Spécial sécurité : trou dans les Java de Windows et Linux

Aujourd'hui, nos confrères de CNIS, magazine spécialisé dans la sécurité informatique, se penchent sur l'exploitation d'une faille affectant le composant Java Web Start d'Oracle/Sun. Avant de revenir sur un débat du Forum International de la Cybercriminalité sur la collaboration public/privé dans la cyberdéfense, prolongé par la lecture d'un document touffu - signé Dan Geer, d’In-Q-Tel - sur l'équilibre politique à trouver entre respect des libertés et renforcement de la sécurité.

Sommaire :

- Trou dans les Java Windows et Linux

- FIC 2010 : sécurité, politique, libertés et cyber-attaques, impossible équation

- Sécurité, politique et libertés : Dan Geer, le risque et le paradoxe 
 

1) Trou dans les Java Windows et Linux

Après la superbe et pourtant antique faille VDM, voici que Tavis Ormandy dévoile un nouveau trou de sécurité affectant cette fois le composant Java Web Start de Sun/Oracle, dans sa version destinée à « tous les environnements Windows ». Devant le peu de réaction de la part d’Oracle qui estimerait que le trou de sécurité ne nécessite pas de correctif « hors calendrier » (le rythme des rustines Oracle est trimestriel), le chercheur a décidé de publier à la fois une alerte sur la liste Full Disclosure et une preuve de faisabilité sur son propre site. PoC qui exécute à distance le lancement de la calculatrice Windows.

Bien que précisant un prudent « I believe non-Windows installations are unaffected », il semblerait tout de même que Linux en pâtisse également. C’est ce qu’indique en tout cas le blog de Ruben Santamarta, qui accompagne également ses recherches d’un petit code d’exploitation. Santamarta précise toutefois «  Bien que Linux contienne ce code vulnérable, je n’ai pas été capable de l’exploiter de la même manière ».

2) FIC 2010 : sécurité, politique, libertés et cyber-attaques, impossible équation

Il y a dans l’air comme un parfum de cyber-mobilisation, de cyber-crainte, de cyber-esprit cocardier, de cyber-patrie en danger, de cyber-lois et, commencent à dire certains, de cyber-oubli des libertés fondamentales. Ce fut d’ailleurs le thème d’un des ateliers du FIC 2010 (Forum International de la Cybercriminalité), qui réunissait MM Guillaume Tissier, directeur au pôle risques opérationnels, DEIS, l’ingénieur général des Mines Jean-Pierre Dardayrol, du Conseil Général de l’Industrie, Sébastien Heon, senior manager chez EADS, Stanislas de Maupeou, chef de la cyberdéfense de Thales, et Philippe Wolf, ingénieur général de l’Armement, représentant l’Anssi. Un aréopage de sages qui, près de trois ans après la publication du Livre blanc sur la Défense et la Sécurité nationale, faisaient le point sur la collaboration public/privé. Débat d’autant plus intéressant qu’il se déroulait après de nombreuses escarmouches techno-politiques (Estonie, Géorgie, Iran, intrusions des administrations européennes « apparemment Chinoises », vague d’attaque Aurora etc).

Si l’administration française parvient généralement à se garder des sinistres informatiques importants – grâce notamment à l’efficacité du CertA -, ce n’est pas toujours le cas des infrastructures du secteur privé. Notamment, explique Philippe Wolf, en raison de la rapidité avec laquelle évoluent les menaces et la discrétion de certaines frappes. Ainsi, des fléaux tels que les botnets sont comparables à des armées, contre lesquelles seule une cohésion et une réaction défensive toute aussi rigoureuse et martiale peuvent s’avérer efficaces. Mais les cyber-attaques ne se résument pas à la seule action des réseaux de bots. Contre les attaques ciblées et concertées, visant un secteur très particulier, les réponses sont encore insuffisantes. Stanislas de Maupeou déplore : « il n’y a pas, ou pas assez d’exercices de sinistralité, pas d’habitude à travailler en mode dégradé… une crise doit se préparer. Il n’est pas normal que l’on soit parvenu à totalement intégrer dans le fonctionnement de pratiquement toutes les organisations, de l’administration à l’ensemble des entreprises, des exercices « d’alerte incendie » ou d’évacuation d’immeuble, et que l’on ne puisse faire la même chose en matière de sinistres des systèmes d’information »… Alors que l’économie de tout le pays repose de plus en plus sur lesdits systèmes d’information « une crise, insiste de Maupeou, çà se prépare ». Et d’autres intervenants d’abonder dans ce sens, en rappelant les réflexes premiers de toute défense organisée : prendre en compte l’élément humain, comprendre la menace, anticiper ladite menace. Combien d’entreprises en France ont réellement testé leur PRA – voir leur PCA dans le cas de processus stratégiques - selon un calendrier régulier ?

