Print

 

Conférences dans
le grand amphi de l'ESIEA

Plus de 120 inscrits

 
Compte rendu de la conférence du 4 juillet 2008 organisée par le Club IES de l'AAE IAE de Paris & le Club ESIEA. Sur le thème :

Cyberguerre & Cyberterrorisme : Etat des lieux

Animé par Louis Jouanny, Eric Filiol & Eric Singer


 

Compte - rendu rédigé par Jérôme Bondu, Président du Club IES, et Louis Jouanny, responsable du Club ESIEA.

 

Présentation des intervenants

 

Louis Jouanny : Directeur Marketing Europe ? Informatique Mobile - Fujitsu Siemens Computers.

Expert et pionnier en informatique mobile.

 

Eric Filiol : expert en virologie et cryptologie opérationnelle, éditeur en chef du "Journal Of International Virology", enseignant chercheur à l'ESAT (Rennes) et à l'ESIEA (Paris et Laval), auteur de plusieurs articles et ouvrages sur les virus et la cybercriminalité.

 

Eric Singer : Responsable de la Sécurité des Systèmes d'Information (RSSI) Grands Magasins Galeries Lafayette - BHV. Ancien responsable coordination et conduite de crise gouvernementale SSI au SGDN (DCSSI).

 



 

 

Les nouveaux comportements nomades et les implications en termes de sécurité

Intervention de Louis Jouanny

 

L'informatique mobile et les comportements nomades se développent dans l'entreprise, notamment dans les grandes structures.

 

Pourquoi ?

D'abord pour l'avantage concurrentiel que cela procure : gain de productivité, fluidité de la communication sans fil, réactivité, vitesse d'exécution, disponibilité des collaborateurs où qu'ils soient, amélioration de la qualité des données en entreprise, ...

Ensuite parce que les jeunes diplômés les plus brillants, qui ont grandi avec internet refusent d'entrer dans des entreprises qui ne leur fourniraient pas ces outils de la mobilité. Notons que ces outils sont en même temps porteurs d'une image de marque pour l'entreprise et pour ses employés.

Du fait de l'amélioration des technologies et du changement démographique au sein des utilisateurs, la communication sans fils fait partie intégrante de la mobilité. Pas de mobilité sans liaison sans fils.

Tous ces points sont confirmés dans l'étude commanditée en avril de cette année par Fujitsu Siemens Computers dans huit pays Européen, auprès d'entreprises de différente taille.

 

Quelles incidences ?

Le problème survient lorsque les entreprises n'ont pas intégré les dangers liés à ces solutions mobiles. L'étude citée plus haut montre que 35% des entreprises françaises disent ne pas avoir de règles de mise en place d'informatique mobile, et en ce qui concerne les règles de sécurité ce chiffre monte à près de 80%! La sécurité est à prendre en compte de bout en bout, en commençant par les personnels. C'est en effet le facteur humain, les comportements à risques qui sont le maillon faible de tout système de sécurité. Diverses études viennent confirmer cette insouciance. Ainsi un test mené par une société spécialisée en sécurité informatique montre qu'à un simple appel téléphonique du type « Bonjour, je suis Mr. XXX ingénieur système au service informatique. Nous devons réinitialiser et reconfigurer votre poste et pour ce faire, merci de vous déconnecter de toute application pendant la procédure et de me donner votre login et mot de passe » ? une écrasante majorité des personnes testées donnent ces informations en parfaite innocence.

 

Avec l'informatique mobile, l'entreprise s'ouvre sur l'extérieur et donc augmente sa vulnérabilité. Des règles de bon sens comme de ne pas laisser son portable n'importe où, le ranger, l'attacher, l'enfermer dans un tiroir pour en éviter l'accès sont primordiales. Au plan technologique il convient d'assurer l'authentification de l'utilisateur, de préférence de manière bio-métrique. Puis de couvrir le minimum, c'est à dire d'installer un antivirus, un fire wall personnel, un anti phising, et un anti spyware et surtout d'en assurer les mises à jour régulières.

 

Facteur aggravant, la mobilité se développe justement à l'heure où la cybercriminalité est en plein boum et change de nature : Des « gentils » adolescents amateurs de défis surtout spectaculaires (changer la page d'accueil d'une grande organisation, pénétrer le système d'un organisme fédéral américain pour le « fun »), on est passé à une cybercriminalité professionnelle, dont le chiffre d'affaire rejoint rapidement celui des autres grands secteurs d'activité mafieux : drogue, contrefaçon, etc.

