Pourquoi la sécurité est un échec (et comment y remédier)

pages

Français

Documents

Écrit par
Nicolas Ruff , Nicolas.Ruff(@)Eads.Net

Publié par
Fuiv

Lire

Le téléchargement nécessite un accès à la bibliothèque YouScribe Tout savoir sur nos offres

pages

Français

Documents

Lire

Le téléchargement nécessite un accès à la bibliothèque YouScribe Tout savoir sur nos offres

Publié par

Fuiv

Nombre de lectures

215

Langue

Français

Pourquoi la securite est un echec(et comment y remedier)Nicolas Ru nicolas.ruff(@)eads.netEADS Innovation Works« The whole IT security industry is an accident - an artifact of how the computerindustry developed. » { Bruce Schneier [1,2]1 IntroductionLa securite« informatique» est un domaine qui remonte quasiment a l’invention dutransistor, si l’on inclut dans ce terme la securite de tout systeme automatise, commeles centraux telephoniques. Mais depuis au moins 10 ans, l’apparition d’Internet aprovoque une croissance exponentielle de ce secteur auparavant chasse gardee d’uneelite souvent souterraine. Avec l’entree des marchands dans le temple, la securite seresume aujourd’hui le plus souvent a l’acquisition de produits, voire de certi cat(ion)s.Alors que les produits de Data Loss Prevention (DLP) semblent faire le buzz en 2009,les plus anciens se souviendront avec amusement de toutes les innovations qui etaientcensees apporter la securite par la technologie. Parmi les stars dechues des conferenceset des salons, devenues aujourd’hui so last year, on peut citer : le contr^ ole d’integritedes chiers, les honeypots, les IDS et toutes leurs declinaisons, voire les antivirus et les rewalls . . . Les tentatives pour imposer la securite par le papier semblent egalementvouees a l’echec : le standard PCI-DSS n’emp^eche toujours pas les numeros de cartebleue de dispara^ tre par milliers [ 3]. En n la securite par ...

Voir

Publié par

Fuiv

Nombre de lectures

215

Langue

Français

Pourquoilas´ecurit´eestune´chec (etcommentyrem´edier)

Nicolas Ruﬀ nicolas.ruff(@)eads.net EADS Innovation Works

«industry is an accident - an artifact of how the computerThe whole IT security industry developed.»– Bruce Schneier [1,2]

1 Introduction Lase´curite´«rofniequtima»misa`tnei’lanevnneaiirquonemqutetoimonnddtuues transistor,sil’oninclutdanscetermelase´curite´detoutsyste`meautomatise´,comme lescentrauxte´le´phoniques.Maisdepuisaumoins10ans,l’apparitiond’Interneta provoque´unecroissanceexponentielledecesecteurauparavantchassegard´eed’une ´elitesouventsouterraine.Avecl’entre´edesmarchandsdansletemple,las´ecurit´ese re´sumeaujourd’huileplussouventa`l’acquisitiondeproduits,voiredecertiﬁcat(ion)s. Alors que les produits deData Loss Prevention(DLP) semblent faire lebuzzen 2009, lesplusancienssesouviendrontavecamusementdetouteslesinnovationsquie´taient censees apporter laalrahcetoloneig´esricuept´hceudsseocfne´erParmilesstarsd´e.secn ´ et des salons, devenues aujourd’huiso last yearcontr:lecitepeut,no´ee´tntirgloˆri’de des ﬁchiers, leshoneypotslnesu,rvsodi´reecelttionuatiesso,riseultIeseSlDelastnvis ﬁrewalls Les tentatives pour imposer la. . .it´eecurs´eirpepaaplrtenemalegt´enmelbs voue´esa`l’e´chec:lestandardPCI-DSSn’empˆechetoujourspaslesnum´erosdecarte bleue de dispar ˆıtre par milliers [3]. Enﬁn las´tiruce´e´’lrapeonticaduen est toujours a aupointmort.Ilestmeˆmeraisonnabledeconsid´ererqu’elleare´gresse´avecl’irruption du«Web 2.0»p,coaiuasxe´esedrsment`ereculiarti´eaunttaesdre,s´C.xumoseterbelba ilseradiﬃciled’adressertouslesaxesd’ame´liorationpotentielsenseulementquelques dizainesdepages.C’estpourquoicetarticletenteradere´pondrea`unequestion apparemment simple :«urjoulsvesneouttnere´nelbaourquoivpaeiutnretoer´rse 2009,malgre´toutl’argentinvestidanslase´curit´e». Et par corollaire :«comment mieuxd´epensercetargentpourrendreler´eseauplussˆur». Ne pouvant pas non plus couvrirtouslesdomainesdel’informatique,cettepre´sentationﬁleral’exempled’un re´seaubureautiqueexploit´esousMicrosoftWindows(exemplesusceptibled’int´eresser lepubliclepluslarge).Toutefoislesproble`mesetlesme´thodesder´ltione´voqu´ eso u es

N. Ruﬀ

297

restentlargementapplicables`ad’autresdomaines,telsquelas´ecurite´desapplications Web, etc.

