Spécial sécurité : La Grande Bretagne forge sa Loppsi
Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, nous emmènent en Grande-Bretagne à l’heure où le gouvernement de sa Gracieuse Majesté met en place un vaste programme de sécurité sur le terrain des TIC. Ils tentent ensuite de faire la lumière la vague sécuritaire qui frappe le monde des Smartphones. Ne s’agirait-il pas d’un conflit d’intérêt, s’interrogent alors nos confrères
Sommaire
1 - La Grande Bretagne forge sa Loppsi
2 - Le smartphone est-il nuisible à la santé (numérique) ?
3 - Le smartphone est-il nuisible à la santé (numérique) ? Suite
1 - La Grande Bretagne forge sa Loppsi
A la fois politique de protection des usagers des nouvelles technologies, dispositif visant à renforcer la confiance dans les TIC en Grande Bretagne, plateforme de cyber délation ouverte aux entreprises comme au particulier, dénonciation de l’omniprésence des dangers sur Internet (en utilisant les données « objectives » de éditeurs d’antivirus), le UK Cyber Security Strategy décrit dans les grandes lignes la politique sécuritaire que le Gouvernement de Grande Bretagne compte mener sur le terrain des TIC.
Cette politique reposera sur une enveloppe prévue de 650 millions de Livres (760 M€) allouée pour une période de 4 ans. Concrètement, cela se traduira par la constitution d’un nouveau corps de cyber-policiers travaillant en collaboration avec les eCrime Unit de la police métropolitaine et la Serious Organised Crime Agency (SOCA). En outre devrait être mise sur pied une unité de cyber-intervention militaire dépendant directement du Haut Commandement. D’ici à 2015, espère le rapport, le citoyen britannique devra être conscient et responsable de ses actes. Il sera capable d’appréhender le niveau de protection que nécessiteront ses propres installations informatiques, tout comme de connaître les limites de ce qu’il est prudent de publier sur Internet en termes d’information personnelle par exemple. L’homo britanico-Informaticus saura tout des dangers des pièces attachées et des liens douteux. Le programme n’explique pas par le détail comment pourra se propager ce savoir numérique et sécuritaire, mais parle de « propagateurs » d’information qui pourraient être le GCHQ, les services de renseignement de Sa Gracieuse Majesté, assistés d’entreprises privées telles que Microsoft ou HSBC. Les usagers pourraient être avertis via des réseaux sociaux tel Facebook… on frémit à cette simple pensée. Ce mémorandum insiste également sur la création d’une plateforme permettant à tout un chacun, entreprise comme particulier, de « dénoncer une activité suspecte à l’aide d’un formulaire rempli en moins de 30 minutes ».
2 - Le smartphone est-il nuisible à la santé (numérique) ?
Diverses lectures emplies de tensions et bouillonnant d’avis parfois contradictoires ont agité, cette semaine, la scène sécurité autour des smartphones. Provenant des éditeurs d’antivirus notamment. Ainsi, ces deux articles publiés sur le blog Kaspersky, l’un intitulé « voler des appliquettes, y injecter des suppléments », et l’autre « Des Troyens SMS dans le monde entier ». En France, la mailing list de l’Ossir s’enflamme sur le sujet : quelle est la réalité de la menace virale sur les smartphones ? A qui la faute ? Comment diminuer les risques ? Avec quel sérieux les plateformes utilisées sont-elles construites ?
Sans aller jusqu’à soupçonner l’omniprésence d’applications d’espionnage telle que celle analysée la semaine dernière par Treve, membre du forum XDA-Developers, il faut bien admettre que le niveau d’information sur les risques encourus, offert aux usagers est généralement très bas.
L’origine de cette situation ? Principalement les conflits d’intérêts.
Intérêts des opérateurs qui voient d’un bon œil croître les volumes d’information sur leurs réseaux grâce à l’interconnexion entre le cyber-monde et le domaine de la téléphonie cellulaire.
Intérêt des fournisseurs de matériel qui tentent à tout prix de cumuler le métier de constructeur de matériel, vendeur de plateforme, fournisseur d’applications « propriétaires ». Peut-on d’ailleurs rêver meilleur business model que celui où un éditeur a à sa disposition tout un aréopage de développeurs prêts à travailler sans la moindre rémunération et poussés par le seul espoir de devenir « le » futur millionnaire en dollars qui a connu la gloire en écrivant une appliquette ? Plus les catalogues des « marketplaces » sont fournis, plus les promesses de consommation de contenu sont en hausse, plus les clients (les opérateurs) sont optimistes, plus le chiffre d’affaires des marketplaces est en hausse… le système peut fonctionner dans un cercle financièrement vertueux indéfiniment.