 

Les protections et les points faibles

Si aucun système de sécurité n'offre de protection absolue, l'effet dissuasif d'un système de protection un tant soit peu cohérent est essentiel en termes relatifs : sauf ciblage extrêmement précis, et exactement comme dans les cambriolages à domicile, à la première difficulté un peu sérieuse le hacker préférera s'attaquer au voisin moins bien protégé.

Comme le feront après lui les deux autres intervenants, Louis Jouany a insisté sur le fait que dans la chaîne informatique le point faible était l'Homme. Et de multiplier les exemples, du notebook oublié dans un moyen de transport aux mots de passe trop faciles ou carrément absents, en passant par l'absence des protections élémentaires que sont les antivirus et firewalls?

Ces précautions élémentaires prises, des moyens beaucoup plus sophistiqués sont maintenant disponibles, jusque et y compris la reconnaissance biométrique.

 



 

 

Les nouveaux visages de la cybercriminalité

Intervention d'Eric Filiol

 

Quels sont les difficultés ?

La cybercriminalité recèle des spécificités par rapport à la criminalité ?ou à la guerre- conventionnelle.

La première est que l'on ne peut pas estimer les forces adverses tant qu'elles ne se sont pas manifestées. Si dans un conflit entre Etat, on peut estimer le nombre de soldats et de chars, aucun comptage n'est possible dans le monde virtuel.

D'autant que les attaques peuvent être masquées. Ainsi pour affaiblir une cible, il est facile dans le monde virtuel de s'attaquer à ses fournisseurs. La désorganisation d'un hôpital ou de la signalisation autoroutière (feu de croisement) en sont des exemples. Il est très difficile de faire une cartographie de l'ensemble des systèmes critiques.

Enfin, les menaces peuvent venir d'éléments déconcertants de simplicité (voir l'exemple Estonien ci-dessous). Dans certains cas, il n'y a pas de code malveillant, mais simplement la multiplication d'une requête « normale » à des fins malveillantes.

 

 

Exemple Estonien

En mai 2007 la volonté du gouvernement Estonien de déplacer un monument Russe a déclenché un vague de protestation de la minorité (25%) russe du pays. A ces événements (émeutes, pillages) conventionnels, s'est ajouté une cyberattaque.

Quelques points de repère : L'opération, n'a duré que quelques jours, début mai. Le 9 mai a été la journée la plus sensible, et le 11 mai les attaques ont cessé. L'attaque aurait été menée via une cinquantaine de pays. Entre 3 000 et un million d'ordinateurs (chiffres variant selon les sources) auraient été utilisés (ordinateurs « zombies » contenant un petit logiciel dormant déposé, puis utilisé à l'insu de leur propriétaire).

Ces attaques ont été d'une simplicité déconcertante. Explication : Quand un serveur veut vérifier que la communication a vec un autre serveur est opérationnelle, on dit qu'il envoi un Ping. L'autre répond par un Pong. C'est une opération banale et courante. L'attaque a justement consisté en l'envoi d'un nombre très important de requêtes de type Ping à des serveurs hébergeant des sites gouvernementaux. Les serveurs étant saturés par les réponses à ces millions de requêtes Ping, les pages des sites ne s'affichaient plus (déni de service).

 

Il est impossible à l'heure actuelle de définir qui se cache derrière cette attaque. Le gouvernement Estonien à accusé l'Etat Russe. Les conjectures sont multiples. L'une d'elle, envisagée par un officier de l'OTAN, veut que l'Estonie aurait menée cette opération de « communication » contre elle-même pour mettre en évidence le besoin d'un centre de « cyber défense » qu'elle se proposait d'héberger. Et de fait, quelques mois après, ce centre voyait le jour en partie financé par des fonds Européens.

 

Si ce cas est symptomatique d'une forme d'attaque à l'échelle d'un Etat, il faut savoir que c'est monnaie courante à l'encontre des entreprises privées de par le monde.

 

Autre possibilité analogue d'attaque utilisant une requête licite et indispensable : on envoie au serveur un grand nombre de messages destinés à une adresse internet qui n'existe pas. Le serveur est bien obligé de rechercher l'adresse, d'en constater la non-existence, et d'émettre une réponse de non-exécution. On imagine avec quelle efficacité la répétition de cette demande peut saturer le serveur.