2Lespe´ch´escapitauxdelas´it´ ecur e 2.1 Le biais de perception Ilexisteunbiaismajeurdeperceptiondansledomainedelase´curite´,a`savoir que les seules menaces dangereuses sont celles«dont on parle», ce qui occulte la majorite des menaces eﬀectives comme : ´ 1.Lesattaquesquinesontpasmassivementexploite´es«dans la nature». Mal-heureusement,lamajorite´desfaillesOﬃcedecouvertescesderni`eresann´eesont ´ d’abord´ete´utilise´esdansdesattaquestre`scibl´ees. 2. Les attaques pour lesquelles aucun produit de protection n’existe - ce qui ne veut pasdirequ’ilestimpossibledes’enprot´eger,maisquepersonnenegagneassez d’argenta`pre´coniserl’activationd’une«simple»itpoedno.´eecs´itur 3.Lesattaquestropanciennespourint´eresserlesjournalistesetlesorganisateurs deconf´erences.Typiquement,l’attaqueenrelaisSMB(CredentialReﬂection)qui dated’avantlesanne´es2000(maisrestetoujourstr`eseﬃcace). 4.Lesattaquestropcomplique´es,quinetrouventpasd’´hodanslapresse,mˆeme ec dite«informatique». 5.Paradoxalement,lesattaquestropsimplesn’int´eressent´egalementpasgrand monde,alorsquecesontparfoislesplusdangereuses!Danscettecat´egorie,on peut citer le«Cross-Site Request Forgery»(CSRF ou XSRF). Je qualiﬁerai par la suite toutes ces attaques de«menace invisible».

See no evile:rmfoteetscsuuoetdnerneˆttespeubiaimierLepre«cette faille n’est pas critique, car il n’existe pas de code d’exploitation sur Milw0rm, PacketStorm ou dans Metasploit»roertcfistin`a´eecrllealuepnutnodratport.Touxquisceu MS08-067 [4esdndpequs)ne’uoctnirpma`(sruel]ontprobablemeenemlleer´leilfat ´ exploitable(ExploitabilityIndexa`1selonMicrosoft)esttoujoursexploite´e,meˆmesi le code n’est pas rendu public. C’est le cas par exemple pour la faille MS05-043 [5], seulementdisponibledansleproduitImmunityCANVAS,meˆme4ansapressasortie. ` D’autrepart,lespersonnesquipublientdescodesd’exploitationa`titregracieux semblentrarementconcerne´esparlesprobl´ematiquesd’entreprise–c’estpourquoi ontrouvepeudecodespourdesfaillesRPCn´ecessitantuneauthentiﬁcationpar exemple. Pourtant ces failles sont redoutables au sein d’un domaine Windows, et les

298

Pourquoilas´ecurit´eestune´chec

correctifspubli´espourcesfaillesdevraientsevoirassigne´sunepriorite´ded´eploiement tr`es´l´ e evee.

Do no evilexprimedebiaiss’sniuavtnlefa¸aoce:me`ixuedeL«rospegt´juiesoce´ertn l’e´coutedutraﬁc,carj’aiactive´l’optionanti-empoisonnementdecacheARPdansmon routeur»reeuemustlenmp’e.hlaMheARP,c’esttr`esioosnnmenedtceca«90’s»comme m´ethodederedirectiondetraﬁc.Pouradresserleproble`medanssaglobalite´,ilfaudrait e´galementprendreencomptel’inte´grite´duﬁchierHOSTS,lar´eponseauxmessages ICMP«Redirect»DHCP, la modiﬁcation de la conﬁguration, les faux serveurs DNS par un malware, l’enregistrement du nom WPAD, l’empoisonnement de nom NetBIOS,lesmisesa`jourDNSnonse´curis´ees...c’estrapidementl’escalade.

2.2Laqualite´del’informationdisponible Lebiaispr´ece´dentestaliment´epar«iedelas´’industrle´tiruce»-leˆeepuprogeriuq, mˆele(`amonsens)desgensd’horizonsaussidiversquelesconsultants,lesauditeurs (li´es`aunenormeouunecertiﬁcation),lesvendeursdeproduits,lesorateursdes conf´ (et l star system»renea´ﬀlisturnaesjot),lseltese«blogueurs», ainsi erences e« que les«chercheurs»B.eisndesˆur,ilya«bons»et des«mauvais»dans chacune de cescat´egories.Maisplusieursanne´esd’exp´eriencem’ontlaisse´latre`snetteimpression quelasecondecat´egorieesttre`sfortementrepre´sent´ee–principalementa`causedu faitqu’iln’existeaucundiplˆomeniaucunecertiﬁcationquipermettedes’assurer qu’unindividuestbiencequ’ilpr´etendeˆtre.Lesyste`meestessentiellementbas´esur lare´putationetlareconnaissanceparlespairs.Maiscommetouslessyst`emes`abase dere´putation(ex.Digg[6C’e.tmeshealeuurtiaflsapauqa´til]),laquantit´enetnesem untraversqu’onretrouve´egalementdanslapressesp´ecialis´ee,avecdesarguments tels que«80% des entreprises utilisent le produit A», sous-entendant que ce produit estunbonchoixmˆemes’iln’estpasbon–carilvautmieuxavoirtortaveclesautres que raison tout seul. Des initiatives de certiﬁcation de personnes existent. CISSP ou ISO 27000 sont les plus connues. Mais ces initiatives me semblent plus proches d’uneactivit´ecommercialequed’unere´ellese´lectiondescomp´etences.LeCISSP, c’estcommelebac–a`forced’essayeronﬁnittoujoursparl’avoir!

Toutconseiln’estpasbona`prendre«L’explosion»dumarch´ledee´sairuce´t setraduitdanslesfaitsparuneprolife´rationdeproduitsetdeservices.Malgre´des me´tierstr`esdiﬀ´erents,onconstatequelesconsultantsense´curite´,lesauditeursetles vendeurs de produits poursuivent des buts assez similaires, car ils tirent tous les 3 desrevenusduconsensusqu’ilsontcontribu´e`ainstallersurlesujetdelase´curite´.

Voir