Souvenez-vous, j'avais déjà écris un pavé sur l'intervention d'un
intervenant de la DCRI à l'Esisar que l'on
trouve ici. Et
bien le même homme est revenu nous parler cette fois-ci de la sécurité des
systèmes d'information. Sous cette appellation un peu pompeuse se cache les
réseaux informatiques comme Internet et les LAN
d'entreprises.
Tout d'abord son intervention part d'un constat. Internet
est un vaste réseau ou aucune législation n'a de prise. La peur du gendarme n'y
existe pas et il est courant que les pirates revendiquent leurs actes sur des
sites web. Il a prit pour exemple le site des 2600, un groupe de hacker célèbre
qui maintenant vivent de leur notoriété. Vous pouvez remarquer que
2600 est une marque déposée et qu'ils sont déclarés comme
entreprise. Ils ont pignon sur rues et ne cachent pas ce qu'ils sont, des
pirates sans pour autant être inquiété, ils font même de l'argent !
Ce sentiment d'impunité est également dû à une seconde donnée très
importante : il est extrêmement difficile de sécuriser un site web ou un
réseau d'attaques extérieures. Pour preuve la Tiger Team, une
unité composée de hackers repentis (white hat) travaillant pour le
FBI a attaqué plus de 8932 sites web américains de la start up
de la Silicon Valley à de grosses holdings. Le résultat est
assez effarant. Plus de 7860 attaques ont réussies et n'ont pas été détectées.
Les cibles attaquées ne se sont même pas rendu comptes de l’attaque. Comment
porter plainte dans ce cas si l'on n'est même pas capable de détecter une
infraction. 840 ont été détectés mais les attaquants ont quand même réussi à
pénétrer. Enfin, il y a eu 232 échecs. On comprend mieux ces chiffres lorsque
la DCRI annonce que 98% des sites censés être protégés en
France sont en fait vulnérable.
On appelle changer le contenu d'un site un defacement. J'en ai
personnellement fait les frais il n'y a pas longtemps sur mon site de musique
deckard.fr. Pour moi ce n'est pas grave,
cela me fait même sourire mais imaginez pour une grosse entreprise dont le site
web fait partie intégrante de sa stratégie de communication. L'intervenant a
pris pour exemple le site de Channel ou des défendeurs des
animaux avaient changé leur page principale en un plaidoyer contre
l'utilisation des animaux cobayes en laboratoire, photos à l'appuie. Après
cela, vous n'avez plus envie d'acheter des cosmétiques. Le site de Zone_H ressence ces defacements.
Revenons-en à une étude des risques qui peuvent toucher un système
d'information.
Il y a tout d'abord l'intégrité. Dans le cas de l'informatique on parle de
l'intégrité des données. Peut-on récupérer des données provenant de disques
durs ayant subis un incendie ou une inondation. A t'on des sauvegardes si la
récupération est impossible. Signalons tout de suite plusieurs hérésies comme
la sauvegarde stockée à côté de l'original ou des serveurs directement branchés
sur une prise du secteur. D'après les statistiques des assurances, les locaux
d'entreprise travaillant dans l'informatique sont ceux qui brûlent le plus.
Vient ensuite l'authenticité. Ca a été pour moi une très grosse révélation.
Cela vient d'une notion juridique qui dit si l'on peut considérer un document
comme pouvant faire usage de preuve ou non. L'exemple retenu est une entreprise
qui négocie des pièces avec un fournisseur. Ils conviennent une date de
livraison par mail mais à la date fatidique rien n'est livré. L'entreprise ne
peut se retourner au tribunal contre son fournisseur car l'accord par mail
n'est pas considéré comme faisant office de preuve. Pour cela il faut sécuriser
ces échanges par certificat électronique de niveau 2. Cette mesure permet
d'attester que le mail est bien un vrai et que son destinataire en a bien pris
acte. Les logs sont également sujets à déclaration auprès de la
CNIL pour pouvoir être utilisé comme preuve.
Je passe rapidement sur ces notions. Ce qu'il faut en retenir c'est qu'il
est difficile voir impossible de garantir l'inviolabilité d'un site web. Ceci
est d'autant plus difficile à garantir à cause de l'impunité et du sentiment de
toute puissance qu'ont les piratins sur le web.
On retiendra deux citations de l'intervenant provoqué par un hacker
anglais : ConclaveCrew pour ne pas le nommer qui donne quelques conseils
sur sa page web pour éviter de se faire défacer un site :
Utilisez plutôt du FreeBSD / OpenBSD, c'est vrai que c’est
moins pourri que IIS.
Un site web, il est pourri, il est pourri, il est pourri.
On enchaîne ensuite sur des sujets plus vaste et notamment sur des points de
loi. On apprend par exemple que 47% des logiciels en entreprise Française sont
piratés. Ce chiffre est tout bonnement scandaleux et c'est même une honte.
