jeudi 31 janvier 2013

Routage : une solution contestée !

Un article de M. Mueller, observateur avisé des phénomènes de la gouvernance Internet a relancé le débat sur le routage.

Si votre mémoire est, comme la mienne, occupée par une myriade de détails quotidiens, il est parfois délicat de se rappeler de l'ensemble des éléments. Récapitulons donc rapidement !

Le routage sur Internet est la capacité nécessaire pour amener des paquets au sens réseau d'une machine à une autre suivant les réseaux et la connectivité disponible. Parmi les nombreuses solutions techniques disponibles, un protocole en particulier est utilisé pour les échanges au niveau des opérateurs majeurs - ex. entre Orange et Free ou Orange et Cogent. Ce protocole est connu pour présenter des problématiques de confiance ayant occasionné plusieurs incidents (détournement par "la Chine" par exemple).

Rappelons également le principe suivant : lorsque vous souhaitez joindre un site, celui-ci sera identifiée par une adresse IP pour votre ordinateur. Pour permettre de déterminer la "localisation" (au sens technique) de la machine, les fournisseurs "publient" au sein de leurs routeurs des informations sur les ensembles d'adresses qu'ils détiennent. Ces informations sont alors transmises de routeurs en routeurs,  ce qui permet à ces machines de déterminer les meilleurs chemins pour y arriver.

Le problème est le suivant : comment s'assurer que l'opérateur qui prétend détenir la machine identifiée par l'adresse que vous souhaitez atteindre dit vrai ? Et comment s'assurer que vous passez par le bon chemin ?

Ce double problème a nécessité deux traitements distincts s'appuyant toute deux sur des solutions cryptographiques et une infrastructure de clé, la RKPI. Si le premier problème - authentifier la source - a relativement rapidement débouché sur une solution, s'assurer du chemin suivi demeure encore un problème complexe. 

Parallèlement sont apparues des solutions alternatives comme Rover qui utiliserait le DNS et notamment DNSSEC. Cela permettrait de limiter l'utilisation des ressources au niveau des routeurs tout en apportant les informations nécessaire permettant de vérifier que le prétendu détenteur est bien légitime !

Trois problèmes sont alors apparus dans le développement de cette solution :

- d'une part, cela crée un système centralisé et hiérarchique dans des opérations qui jusqu'ici étaient encore très décentralisées et permettait une certaine souplesse. Or, il semble que cette souplesse demeure essentiel non seulement dans le fonctionnement des fournisseurs de services mais aussi pour les usagers. 

Dans le premier cas, il s'agit de pouvoir choisir les clients, les vendeurs ou les égaux : ceux que l'on "transporte", ceux à qui l'on demande de transporter et ceux avec qui on échange...du trafic. Mais c'est également un facteur de solidité puisque la possibilité de modifier le trafic facilement permet aussi de pallier à des défaillances localisées (ex.  rupture de câble) ;

- d'autre part, des voix discordantes sont apparues pour dénoncer un système d'une lourdeur exceptionnelle illustrant leurs propos par des estimations, jugées crédibles, sur le temps d'acquisition des informations nécessaires par les machines (plusieurs jours et jusqu'à un mois) ;

- cela illustre également un processus de décision et de création des standards qui semblent ici mis en déroute par les intérêts liés à cette problématique. On pourra s'étonner que le caractère déraisonné de la solution proviennent d'analyses faites par le secteur privé et ne reposant pas uniquement sur des critères financiers. Une recherche de qualité de service semble ainsi demeurer au sein des organisations.

Tout cela sans mentionner directement le fait que la centralisation des opérations de contrôles du routage offre une facilité de surveillance à des gouvernements peu scrupuleux. 

En conclusion, plusieurs questions apparaissent sur l'avenir du routage et de son infrastructure. Quel est le degré de sécurité attendu ? Est-on prêt aux conséquences que les tendances actuelles laissent présager ? Comment dépasser les intérêts quelques peu corporatistes pour une solution efficace sur le long-terme et équilibré dans ses contraintes ?

Source : 



mardi 29 janvier 2013

Où l'on reparle de l'évolution du Cyber Command

Source: Washington Post
Il y a quelques mois, nous évoquions avec l'Alliance Géostratégique, le changement de statut possible de l'US Cyber Command. D'un commandement centralisé, mais subordonné, celui-ci s’élèverait à un statut d'autonomie supérieure en devenant un UCC ou Unified Combattant Command. A l'heure actuelle, il demeure rattaché au Strategic Command, lui-même UCC à vocation plus "fonctionnelle" que géographique.

