mercredi 24 octobre 2012

Qui sauvera mon tripoux dans le cyberespace?

Ma grand mère avait hérité d'une recette de tripoux particulièrement savoureuse, ce qui m'amène à mon sujet d'aujourd'hui lié à cette fameuse cyberguerre dont tout le monde parle.

Au début d'internet il était admis que la sécurité informatique ne reposait que sur un socle défensif: antivirus, firewall, log, etc..
A lire différents blogs et communiqués aujourd'hui, on entend parler de plus en plus ouvertement de cyberguerre, de lutte offensive et du cyberespace comme nouveau champ de bataille. La transition s'est faite approximativement avec Stuxnet, lorsque le monde s'est rendu compte que l'informatique impalpable avait finalement les pieds très ancrés dans le monde physique. On est passé d'un discours purement défensif à un discours ouvertement offensif. Le défensif a montré ses limites, un général US disait à ce sujet que le temps de réponse est beaucoup trop court: "A piece of information can circumnavigate the globe in about 133-134 milliseconds, your decision space in cyber [is] half that". La fin de son discours est clairement tourné vers l'offensif: "Today, the offense clearly has the advantage, Get cyber legislation in there, bring industry and government together, and now we have the capability to say 'You don't want to attack us. We can stop it and there are other things that we can do to really make this hurt.".

On a pu voir dernièrement l'OTAN diffuser un draft qui souhaite légaliser la cyberguerre. Le but de ce document est d'appliquer/d'adapter au mieux les lois régissant la guerre conventionnelle au "cybermonde". Par exemple, qu'est ce qui peut être pris comme une intention belliqueuse, quelles répliques sont admises, etc.. 
Il reste toutefois un dernier point, communément partagé: A la différence du monde physique ou l'ennemi est visible et identifiable, contre qui tourner ses armées lorsque l'attaque vient d'Internet? The department has made significant advances in solving a problem that makes deterring cyber adversaries more complex: the difficulty of identifying the origins of that attack. Over the last two years, DoD has made significant investments in forensics to address this problem of attribution and we're seeing the returns on that investment. Potential aggressors should be aware that the United States has the capacity to locate them and to hold them accountable for their actions that may try to harm America. ". Ce point est vraiment nouveau dans le discours "cyberguerrier", il indique clairement que l'anonymat est en train de disparaître, ce qui implique entre autre qu'un APT ne pourra plus prospérer car on est capable d'en identifier l'auteur.

Mais allons un peu plus loin dans la réflexion. Les états sont donc de plus en plus sensibilisés aux questions d'attaques informatiques aussi bien destructives que disruptives ou aux intrusions. Les discours politiques visent à protéger les infrastructures publiques. On ne peut qu'anticiper que cette protection va s'étendre aux OIV (Organismes d’Intérêt Vitaux).

Ma grand-mère m'a légué la recette du tripoux que le monde entier envie. Devant la qualité de ce plat, j'ai décidé de monter une entreprise pour promouvoir ces saveurs inimitables. J'ai misé sur la vente par internet. Et un problème se pose avec mon usine de tripoux en conserve. Qui me protégera d'un acte de piratage ou d'une copie infâme? Un tripoux à bas prix pourrait voir le jour si on vole la propriété intellectuelle de ma recette. Un concurrent malveillant pourrait infecter mon usine pilotée par système scada afin d'accélérer la cadence de mes salières pour rendre mon tripoux impropre à la consommation (ma grand-mère me disait toujours: sans trop de sel et à feu doux!). Plusieurs attaques peuvent empêcher mon site web de vendre, depuis le (D)Dos en passant par la modification des commandes en ligne. Contre toutes ces attaques, je n'ai pas d'autre choix que de mettre de la sécurité classique (AV, firewall, patching policy, IDS, SIEM, etc..) qui bloquera les 80% des attaques basiques, mais qui n'empêcheront pas les drames décrits ci-dessus. L’État est capable de prendre des mesures pour protéger ses infrastructures, mais pour les miennes?