3) Sécurité, politique et libertés : Dan Geer, le risque et le paradoxe

Quelques jours après que se soient déroulés ces « états des lieux » franco-français, Dan Geer, Ciso d’In-Q-Tel et pourfendeur de la « monoculture microsoftienne », éditait un manifeste intitulé Cybersecurity and National Policy, un document touffu, foisonnant d’idées, de critiques, de prises de positions qui ne feront plaisir ni aux « opportunistes du marché de la sécurité », ni aux cassandres qui invoquent l’imminence d’une cyberguerre ou déplorent un prétendu « far west » numérique. Les idées de Geer fusent, s’entrechoquent, se croisent : « la sécurité est un moyen et non une fin. Par conséquent, un débat politique sur la cybersécurité doit être nécessairement sur les moyens d'un ensemble de fins souhaitables […]la sécurité restera le domaine d’une poignée de savants. Parfois, laisser la maîtrise du pouvoir à cette élite s’avère positif… mais comme la demande en matière de sécurité dépasse de loin la capacité de ce petit nombre, les offres des charlatans viennent combler le manque en la matière ». Une politique de sécurité appliquée au niveau national doit «  passer de la culture de la peur à celle de la sensibilisation, et de la sensibilisation à celle des métriques », car sans métrique, les craintes sont totalement irraisonnées, les ressorts sont infondés, les réactions non proportionnelles et par conséquent inefficaces. Ce qui laisse la porte ouverte à tous les discours anxiogènes possibles.

Autre idée reçue, celle de l’analogie ou de l’absence d’analogie. Un vol de données dans le monde informatique ne dépossède généralement pas de ses données le propriétaire, une cyberguerre ne fait pas de cybermorts… mais le vol a pourtant bien eu lieu et les cybervictimes existent. Toute comparaison en ce sens avec d’autres secteurs travaillant sur des biens matériels ou du matériau humain est impossible. En revanche, les notions d’importance stratégique, de continuité d’activité, de pertes, de concurrence sont belles et bien semblables. Ces exemples prouvent qu’il ne peut y avoir d’exemple pouvant être étendu pour en obtenir une règle générale ou d’analogie en matière de sinistralité ou de politique.

Après les généralités, les principes cornéliens. Geer rappelle un vieil axiome du monde de l’industrie : «  Entre rapidement, pas cher et économique, on ne peut choisir que deux atouts à la fois, jamais les trois ensemble. Il en va de même en sécurité. Entre liberté, sécurité et commodité, deux choix seulement peuvent être associés… ». Et c’est peut-être là la principale question que soulève le manifeste de Dan Geer : la sécurité a un prix, celui de la contrainte qu’impose une mesure de filtrage, une politique de vérification lourde, une diminution des tolérances d’antan qui pourraient profiter aux « adversaires ». Alors, dans quels cas peut-on estimer que la liberté de chacun doit être mise sous le boisseau pour des raisons de sécurité ? Où commence la notion « d’importance vitale d’envergure nationale » ? «  Dans deux cas seulement, estime Geer : lorsqu’un mécanisme quelconque, un processus, une chaine de transmission passe par un point de fonctionnement unique, lequel peut être considéré comme un point de vulnérabilité unique. Le second cas de figure, c’est lorsque, dans le processus de traitement, un accident unique risque de produire un phénomène d’avalanche, de sur-accident susceptible de se répandre sur l’ensemble de la chaine. Car une seule attaque est alors capable d’impacter tous les constituants de l’ensemble ». On retrouve là l’un des thèmes favoris de Dan Geer, sa croisade contre la monoculture, celle qui fait qu’un seul petit virus peut mettre à mal la presque totalité du parc informatique si celui-ci repose sur un unique système d’exploitation. Ce n’est pas Microsoft que Dan Geer condamne, c’est l’absence de diversité, et par conséquent de cloisonnement. « La racine même du risque, c’est la dépendance » rappelle-t-il. L’on peut donc en conclure que la sécurité par la « multiculture » se paye au prix d’un accroissement de la complexité d’administration. Reste à savoir si le surcoût d’une hypothétique réaction en chaine comparé au surcoût certain d’une architecture complexifiée est un langage que comprennent les gestionnaires…

Une fois traitée la question du risque, se pose celle de la responsabilité. Les attaques, les diffusions de malwares, les tentatives d’intrusions, les piratages divers relèvent-t-ils de la responsabilité de l’ISP ? Si c’est le cas, cela revient à confier à un tiers le droit de fouiller les données numériques – toutes les données - entrantes et sortantes sans réelle garantie de confidentialité. Rejeter cette charge sur les épaules de l’éditeur de logiciel – en pratique celui par qui les failles arrivent - entraînerait de facto la création d’une autorité de régulation gouvernementale chargée d’encadrer l’importance et les limites des interventions dudit éditeur, ne serait-ce que pour définir des normes conditionnant l’efficacité de ces mesures et leur sécurité intrinsèque. Et donner au gouvernement la responsabilité de cette tâche, c’est s’attendre à ce qu’un jour soit imposé ce mythique « permis de conduire sur Internet ». A mon avis, conclut Dan Geer, donner cette responsabilité à l’individu, à chaque utilisateur est le pire des choix que l’on puisse faire… à l’exception de tous les autres*. Enfin, paraphrasant une seconde fois Churchill, Geer conclut : «  For me, I will take freedom over security and I will take security over ».

Pour approfondir sur Menaces, Ransomwares, DDoS