mardi 31 juillet 2012

Quelle sécurité pour les ERP ?

Un peu comme les systèmes industriels pilotés par une informatique mal maîtrisée, le cas des applications d'importance comme le sont les ERP semble plus complexe. Deux problèmes apparaissent : d'une part, il semble que la communauté sécurité n'en fasse pas forcément un sujet prioritaire et d'autre part, le côté "boite noire" est sans doute rebutant.

De plus, considérant les consommations considérables de "consultants" que réclament la mise en place d'un ERP de type SAP par exemple, l'aspect sécurité semble parfois être écarté au profit de l'intégration dans les processus de l'entreprise et son lot de difficultés inhérentes.

Ainsi, ayant eu à affronter quelques formations sur SAP lors de mes études et alors que j'évoquais l'aspect Sécurité, le présentateur parut un peu surpris par ma question et évoqua une architecture de comptes et de protections des comptes, notamment par la gestion des droits.

Associé à cela, la tendance des entreprises a été pendant longtemps de se reposer sur une protection qualifiée de périmétrique autour des pare-feux. La croyance en leur capacité à bloquer efficacement tout type de trafic, en particulier malveillant a encore la vie dure et la présence d'un tel outil semble parfois suffire à tempérer les ardeurs de la sécurité.

Les ERP sont des systèmes complexes multipliant l'usage de composants externes et bénéficiant une inter-opérabilité forte afin de constituer une forme de "couche" informatique sous-jacente obligatoire à tous les niveaux de l'entreprise. En termes de sécurité, cela implique également une surface d'attaque agrandie contre un système alors devenu critique.

Or, comme nous l'évoquions, la maturité en matière de sécurité n'est pas toujours au rendez-vous (et c'est un constat qui va au-delà des ERP bien évidemment). C'est ainsi que la Black Hat cru 2012 a été l'occasion d'une démonstration d'attaque sur de tels systèmes mettant en exergue les risques existants.

Quelques détails techniques sont disponibles dans le lien ci-dessous. On retiendra notamment que :

- la vulnérabilité utilisée est relative à un standard connu (xml)
- la méthodologie utilisée profite d'un canal d'attaque matérialisé par un service de test activé et accessible sur Internet et donnant des droits de type administrateur.

Ite missa est ! Il devient donc primordiale d'accorder un regard plus attentif en matière de sécurité à ces systèmes dont la complexité et la criticité sont élevés.

A voir également concernant le "cru" 2012 de la Black Hat : les backdoors basée sur l'usage du BIOS : http://www.silicon.fr/rakshasa-backdoors-bios-76979.html

Source  :

lundi 30 juillet 2012

Attaquer l'attaquant...ou appeler son avocat ?

Après une absence qui devient assez longue imputable à une activité professionnelle prenante, j'ai eu la surprise de constater une adhésion "en masse" (selon mes critères) sur Twitter. Que ces nouveaux suiveurs soient remerciés pour m'avoir quelque peu remotivé !

La Black Hat, conférence de sécurité bien connue, est un évènement où l'en penserait rencontrer plus de conférences techniques que..légales. Et ce ne serait pourtant que partiellement vrai. Une conférence, rapportée dans la presse (et citée dans les sources) est à l'origine de ce billet.

Le conférencier est un représentant de l'US Army Cyber Command et a pour tâche, visiblement, de conseiller les décideurs de son organisation sur les difficultés légales des opérations qui y sont menées. Ce qui, au passage, laisse penser qu'il n'y pas qu'une fonction "SSI" au sein de ces entités.

Son premier conseil, s'adressant à des entités privées faisant face à une attaque, est tout d'abord de s'assurer de la présence d'un juriste compétent susceptible de conseiller utilement les décideurs. Ce faisant, c'est également un conseil pour une meilleure préparation à ce type d'évènements qui est donné ici.

Bien évidemment, une conférence de ce type n'est pas donnée sans qu'un contexte y soit propice. L'actualité est en effet riche d'attaques, en particulier ces fameuses "APT" dont la particularité est de s'introduire dans un système d'informations par le biais d'échanges avec des éléments externes (messagerie, navigation, médias amovibles) et de s'y propager.

A ces attaques, de plus en plus d'entreprises possédant tout à la fois des compétences accrues en matière technique et une certaine assise financière (que l'on associe facilement une capacité de lobbying) répondent par des attaques informatiques visant les infrastructures utilisées par les pirates et que l'entreprise est capable d'identifier dans les sources des attaques menées contre elle. Nous en parlions quelques mois auparavant.

Plusieurs problèmes peuvent se poser. Le premier, en lien avec ce billet, est d'ordre légal : l'état est dépositaire d'un monopole de violence légitime pour paraphraser une célèbre citation. Autrement dit, les aspects offensifs sont du ressorts d'une autorité publique. Ne l'étant pas, on tombe alors sous le coup des lois réprimant les comportements informatiques "agressifs" : la loi Godfrain en France par exemple (parmi d'autres).

Un autre problème est le suivant : un expert en informatique, même confirmé, n'est pas un enquêteur. Autrement dit, son analyse ne suit pas forcément une méthode rigoureuse ou ne bénéficie pas toujours d'une expérience nourrie. Enfin, l'usage des infrastructures dans les attaques répond également à une logique de protection et donc à un "brouillage" des pistes.

Dans ces conditions, il est donc probable que des erreurs soient commises entraînant l'entreprise attaquée à répondre en mettant hors un service un serveur de Command & Control par exemple. Triple erreur !

Non content d'être en délicatesse avec la loi, c'est également un excellent moyen d'avertir l'attaquant et de le faire fuir ou encore de le rendre plus discret et donc moins détectable si par hasard vous n'aviez pas tout découvert de sa méthodologie d'intrusion. Enfin, c'est également avoir un impact possible sur une machine ou  un service légitime avec toutes les problématiques afférentes...

De plus, qui vous dit qu'on ne vous y a pas poussé ?

Une grande prudence s'impose donc dans ces pratiques : le plus sûr étant d'en appeler aux services concernés et spécialisés tout en se protégeant de la manière la plus efficiente. A cela, une solution : la préparation !

Source :