Vous avez toujours été un bon élève à l’école, pour la sécurité vous êtes très actifs. Vos serveurs et vos stations sont patchés régulièrement, votre firewall est parfaitement paramétré, vos signatures anti-virus sont à jour. Parfait. Et vous vous croyez protégé ? Grave erreur, je dirai même plus KOLOSSALE ERREUR (et je ne dirai pas fatale erreur, non je ne l’ai pas dit)… Vous n’êtes pas préparé aux nouveaux défis de la sécurité…
Le plus important des défis n’est pas le plus nouveau, mais personne n’a pourtant osé le défier : la sécurité des applications. Eh oui, tant qu’il y aura cette épée de Damoclès, pas de sécurité possible… Un petit buffer overflow, et hop… Toute l’infrastructure mise en place ne sert plus à rien. Et pourtant, il existe pas mal de méthodes de programmation « sécurisé », je suppose que presque personne ne les a lues (et même ceux qui les écrivent, voir les déboires de tous les éditeurs de logiciels). Tant que ce défi existe inutile de penser à autre chose, sauf au défi suivant qui est aussi important…
Imaginons que l’écriture de vos applications soit parfaite (on peut rêver), reste un autre problème fondamental : l’humain. « Si on ne peut attaquer la machine, attaquons le machin qui est derrière »(proverbe Hackien vingtième siécle). Un mot de passe évident, une un peu trop grande naïveté (social engineering), et c’en est fini de la sécurité, l’édifice s’écroule.
Après ces deux grands piliers fondamentaux, reste d’autres défis, qui paradoxalement font couler un peu plus d’encre journalistique (bizarre la vie ?). Les deux unes de la sécurité actuelles sont la sécurité du poste de travail, et la sécurité périmètrique.
La sécurité du poste de travail, en voici un beau numéro un qui est même parfaitement justifié (on ne sait pas faire de la sécurité applicative, et l’humain on n’en parle même pas donc faison ce que l'on croit savoir faire). En tant que bon élève, votre anti-virus poste est toujours à une heure près parfaitement à jour, c’est bien… Sisi, j’insiste beau boulot, dommage que cela ne serve à pas grand-chose. Comment je suis méchant ? Voyons, il existe plus de un million de signatures de malwares dans la nature, et vous pensez que votre anti-virus les reconnait tous ? Si vous avez un peu de temps faites ce test, les virus/troyens/keyloggers sont comme les logiciels du commerce et ont des numéros de version incrémentales. Essayez de mettre/installer une version de malware vieille de trois quatre ans, et attendez… Comment, il ne se passe rien ? Vous n’avez donc pas de virus présent sur votre machine… Pas de problème… Et surtout, ne croyez pas au certification de virus, ils ne prennent pas en compte les codes non répliquants (Or 75% des nouvelles attaques proviennent de troyen « stériles »). Le seul moyen serait de contrôler tout processus présents sur la machine, comme un Host IDS sait le faire. Mais, il est vrai que mettre au point ce type de logiciel requiert beaucoup de temps. Et encore… Le contre exemple est celui d’un browser Internet. A l’heure actuelle, la plupart des sites ne se contentent pas de simple HTML, mais possèdent des scripts ; Et c’est là que le bas blesse. Nous avons l’équation script égal programme, et comme ce programme s’exécute au sein du browser… Un IDS, même bien programmé, peut ne rien y voir… L’idéal étant donc de bloquer les scripts sur les sites non connus.
Le second de ce top sécurité est la sécurité périmètrique, le recordman de nombre d’années de présence dans ce hit-parade. On a longtemps cru que la sécurité logique se traitait comme la sécurité physique, et qu’il suffisait de sécuriser le périmètre de la société (c'est-à-dire, ces point d’accès vers l’extérieur), d’où le succès des firewalls, IDS, et autres. Je ne sais pas si vous lisez la presse, si vous l’aviez lue, vous auriez vu que au hasard, une grande banque, une société de consultant, une grosse administration ont perdu leur ordinateur portable contenant (bien sûr, sans cela, ce ne serait pas drôle) des données confidentielles. Toute l’artillerie lourde mise en place qui coûte chère (non, j’évite la répétition…)… Et vous croyez que je suis méchant, alors il y a plus méchant que moi (ne craigniez rien, je vais bientôt le surpasser), Joshua Corman IBM ISS déclare un peu partout « Croire à la défense périmètrique, c'est comme croire au Père Noël ». Vivement le 25 décembre, que je lui dise bonjour (Il est évident que le père Noël existe, hein ! non ?).
D’autres défis existent, comme croire qu’acheter un produit de sécurité, et le brancher cela suffit. Tout produit de sécurité exige un paramétrage au besoin métier de votre entreprise, sans cela c’est un leurre. La recherche de la conformité peut aussi l’être, dans le sens, qu’aucune norme n’est parfaite (j’adore enfoncer des portes ouvertes), et le fait d’être conforme ne vous protège pas de tout.(Et en plus, vos attaquants potentiels connaissent vos méthodes de protection).
_