Mais les récentes actualités ont prouvé que cette abondance d’applications, cette surenchère aux plateformes « smartphone » (notamment IOS, Windows Mobile, Android) n’était pas exempte de failles, et que lesdites failles commençaient à être exploitées.
S’en suit alors un nouveau cercle financièrement vertueux, dans lequel tentent d’entrer les éditeurs de logiciels de sécurité (antivirus, DLP…). Lesquels éditeurs sont accusés par les professionnels du milieu, à tort ou à raison, d’amplifier inutilement le « FUD » (peur incertitude et suspicion) autour des malwares mobiles.
FUD d’autant plus persistant que l’énergie déployée par les éditeurs pour colmater ces trous de sécurité ne semble pas toujours être à la hauteur de ce qu’annoncent les communiqués de presse. Un article de The Understatement dressait récemment un tableau stigmatisant le laxisme technique autour de la plateforme Android. Juniper, pour sa part, y rajoute une couche et affirme, au fil de son Malicious Mobile Threats Report (inscription préalable obligatoire), que le s malwares Android ont crû de 400 % de 2009 à 2010. Les articles décrivant comment rooter un noyau Android pullulent sur la Toile, code à l’appui, à tel point que bon nombre de spécialistes se plaisent à définir le noyau de Google comme étant « le système par qui les virus ont fini par s’intéresser à Unix ».
3 - Le smartphone est-il nuisible à la santé (numérique) ? Suite
Android sert-il de parafoudre ? Probablement un peu. Car au même moment, si l’on se penche sur la liste des failles publiées sur Bugtraq relative à la plateforme Webkit, l’on se rend compte qu’il ne doit pas falloir chercher longtemps pour trouver un exploit fonctionnel sur une plateforme X ou Y. 331 CVE recensés depuis 2005, dont un nombre élevé de failles non corrigées et exploitables. Or, Webkit est utilisé par une multitude de plateformes, à commencer par IOS. Ce qui ne veut pas dire estiment les spécialistes de NSS labs, qu’IOS soit plus vulnérable qu’une autre plateforme et « impropre à la consommation en entreprise ». Sophisme ou analyse de risques ?
Qui croire ? Tout le monde et personne. A la question « une attaque de mon mobile est-elle possible », la réponse est « oui, indiscutablement ». A celle « faut-il acheter un antivirus pour appareil mobile », les avis commencent à diverger. L’installation de programmes de sécurité a de fortes chances de poser des problèmes de ressources et d’ergonomie, sans oublier le fait qu’un A.V. constitue lui aussi une surface d’attaque certaine et bénéficie « par définition et par construction » de procédures d’audit pas toujours aussi poussées que l’on pourrait le souhaiter. S’il est possible de tromper la quasi-totalité des antivirus à l’occasion de concours tels que Iawacs, il n’y a pas de raison que les protections pour smartphones échappent à cette règle.
« Peut-on sous-traiter la sécurité de nos terminaux aux opérateurs télécom » ? Là encore, personne ne peut répondre par l’affirmative. Bien sûr, chaque opérateur peut effectuer un filtrage minimaliste… mais peut-il filtrer toutes les navigations Web ? En possède-t-il d’ailleurs le droit ? Utilisé en mode ISP, sera-t-il en état d’offrir quelque chose de plus qu’une fonction antivirus/dlp dont on ne connaît pas nécessairement l’efficacité et le niveau de sécurité ? Et quand bien même les Telco se chargeraient-ils de ce travail de salubrité que les plateformes ne seraient pas moins vulnérables. Aucun opérateur, par exemple, n’accepte de « pusher » les correctifs d’un éditeur de plateforme lorsqu’une faille a été détectée : ce serait donner carte blanche à une entreprise de droit privée, étrangère de surcroît, sur une infrastructure Scada d’envergure nationale. Entre la sécurité d’Etat fantasmée et l’insécurité réelle quotidienne, le choix ne tient pas compte de l’utilisateur final.
Mais si l’on demande « cette attaque est-elle probable », il est difficile d’être aussi catégorique. En premier lieu, parce que les canaux d’attaque sont réduits : navigateur, mail, Bluetooth pour les plus paranoïaques. Parce que, aussi, l’interactivité est faible avec l’éventuel « collecteur d’informations ». Pourquoi, en effet, aller chercher à r00ter le tout dernier Samsung ou les armées d’iPhones alors qu’il existe de par le monde des millions d’Internet Explorer non patchés fonctionnant sur les systèmes susceptibles de contenir bien plus d’informations qu’un terminal mobile, et raccordés à une infrastructure réseau considérablement plus rapide que le plus rapide des « hauts débit » des marchands d’abonnements illimités ?