Jusqu'où la protection publique qui dispose d'une force de frappe conséquente ira pour protéger les acteurs privés qui sont en droit d'attendre cette protection? Cette question en recouvre d'autres:
-Dans quelle mesure les cyberattaques vont-elles modifier les pouvoirs de la police étatique vis à vis de l'Internet et par là même rogner sur les libertés d'Internet?
-La "police du net" restera t'elle longtemps l'apanage des sociétés privées alors que l'État est de plus en plus impliqué dans la protection de son cyberterritoire et de ses intérêts
-Est-ce la fin d'un Internet anonyme et sans frontières?

jeudi 4 octobre 2012

Etes vous les 20% ?

J'ai lu deux papiers dernièrement qui traitent un thème commun. Le premier est l'édito de MISC septembre-octobre dans lequel un paragraphe a retenu mon attention: "Un peu de réflexion et de bon sens permettrait déjà de régler nombre de problèmes. Par exemple, au lieu de déployer des anti-virus, IDS/IPS, WAF et autres outils de filtrage qui n'arrêtent que le bruit ambiant d'Internet, peut-être qu'analyser et comprendre les 20-30 failles critiques qui sortent par an suffirait à déployer une défense ciblée, adaptée à ces risques ? Encore faut-il être capable d'identifier ces 20-30 failles ...". Le second est un article de blog de Carnal Ownage  qui donne une piste de réflexion "We should stop trying so hard to stop the 80% of low sophistication attackers and focus on the 20% of attackers we really care about and who can really hurt us".

Le blog de Carnal0wnage est un peu plus disert que l'edito de MISC et donne des détails sur le contenu de ces pourcentages. Les 80% ont pour but des vols de numéros de sécu ou CB, de l'envoi de mail, de l'ajout de bandeaux publicitaires ou de defacer du site web. Leurs techniques sont des techniques massives, du scan au malware en utilisant des failles anciennes (appelées 1day). Le but des 20% est de voler de la propriété intellectuelle, d'obtenir des informations confidentielles afin de bénéficier d'une avance (législative, négociation, paris, etc..), pouvoir endommager des architectures physiques dans une optique de perte financière, décrédibiliser une entreprise et même de voler des codes sources afin de trouver des 0day ou de les modifier. Leurs techniques sont plus pointues et regroupent des 0day, du spear phishing, des APT, des AET (combo buzzword!), utilisent des certificats volées, implantent du malware dès la chaîne de construction et réussissent à exploiter les relations de confiance.

On observe effectivement une bonne dichotomie entre d'un côté des attaques de "masse" et de l'autre des attaques "ciblées". Apparemment, une bonne expérience[1] de la sécurité informatique permet d'éviter les scans massives et les 1days (finalement le trio infernal firewall/antivirus/IDS fonctionne un peu :) ) Attaques de masse => réponse standardisée. Pour ces 80%, normalement, pas de soucis, l'ANSSI vient même de créer un checkup à réaliser (ou pas).

Bien évidemment le problème est posé par les attaques ciblées. On sait très bien qu'un firewall ne bloque ni n'analyse un flux https sortant ou qu'un antivirus est aveugle devant un exploit préparé pour, qu'un social engineering efficace contourne beaucoup de protections. Alors, quelles solutions avons nous pour ces 20%? MISC conseille l'étude de ces failles pour en déduire une défense ciblée. Certes, mais laquelle, et en regard de quelle faille? CarnalOwnage propose une option offensive (?) ou une option d'augmentation des coûts pour l'attaquant (par des méthodes de SIEM semble t'il). Je reste dubitatif vis à vis de ces lignes de défense. L'offensif pourquoi pas, le mot cyberguerre commence à être employé de plus en plus souvent, mais contre quel ennemi? A l'opposé du champ de bataille ou l'ennemi est connu puisqu'en en face, qui attaquer lorsque l'ennemi est invisible? Tabler sur la peur? Je n'y crois pas. Les SIEM (ou assimilé) pour faire augmenter le coût de la réussite de l'attaque?  Est-ce possible d'estimer le coût qu'espère tirer l'attaquant de son action?

L'informatique et le réseau permet de relier des systèmes et des personnes afin qu'ils communiquent entre eux. Les attaquants tirent partie de ces personnes et communications. La sécurité veut empêcher tout ou partie de ces communications. Equation impossible?

[1] ou hygiène? :)