Cet avenir semble toutefois toujours une possibilité puisque plusieurs articles évoquent le renforcement des capacités avec un facteur important puisqu'il s'agirait de passer à prés de 5000 personnes au total pour environ 900 aujourd'hui. 

Une rapide lecture transverse tend à confirmer qu'une certaine dose de discours alarmistes semblent payer aujourd'hui bien que dans les faits, aucun échéancier ne vienne étayer ces déclarations.

N'hésitez pas à consulter les articles suivants pour plus de détails :




Source :
dans le texte

lundi 28 janvier 2013

Prendre la mesure de l'adversaire ?

Edit : Une annonce de la part de l'OTAN évoque d'ailleurs cette nécessité d'analyser la menace à proprement parler !

=============================================

L'ENISA publiait récemment ses estimations sur l'évolution de la menace informatique. On trouve également une percutante analyse transverse du rapport qui ne sera pas ici commenté. La question de la mesure et de l'évaluation de la menace pose toujours un problème alors que le FUD semble parfois resurgir de plus belle. 

La problématique du recueil et de l'exploitation des données n'est pas celle qui sera traitée ici car ses ressorts en sont bien connus. Les intérêts bien compris des entités émettant des mesures sont une source d'inquiétude et de remise en cause de leur véracité. Le discours de Mme Napolitano (voir lien "FUD) n'est pas sans lien avec un agenda parlementaire et surtout budgétaire, donc financier. A cet égard, je vous conseille le fameux "Freakonomics" qui aborde les principes de l'incitation de manière exemplaire.

Il n'en demeure pas moins que l'affaire est complexe pour le décideur SSI qui a pour tâche de décider et donc de donner une direction à son entreprise et un sens à ces actions. Reprenons un instant une méthode classique : l'analyse de risque utilisée pour la protection de l'information. EBIOS a été choisi ici car c'est une méthode réputée et issu d'une entité dont la qualité SSI n'est pas douteuse. Ayant réalisé des études comparatives sur les normes et standards en matière de protection de l'information, il m'est possible de vous affirmer qu'elle présente une capacité de représentation intéressante.



L'intérêt de cette démarche est qu'elle dissocie nettement l'étude des besoins de sécurité et l'étude de la menace. En effet, à force de réflexion, il est apparu que l'étude de la menace présente aujourd'hui des problématiques complexes. A l'opposé, étudier son besoin de sécurité n'est pas aisé mais les acteurs d'un métier particulier savent en général assez bien ce qui a de la valeur, ce qui n'en a pas, les ressources indispensables et les secrets à garder même s'il faut les aider à le formaliser.

Sans dénigrer cet aspect, j'ai été conduit à me demander si l'analyse de la menace n'était pas encore moins bien lotie. On peut y associer des aspects négatifs bien connus de la profession :

- Sans menace crédible, il n'est pas possible de convaincre de la réalité du risque

- Sans informations crédibles, la menace demeure floue tant dans les aspects qualitatifs que quantitatifs

Est-ce à dire que chaque organisation devrait disposer d'analystes de la menace ? de spécialistes de la veille ? Presque...Mais c'est bien sur impossible.

En bref, cette démarche interrogative s'est transformée en : "comment construit-on l'ennemi" ? Cette vision, que l'on pourrait attribuer à la pensée militaire, ne semble pas toujours explicite dans le raisonnement de l'analyse de risque. D'une certaine manière, la mesure de l'agression ou du conflit possible, en matière d'information, semble parfois réduite à un strict minimum.

Qu'en pensez-vous ? Comment, et grâce à quoi, matérialisez-vous la menace ? L'ennemi ?

Ne pensez-vous pas que, mieux construite, celle-ci contribuerait :

- à convaincre le conseil d'administration que l'entreprise est bien menacée ?

- à mieux représenter cette menace lors de vos sensibilisations ?

Source :

dans le texte

vendredi 25 janvier 2013

Aventure en APT ?

Alors que nous publions hier une nouvelle série d'article relatif à la SSI, voici le récit du traitement à distance d'une possible attaque.

