Spécial sécurité : LCEN, ce qu’il faut conserver
Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, reviennent sur la publication du décret concernant la « conservation des identifiants » sur Internet, un pan de la LCEN. Ils mettent en avant les différentes réactions et critiques du secteur, Arcep et professionnels compris. Enfin, dans un contexte propice à la sécurité du poste de travail et des cyber-attaques, ils donnent un coup de projecteur sur ce qu’est aujourd’hui le poste de travail standard d’un employé de la NSA. Une architecture ultra-sécurisée qui repose notamment sur la virtualisation.
Sommaire
1 - LCEN, ce qu’il faut conserver
2 - Les endpoint de la NSA : du virtuel à tous les étages
1 - LCEN, ce qu’il faut conserver
Cette semaine, pas une seule « mailing liste » de sécurité, pas le moindre « twit » francophone n’a manqué de propager la nouvelle : le passage du décret concernant la « conservation des identifiants » sur Internet, relatif à la LCEN. L’avis de l’Arcep, publié au J.O. du premier mars, s’étonne de certaines obligations de conservation, telles que les caractéristiques de la ligne de l'abonné, la nature de l'opération, le mot de passe ou données permettant de le vérifier ou de le modifier ou encore certaines données relatives au paiement. L’Autorité fait également remarquer le flou certain entretenu autour de la notion de « création de contenu des services » qui exige du fournisseur de services responsable une estimation toute « personnelle » des données devant être conservées ou non. En outre, l’Autorité fait remarquer que le texte semble couper court à toute possibilité de compensation financière par l’Etat du travail supplémentaire étranger aux activités des personnes mentionnées.
Les professionnels, pour leur part, s’émeuvent de certains passages difficilement interprétables, notamment sur tout ce qui concerne la conservation des « mots de passe » (hachage ou mot de passe en clair) ou des informations en clair permettant l’accès aux données en cas d’enquête (article 1/3). Décryptant ce langage juridique, un intervenant de la Gendarmerie précisait, sur l’un desdits forums, que cette formulation ne changeait rien aux obligations actuelles. En d’autres termes, la conservation du hachage suffit, mais certaines applications mal écrites utilisant un mot de passe « en clair », la conservation dudit mot de passe en l’état est nécessaire… par défaut de construction pourrait-on dire. Et d’ajouter « Cela ne change donc rien pour aucun hébergeur sauf sur les durées de conservation et l'accès à ces données pour les enquêtes liées au terrorisme. » *
*ndlr : ces propos, bien que tenus sur une liste publique, sont publiés sous le couvert de l’anonymat, la rédaction n’ayant pu joindre l’intéressé dans les délais imposés par la publication.
2 - Les endpoint de la NSA : du virtuel à tous les étages
IWeek Gov décrit les grandes lignes de ce qu’est l’actuel « poste de travail du barbouze américain moderne » au sein de la NSA. L’Agence Fédérale de Sécurité Nationale n’utilise plus qu’un poste standard sous VMware, simplifiant ainsi les problèmes de compatibilité logiciels et matériels. Il s’appellera HAP, pour High Assurance Platform. Les tests de qualification concernant les ordinateurs retenus dans les marchés d’Etat en sont ainsi grandement simplifiés.
Mais VMware n’est pas la seule mesure de protection du poste des agents. Ladite machine virtuelle, ainsi que l’accès à celle-ci, est inféodée à une couche de sécurité reposant sur le TMP de l’ordinateur. Un composant qui ne se contente pas de conserver les clefs de chiffrement et les authentifications, mais qui héberge en outre toute une série de profils matériel, firmware et logiciel caractérisant la station. A chaque ouverture de session, ce « portrait-robot numérique » est comparé à un profil stocké sur un « serveur d’attestation » central, qui autorise ou non le lancement de la session. On est bien au-delà d’une simple encapsulation dans une machine virtuelle ou de l’intégration de deux ou trois techniques de sécurité genre VM+NAC+TPM.
Le projet n’est plus tout jeune et a déjà, depuis au moins ces trois dernières années, subi un certain nombre de perfectionnement. L’actuelle version du HAP est essentiellement « durcie » au niveau de l’infrastructure de gestion (provisionning automatisé des machines, gestion des clefs centralisée, administration distante), des communications (VPN) et des configuration locales : prise en compte de VM multiples, chiffrement etc. Les futures évolutions du poste virtualisé-sécurisé devraient permettre de prendre en compte les contenus et documents.