D'une part pour les développeurs Français qui n'arrivent pas à jouir de leur
travail mais aussi en comparaison à d’autres pays. Ainsi aux USA, seul 22% des
logiciels sont piratés. Et encore, chez nous ce pourcentage augmente !
Il faut aussi réaliser que lorsqu'une entreprise en rachète une autre, elle
ne rachète pas avec les licences des logiciels (cela ne fait pas partie des
actifs). L'entreprise acquérant doit donc renégocier des contrats et forcement
passer à la caisse.
Le non respect de la protection des données personnel auprès de la
CNIL peut être une cause de soucis judiciaire également. Votre
pc peut très bien envoyer du spam et du warez sur le réseau sans que vous le
sachiez. Et dans ce cas là, la loi est assez spéciale. C'est à vous de faire
preuve de votre bonne foi et non au plaignant comme il est d'habitude usage
dans notre système judiciaire. Imaginez que vous n'ayez pas déclaré vos logs à
la CNIL et que donc de facto tous vos arguments de défenses
sont inutilisables. Cela peut aller loin en dédommagement.
Faisons un exercice pratique : Je suis un pirate qui veut attaquer le
site personnel d'un de mes enseignants. Je suis en plus de ça, assez malin pour
ne pas attaquer directement le site web depuis mon pc. Je vais m'attacher à
contaminer plusieurs machines pour en prendre le contrôle et les utiliser ainsi
dans mon attaque. Mais je suis également plus malin que malin, je suis
super-malin (ok je sors), je prends le contrôle de machines étrangères. Par ce
biais j'attaque le site de mon professeur sans craindre d'être inquiété. Mon
professeur se rend compte qu'il s'est fait attaquer et porte plainte. Il fait
déjà parti d'un des rares administrateurs d'un site web à avoir détecté
l'attaque (voir les résultats de la Tiger Team). En plus de
cela il peut prouver son fait par le biais de ses logs déclarés à la
CNIL. Les enquêteurs voyant que l'attaque provient de
l'étranger demande à un juge une commission internationale rogatoire pour
pouvoir enquêter là-bas si le droit étranger le permet. Cette opération est
déjà extrêmement coûteuse et ne se fera que si le site à subit de lourd dommage
financier. Il faut de plus que le droit français et étranger soit compatible ce
qui est rare ou que des accords existent entre les deux pays. Par exemple le
Japon ne possède pas d'accord avec la France. Donc toute investigation au Japon
par des policiers français est impossible. Ca c'était pour le droit pénal, on
cherche objectivement qui a commis la faute. Dès que l'on ne peut plus
enquêter, le droit civil prend le relais. Les avocats du parti plaignant vont
s'attacher à établir des responsabilités et vont réclamer des dommages et
intérêt à toutes les compagnies gérant les pc infecté utilisé pour l'attaque
(ceux dont la participation a été prouvée en pénal bien entendu). Ceux qui ne
peuvent pas prouver leur bonne foi avec des log en règle par exemple vont
devoir payer. D'où la nécessité d'être en règle.
Nous avons dévié ensuite sur le réseau échelon, qui par le biais de stations
au sol et de satellites est capable de capter toute les communications
transitant sur la planète. Il a même était question d'un sous marin capable
d’écouter les fibres optiques sous-marines. Les pays membres sont les USA, le
canada, les Royaume-Unis, l'Australie et la Nouvelle Zélande. Le réseau peut
capter 15 à 20 % des flux mondiaux totaux (seulement les communications cryptés
qui sont seuls jugés intéressante). Ceci a amenée la discussion sur la
cryptographie. Il faut savoir qu'un éditeur de logiciel de cryptographie est
obligé de fournir une clé de décodage à son pays de résidence. Ainsi un éditeur
américain fournit les clés de décryptage au gouvernement américain qui sera
capable de décoder toute les communications utilisant ce logiciel.
Airbus n'utilise donc pas un éditeur américain pour ses
cryptages de données mais un français. Ainsi seuls les services français
peuvent déchiffrer leur communication.
On terminera l'exposé sur un dernier point de droit concernant les chartes
informatique. Elles doivent être exhaustives. C'est à dire que tout ce qui est
interdit et autorisé doit être spécifié. Elle fait donc au minimum une
vingtaine de pages. Dans la même veine d'idée, un employeur ne peut pas
consulter vos emails professionnels en votre absence mais peut vous demander de
lui montrer votre boite à la lettre en votre présence.
Pour conclure, une conférence très intéressante organisée par monsieur
Daval et le cercle. J'ai eu un peu de mal à faire sa synthèse
car beaucoup de sujets ont été évoqué. L'aspect juridique est évidemment très
intéressant et l'intervenant s'est concentré dessus. Il a par ailleurs beaucoup
critiqué les technologies sans pour autant citer des mécanismes fiables.