Finalisant l'article, un mail apparaît dans la boite aux lettres. L'expéditeur m'est connu et rien ne suscite encore la méfiance. Celui-ci demande de l'aide en ce qui concerne les informations contenues dans une pièce jointe. En bref, la pièce jointe est un pdf dont le titre, bourré de majuscules, est très "FUD".
La personne en question s'interroge : est-ce que les informations du PDF, en l'occurence relative à la propagation d'un malware particulier, sont vraies ou s'agit-il d'un simple hoax que l'on ne souhaitera pas rediffuser.

3 questions m'interpellent :

- l'expéditeur est-il bien la personne que je connais ?

- le pdf embarque-t-il du code malveillant ?

- est-ce juste un hoax

La première question appelle une réponse simple : je téléphone à la personne. Celle-ci est bien l'expéditeur et je lui pose alors une seconde question : "as-tu ouvert le fichier ?"

Patatras => la réponse est "OUI"....Respirant un grand coup, j'entame alors un laïus sur les attaques de type "APT" et surtout leurs prémisses. Comme il semble bien que mon interlocuteur s'effraie un peu, je lui conseille de faire appel à son service informatique et de poser la question.

Recontacté quelques instants plus tard, la personne me confirme avoir eu le service informatique qui après quelques vérifications, sur les fichiers et le poste de travail. Confirmé par quelques recherches personnelles, il s'avère que ce n'est, sans doute, rien de très préoccupant.

Que révèlent cette aventure ?

Tout d'abord, quelques éléments positifs : la personne qui a reçu le mail a bénéficié d'une réaction presque parfaire. Dans le doute, elle a pris contact afin de se rassurer. Bien sur, ne pas ouvrir le fichier aurait été encore mieux. 

Un autre élément positif est la connaissance d'un point de contact auprès des services informatiques, que l'on peut contacter facilement et dont le numéro est connu. Le fait que celui-ci ait pu intervenir pour réaliser des actions interdites au destinataire du mail révèle non seulement que des capacités d'actions centralisées existent mais également que l'utilisateur possède des droits réduits dans une certaine mesure.

L'affaire révèle également un déficit de sensibilisation. Les problématiques de "chaines"de mail et de hoax sont des aspects connus et dont la dangerosité apparaît comme inférieure aux méthodologies d'attaque plus récente. De même, le destinataire a pu s'assurer que l'expéditeur était bien la personne indiquée par le courriel : celui-ci l'a donc renvoyé sans prendre de précautions supplémentaire et sans se soucier réellement du risque de saturation des courriels.

Plus que jamais donc, une sensibilisation accrue, intelligente et permanente semble nécessaire face aux risques potentiels.

Avons-nous toutefois répondu à toutes les questions ? Quelles leçons ?

1/ Les "personnes" ?

Afin de vérifier que l'expéditeur est bien la personne indiquée par l'adresse du mail, il semble important de se servir d'un second canal afin de garantir la véracité de l'information. Un coup de téléphone est une bonne idée. L'usage de solutions cryptographiques assurant l'authentification de l'utilisateur apporte aussi un niveau d'automatisation intéressant.

2/ Le code malveillant ?

On ne reviendra pas sur les politiques anti-virus. Un scan des fichiers douteux est sans doute une bonne réaction. Mais c'est une question plus globale que l'utilisateur ne doit pas forcément appréhender.

Un site comme VirusTotal permet de lever certains doutes en soumettant le document à de nombreux anti-virus.  Si vous êtes préoccupés par le contenu du document en question, VirusTotal accepte aussi des signatures sous formes d'empreintes. Dans notre cas, le fichier avait déjà été soumis  - un fait intéressant - et ne recueillait aucune détection sur les 46 anti-virus testés.

3/ Oiseau de mauvaise augure ?

Dans la frénésie du traitement, nous ne savons toujours pas si ce document est un hoax ou non. Qu'à cela ne tienne, il suffit d'aller sur http://www.hoaxbuster.com/, une référence appréciable pour déterminer ou non la légitimité du message.

Enfin, si vous songez que celui-ci demeure vrai, il vaut mieux alerter votre service informatique sur cette alerte que la renvoyer à vos contacts. Vos informaticiens ne verront pas d'un bon oeil cette "usurpation" de leurs prérogatives surtout si cela doit conduire à des dysfonctionnements de serveurs de messagerie. Ils disposent sans doute de relais plus efficaces que vous.

