tomber dans le manichéisme primaire, il y a de quoi trouver la démarche cavalière :

• L’équipe sécurité de Google semble en vouloir à Microsoft : c’est au moins la troisième fois que Google publie un avis avant la sortie d’un patch : On notera qu’il semble y avoir deux vitesses en fonction d’où se trouve la vulnérabilité : Pas plus tard que le mois dernier, ils ont étendu la période des 90 jours pour une vulnérabilité Apple.
• Dans un article de blog ironiquement appelé « disclosing vulnerabilities to protect users », rendre publique une faille aussi critique n’est pas si bénéfique. Cela est à nos yeux d’autant plus contre-productif que les pirates sont d’excellents techniciens et s’approprient très vite ces nouvelles attaques alors que la majorité des défenseurs sont à la traine. A titre d’illustration, prenons par exemple un des domaines utilisés pour l’envoi massif de spam implémente SPF et DKIM, quand la majorité des serveurs légitimes ne proposent pas encore de StartTLS : Voyez-vous le problème ?

On ne veut pas jouer les vierges effarouchées : mais à un moment donné, il faut prendre du recul et avoir une vision globale du problème. Tout le monde n’est pas un expert en détection d’intrusion ni même un utilisateur averti : Google le premier devrait être au courant : c’est bien eux qui ont rencontrés des utilisateurs qui confondaient le symbole du cadena des pages en HTTPs avec un sac à main.

En effet jusqu’il y a encore quelques années, il était encore permis de prendre les attaques informatiques avec une certaine philosophie : « Y a pas mort d’hommes » avons-nous entendu maintes et maintes fois lorsqu’un utilisateur cliquait sur une pièce jointe ou un lien malveillant.

Aujourd’hui nous ne pouvons plus l’ignorer : l’informatique gère de plus en plus de systèmes critiques et un simple rançongiciel (ie: attaque non-ciblée) peut rapidement avoir des conséquences sur des vies humaines en témoigne l’incident dans cet hôpital britannique.

Quels bénéfices peuvent en tirer les majorités des équipes informatiques des révélations de Google ? Notez que nous n’osons même pas parler des équipes de sécurité, elles sont parfois  inexistantes ou mal dimensionnées : Prenons le cas de l’ANTS. Vous savez l’agence qui gère en autre l’édition des passeports français (un truc que d’aucun pourrait qualifier de sensible) et aussi le fameux fichier sur les soixante millions de compatriotes au sujet duquel tout le monde s’écharpe : l’équipe de sécurité se résume à un gars.  On veut bien parler de démarche de sécurité intégré mais bon y a un minimum ! Pour mémoire on a déjà vu ce que ça pouvait donner de n’avoir qu’un seul membre dans une équipe sécurité.

Avant d’aller plus loin, on attire l’attention sur l’absence totale de réactions des états souverains sur le sujet mise à part l’alerte du CERT-FR.  D’ailleurs à la lecture des recommandations laconiques (i.e: ne surfez plus en attendant la mise à jour), on sent bien que l’ANSSI est plus qu’impuissante sur le sujet.

A contrario, on se rappelle de la réplique administrative à la publication d’un post sur la sécurité du Wifi et plus récemment si un petit jeune en panne d’inspiration renomme son réseau Wifi : le mec passe au tribunal directement. Mais dans le cas de Google qui potentiellement balance une arme d’infiltration massive sur tous les postes utilisant Windows : Silence radio ! On rappelle que jusque très récemment la divulgation de vulnérabilités était passible de poursuite en France. M. Poupard, où est notre souveraineté face aux géants du net ?

Fin de l’aparté. Le problème principal est que la sécurité est encore et toujours perçue par beaucoup comme une source de contrainte mais aussi et surtout de coût. « Emprunter de l’argent coute aussi de l’argent » disent-ils dans le slogan. Nous avons un scoop pour vous les gars : Avec la sécurité  qu’elle soit incendie, routière, informatique : même combat ! Cela va couter du pognon : pour recruter, pour former, pour sensibiliser, pour implémenter, pour auditer, pour analyser, pour investiguer … Et oui cela va empiéter sur la si précieuse rentabilité de vos équipes et vos bénefs et cela risque de contrarier le comité de direction : L’argent reste encore le nerf de la guerre !

Mais n’oubliez pas : c’est aussi ce qui pourrait permettre de sauver votre boite. Et ce n’est pas qu’un fantasme des paranos de la sécurité :  60% des PME mettent la clé sous la porte après une attaque.

L’histoire de TV5 Monde est assez éloquente en la matière : Malheureusement tout le monde n’a pas la chance d’avoir l’ANSSI à son chevet et des subventions en perfusion !  De son coté,  le FBI le résume aussi assez bien dans sa campagne de sensibilisation.

Alors une grande partie des entreprises commencent à intégrer ces risques et comprennent qu’il est préférable d’anticiper que de subir et recrutent ardemment des RSSIs (il parait que cela a la côte). Parfois, cela fait suite à un incident parfois, cela est anticipé, voir dans certain cas imposé…  Mais malheureusement, on finit par tomber sur des articles comme celui-ci. Avec ce genre de discours, il ne faut s’étonner que les budgets soient en bernes.

Rappelons qu’il y a deux types de RSSI : ceux dont l’entreprise a été piratée et ceux qui savent que leur entreprise a été piratée.

Il y a fort à parier que les équipes des RSSIs interviewés dans cette étude sont confortés dans leur idée d’invincibilité par les cohortes de firewalls, HIPS et SIEM déployés sur leurs systèmes. Rappelez vous comment la DSI d’Areva était fière de ses systèmes et de sa certification ISO 27001.  On ne va pas revenir aux fondamentaux mais Bruce le dit très bien : “If you think technology can solve your security problems, then you don’t understand the problems and you don’t understand the technology.”

Et parions que ce sont probablement les même RSSI qui accusent l’ANSSI de piller le marché des compétences sécurités…

En effet, n’oublions pas qu’avant tout il faut des femmes et des hommes pour mettre en place de la sécurité et faire évoluer les mesures organisationnelles et techniques. Ces compétences ne s’inventent pas : l’ANSSI propose pléthores de postes et ce de façon continue. Nous invitons d’ailleurs tout le monde à aller faire un tour sur cette page afin de bien mesurer l’étendu et la diversité des métiers de la sécurité de l’information.

Donc arrêtons avec la politique de l’autruche, arrêtons avec les fiches de poste couteau suisse « Expert en Reverse, en Gestion Incident, en Analyse de Risque, en Aspect juridique et en Architecture », arrêtons avec les « j’ai une équipe de sécurité : bon c’est 1 gars mais je vous assure il est balaise ! » (cf l’incident TV5Monde et bientôt peut-être celui de l’ANTS ?). Parce que oui, dire qu’on fait aussi bien que le voisin revient à dire qu’on fait les choses aussi mal que lui.

« Wake up, Neo » comme dirait l’autre !

Allez une soupe et au lit : en espérant que cela aille mieux demain… ou pas !