 

Exemple Chinois

Un ouvrage récemment écrit par des hauts gradés Chinois affirmait le concept de « guerre sans restriction ». L'idée sous jacente est qu'il n'y a aucune règle, et que tout peut être utilisé comme une arme. Y compris donc les cyber attaques.

Pourtant cette relative liberté de ton envers l'extérieur, contraste avec le manque de liberté numérique intérieure. Ainsi l'armée contrôle ce qui a été baptisé le « Grand FireWall de Chine » qui exerce une censure drastique sur les messages démocratiques qui peuvent émerger dans le monde numérique Chinois. 70 000 forces de police sont affectés à cette tâche.

 

La stratégie de la plupart des cyber attaques est celle de « l'avance de phase ». Il s'agit de mettre à mal l'organisation de la cible, avant de passer à une attaque conventionnelle.

 

Exemple Américain

La doctrine de sécurité Etats-unienne a évolué récemment, pour « légaliser » la guerre offensive en plus de la guerre défensive. Ainsi il est de notoriété publique que l'administration utilise des codes vers espions à des fins d'investigation. L'Etat Allemand a récemment annoncé qu'il faisait de même. Et l'Etat Français devrait lui emboiter le pas.

 

L'attaque d'infrastructures critiques est (plus que l'ennemi en frontal) l'objet de toutes les attentions des stratèges de la cyberguerre. Et ces attaques numériques peuvent avoir des effets physiques. Ainsi un document américain récemment déclassifié a montré un générateur électrique se détériorer physiquement suite à une attaque virale.

 

On a vu que les moyens peuvent être simples (attaque par requête Ping). Il y a encore des choses plus simples. Il suffit pour un pirate de laisser trainer une clé USB dans un lieu fréquenté par des concurrents. La probabilité pour qu'un collaborateur soit curieux de voir ce qu'il y a dans cette clé, le mette sur son ordinateur de travail, et infecte ainsi son outil de travail et tout le réseau, est loin d'être nulle. Pour peu que la clé ait le logo du concurrent et qu'il y ai un fichier intitulé « Clients » on augmente encore les statistiques.

 

 

Conclusions :

-          C'est un domaine dans lequel on ne peut être sûr de rien.

-          L'intervenant a recensé  trois types d'agresseurs potentiels : Les mafias (Europe centrale et Asie du Sud-Est notamment) ; Les entités étatiques, dans certains pays ; Les terroristes.

-          Tout se joue au niveau de l'humain, mais à condition de le considérer à travers toute le processus : fournisseur, décideur, utilisateur?
Le conférencier a cité en exemple l'attaque par l e virus SLAMMER (qu'avait évoquée le précédent conférencier) : la faille exploitée par ce virus avait été détectée et corrigée six mois plus tôt. Il eût suffi que les administrateurs de réseaux et/ou utilisateurs fassent régulièrement leurs mises à jour pour que l'attaque tourne court.

 


 

 

 

Les moyens de se protéger

Intervention d'Eric Singer

 

Le rôle de l'Etat

Avant les attentats du 11 septembre, le plan Vigipirate ne prévoyait pas de volet cyberterroriste. Cela a été chose faite avec la création du COSSI en 2003.

 

Cet organisme (Coordination interministérielle de la prévention contre les attaques informatiques) travaille en permanence (24h sur 24 / 7jours sur 7) depuis 2005.

 

Il est composé de deux services :

-          Le CEVECS, qui prends en charge la veille 24x7 précitée et la conduite opérationnelle en période de crise.

-          Le CERTA, qui assure un travail de plus long terme incluant la prévention, l'analyse des cas rencontrés, l'édition de logiciels? Il est vivement recommandé de se connecter sur son site (http://www.certa.ssi.gouv.fr/), qui est une mine d'information pour les RSSI et SSI (Responsables de Services et Services de Sécurité Informatique).

 

Les grandes tendances

Une nouvelle génération de virus commence à émerger ou est en préparation, qui est :

-          Polymorphes

-          Autochiffrants

Pour lesquels les antivirus actuels seront inopérants.

 

Les deux approches de la SSI

On rencontre deux approches pour cette fonction, la première centrée essentiellement sur les résultats financiers, l'autre, plus stratégique, privilégiant la réactivité et valorisant la sécurité en tant que telle.

 

Conclusion

Comme les deux intervenants précédents, Eric Singer a insisté sur la priorité à donner au facteur humain, et donc à l'éducation du plus grand nombre.

 


 

Compte-rendu rédigé par Jérôme Bondu, Président du Club IES, et Louis Jouanny, responsable du Club ESIEA.