Une aventure donc qui aura eu le mérite d'éclairer certains aspects, peut-être de fournir quelques éléments de réflexion et de, peut-être, vous intéresser !

Source :

des proches....

jeudi 24 janvier 2013

La sécurité de l’information est-elle un échec ? Que faire alors ? S’inscrire dans une démarche globale


En tant qu'auteur de blog, débuter une chronique est nécessairement un engagement. Malgré tout, nourrir ainsi un journal de réflexion est un exercice qui empiète sur les actions quotidiennes, en particulier professionnels. C'est pourquoi, parfois, certaines chroniques connaissent des temps d'arrêt.

Ainsi, en partenariat avec le site Si-Vis Pacem et sous la bienveillante attention de l'Alliance Géostratégique, j'ai le plaisir de vous annoncer la reprise de notre chronique dédiée à l'analyse de la Sécurité des Systèmes d'Informations.

Dans une première série d'articles, nous avons souhaité mettre en avant une série de constat dont l'objectif était de démontrer dans quels domaines la SSI connaissait des échecs et pourquoi. Dans une seconde série, nous nous attacherons à proposer un certain nombre de solutions. 


Voici la liste des articles de la première série :Voici la liste des articles de la première série :


Source :

dans le texte

mardi 22 janvier 2013

L'Angleterre annonce rejoindre le CCD COE

Le premier ministre britannique David Cameron annonçait hier la volonté de rejoindre ce centre de réflexion et d'expertise relié à l'OTAN. Trois pays ont ainsi annoncé cette volonté de participer officiellement aux travaux de cette entité : les deux autres étant la France et la Turquie. 

Nul doute que les travaux menés continueront à apporter des éléments de réflexion intéressants comme le Manuel de Tallin. Ne doutons pas de la complexité à partager des informations sur ces sujets que l'on sait très sensible. C'est pourquoi il est permis de se demander si ce centre sera susceptible de dépasser les questions juridiques et doctrinales.

Source :



Hacknowledge Contest Europa-Africa


Les Rencontres des Solutions de Sécurité et d'Informatique Libre (RSSIL), organisées par l'association ACISSI (Audit, Conseil, Installation et Sécurisation des Systèmes Informatiques), propose cette année une nouvelle édition de leur concours de hacking.


Celui-ci aura la particularité de se dérouler dans plusieurs pays d'Europe et d'Afrique sur plusieurs mois à partir de Mars et jusqu'à Juin 2013. Le vainqueur de Hacknowledge gagnera des places pour participer à la mythique DefCon.

Le communiqué de presse de l'association est entre autres disponible sur ce site. Vous trouverez également des informations complémentaires sur le site de l'ACISSI ou sur celui des RSSIL, en particulier sur les épreuves des années précédentes.


Bonne chance à tous !



lundi 21 janvier 2013

Infrastructure de gestion de confiance - IGC/A

L'ANSSI publie ce jour les informations relatives à la mise en oeuvre de l'infrastructure de gestion de clés publiques de l'administration également dénommée IGC/A pour "Infrastructure de Gestion de la Confiance pour l'Administration".

Pour les moins familiers avec les notions de signature et de certification, vous trouverez ci-dessous une liste de quelques liens permettant d'y voir plus clair.

Pas d'enjeu stratégique ou de défense au premier abord mais plusieurs points intéressants. Tout d'abord, cette infrastructure est gérée par l'ANSSI, ce qui se trouve être plutôt un gage de qualité, de sécurité et de...confiance. 

En effet, un des questions que l'on se pose, en particulier lorsque on réalise des démarches administratives via Internet est la légitimité du site sur lequel on se connecte. Bien des techniques permettent d'amener l'utilisateur naïf et confiant vers un faux site : hameçonnage, empoisonnement du DNS...Certains n'hésitent d'ailleurs pas à s'en servir

Lorsque la navigation requiert un niveau élevé de confiance et de protection, les protocoles utilisés (par exemple TLS) se basent notamment sur une chaîne de confiance que l'on doit construire puis garantir. Le rôle de cette infrastructure est de définir le premier niveau de confiance sur lequel s'appuieront ensuite les administrations pour offrir de la confiance dans leurs procédures d'échanges de données avec les usagers.

De votre côté, vous pouvez vérifier que votre navigateur reconnait par exemple ces certificats en les recherchant dans les autorités acceptées. Pour moi, c'est le cas (cliquer sur l'image) :


Si vous êtes une entité souhaitant être rattaché à l'IGC, toutes les informations et les documents sont disponibles sur le site de l'ANSSI indiqué ci-dessous. Pour mémoire, cette infrastructure existe depuis 2002 et son niveau de sécurité a été plusieurs fois vérifié et approuvé.

C'est donc un outil à connaitre et à utiliser avec confiance, ce qui s'avère rare sur Internet !

Source :




mardi 15 janvier 2013

Red October...plonger dans un univers mobile

Des analystes en SSI, en particulier issus de kaspersky Lab, publiait hier un article passionnant décrivant le système virale complexe désormais connu sous le nom de "Red October". 

Selon l'analyse, ce malware présente un fort niveau de complexité matérialisé par plusieurs aspects : un nombre important de fonction et de modules créant une structure complexe composée de nombreux fichiers (plus de 1000), une capacité à demeurer "dans l'ombre" pendant plusieurs années selon l'auteur (traces d'exécution débutant vers 2007), une capacité de résilience matérialisée par une infrastructure disséminée et résistante à la perte des serveurs C&C.

L'étude montre également que le malware cible prioritairement des acteurs ou des entités gouvernementales ou impliquées dans des activités critiques (nucléaires, défense...). Autant les premières assertions relatives aux caractéristiques du malware se prouvent assez facilement, autant il faut croire sur parle l'auteur à propos des cibles supposées. Peut-être une action plus ou moins légale (piratage d'un serveur de l'infrastructure) aura permis d'acquérir des informations de ce type. On en rappelera les limites.

Comme cela est souvent le cas, des postes de travail ont été visés en utilisant en particulier des vulnérabilités propres au système de Microsoft et notamment de sa suite bureautique Office. Les failles utilisées montrent également une capacité d'évolution du malware puisque celui-ci utilise des vulnérabilités variables dans le temps (2010, 2011 et 2012 au moins) et qui n'existaient pas au moment de ses premières exécutions.

L'article rapporte également que des plateformes mobiles ont été visées par ce malware, pour le moment il semblerait que seul iPhone, Nokia et Windows Mobile soient en cause. Cela devra être confirmée par d'autres études. Il semblerait enfin que la méthodologie privilégiée pour l'infection soit un "classique" hameçonnage ciblé ou spear-phishing.  

Une analyse basée sur le code et l'usage des certains termes transcrits du russe ou encore la référence à des messageries russes (mail.ru) permettent à l'auteur de pointer du doigt des éléments russes en ce qui concerne les modules (récupération des credentials, action sur les périphériques USB, "écoute"...). L'exploitation des vulnérabilités seraient d'origine chinoises en revanche.

On reste bien évidemment sceptique sur de telles assertions non pas en ce qui concerne l'auteur dont les compétences semblent excellentes. Mais des actions de ce type prévoient très probablement que le code sera découvert si l'on songe à ses autres capacités de résilience et si l'analyse ne révèle pas d'obfuscation du code, on peut songer à la possibilité de "faire mentir" le code afin d'éloigner les soupçons. Ceci n'étant qu'une possibilité.

Ce système viral s'ajoute donc à la liste des attaques réfléchies et menées avec prudence et circonspection, suffisamment pour demeurer discret pendant plusieurs mois ou années. Le ciblage concomitant des systèmes mobiles et fixes représentent ici une nouveauté intéressante qui tend à confirmer la volonté de "cibler" l'attaque. 

Pour les férus de technique, d'autres articles suivront sur les médias cités. Edit : cette source a été ajoutée en première référence ci-dessous.

Sources :


mercredi 2 janvier 2013

Bonne année 2013


39dbefc316cdf446a5e4c6655f1af151 




Une autre manière de vous dire "Bonne année 2013 !" en MD5 ! Pas très original je l'avoue mais cela ne m'empêchera pas de souhaiter à tous les lecteurs qui me font l'honneur de lire ma prose une excellente nouvelle année...

Qu'elle vous soit douce, passionnante, exaltante, familiale, amicale ou mieux encore mais toujours en toute sécurité..bien sur !