Spécial sécurité : pagaille continentale dans les cartes d'identité électroniques
Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, zoom sur un rapport d'une agence européenne qui pointe l'avancée des projets de cartes d'identité électroniques sur le continent, mais souligne surtout l'effarante absence de concertation des états membres sur ce dossier.
Sommaire
- 1 - Cartes d’identité numériques européennes : la pagaille
- 2 - IBM/ISS : mauvais vœux pour 2009
1) Cartes d’identité numériques européennes : la pagaille
L’Enisa (European Network and Information Security Agency) publie un rapport de 24 pages entièrement consacré à l’étude des différentes cartes d’identité « électroniques » dans les divers pays de la Communauté. Encore inconnue en France – son instauration est toutefois prévue -, elle est déjà en application ou en phase de déploiement en Autriche, Belgique, Estonie, Finlande, Italie, Pays-Bas, Portugal, Espagne, Suède et Grande-Bretagne. Elle est à l’étude dans la plupart des autres pays, à l’exception de la Grèce, Tchéquie, Bulgarie, Irlande, Lituanie, Danemark et Norvège. Mais ce qui étonne le plus, c’est l’apparente absence de concertation ou de tentative d’unification des mesures à l’intérieur de l’Europe. Pas même le plus petit commun dénominateur, ni sur le plan technique – bien que quelques tendances normatives tentent de s’imposer -, ni non plus sur le contenu. Chaque Allemand, par exemple, pourra refuser l’intégration de certaines données biométriques dans la mémoire de la carte – empreintes digitales notamment. Certains pays sont favorables aux cartes lisibles à distance, d’autres estiment qu’une lecture par « contact » est préférable pour limiter les risques d’interception d’informations. La possibilité d’ajouter des données ou non est également un point de désaccord. Si, en général, les données contenues ne sont pas chiffrées, la protection des méthodes de lecture varie également d’un pays à l’autre. Code PIN ou clefs symétriques pour certains, contrôle d’accès par certificat pour d’autres… quant aux contenus biométriques et aux possibilités d’accéder auxdits contenus, là encore, il faut un véritable « mémento du parfait agent Interpol » pour démêler le tien du mien.
Le moins que l’on puisse dire, semble conclure l’Enisa, c’est que l’on a du mal à distinguer la moindre stratégie dans tout cela. Un embrouillamini qui rend encore plus compliqué l’analyse des vulnérabilités et des risques potentiels apportés par cette nouvelle carte d’identité. Falsification du contenu, écoute à distance, attaques "Man in the Middle", implications du porteur en cas de compromission de la chaîne amont de vérification de l’information (serveur ou document « signé »), compromission de l’identité du porteur en cas de mésusage d’une carte d’identité prêtée (délégation de pouvoir), volée ou perdue, traçage de la personne, profilage du comportement du porteur, utilisation déviante du document comme preuve « de confiance »… Au total, l’Enisa détaille 14 des principaux risques liés à l’usage de ce genre de carte. Certains sont probables, d’autres plus complexes à provoquer, mais dans tous les cas, ce n’est probablement là qu’un très vague aperçu des menaces qui planent sur les « eID’s » européens. Au fur et à mesure que se développera le commerce électronique et les échanges de données, plus les prestataires de ces secteurs exploiteront les capacités numériques de ces nouveaux documents officiels, et plus l’on peut faire confiance au génie humain pour contourner ou détourner demain les sécurités mises en place aujourd’hui.
Prudent, l’Enisa évite deux chausse-trappes. En premier lieu, l’Agence évite soigneusement d’opposer les visées politiques et policières qui dictent parfois ce genre de choix. Il faut dire que, dans bien des pays – en Grande Bretagne notamment - les motifs les plus fantaisistes ont été invoqués… y compris la chasse aux terroristes. L’autre écueil à peine effleuré est celui de l’atteinte à la vie privée et à l’étendue des détails personnels qui pourraient être contenus ou ajoutés dans la mémoire de ces cartes.
2) IBM/ISS : mauvais vœux pour 2009
Après les prédictions relativement pessimistes de McAfee, voici celles guère plus joyeuses de la X-Force d’IBM/ISS. Prévisions imposantes, colossales mêmes, qui s’étalent sur plus d’une centaine de pages. Et s’il fallait résumer cette montagne de chiffres en quelques mots, l’on pourrait dire « plus Web, plus simple, plus opportuniste et plus brutal ».
Plus Web, ce n’est une surprise pour personne. L’Owasp le déclame depuis assez longtemps, les principales attaques exploitent des vulnérabilités qui affectent les applications Web. Et il n’y a pas de raison pour que tout cela change en 2009… on ne va pas imaginer que, pris par un remords soudain, les développeurs remettent à plat les milliards de programmes et de sites écrits jusqu’à présent. Plus Web également côté client, car ici encore, l’on est loin d’avoir éliminé tous les défauts des navigateurs ou des applications qui interagissent avec une page HTML – souvenons-nous des plug-in empoisonnés, des javascripts tueurs, des appels d’applications vulnérables. Au total, ce sont là 55 % des vecteurs d’attaque recensés au cours de 2008. Ce le sera encore en 2009. Parfois, les chemins sont détournés. Ainsi, les injections SQL automatisées, dont l’augmentation a été multipliée par 30 l’an passé, sont principalement destinées à détourner les internautes pour mieux les piéger. Elles sèment sur leur passage des mécanismes de redirection qui conduira le surfer vers des sites compromis qui, à leur tour, déclencheront de rafales d’exploits anti-navigateurs. Des toolkits qui déposent principalement des troyens, des clients Botnet. Près de 46 % des malwares analysés par ISS en 2008 étaient des chevaux de Troie chargés de récupérer des crédences de jeux en ligne ou d’accès bancaire.
Plus simple et plus brutal également. Car plutôt que de chercher désespérément à contrecarrer les effets d’une politique de sécurité attentive conduite par certains éditeurs consciencieux, les auteurs de malwares auraient plutôt tendance à choisir des chemins plus aisés… en l’occurrence l’exploitation des failles qui n’ont jamais été corrigées. Sur l’ensemble des failles divulguées en 2008, estime la X-Force, près de 53 % n’étaient pas encore corrigées à la Saint Sylvestre. Pis encore, 46 % des bug millésimés 2006 et 44 % des trous de sécurité 2007 sont toujours en attente d’une rustine.
Ouvrons ici une parenthèse pour préciser que chaque faille n’est pas systématiquement exploitée ou exploitable. Cette comptabilité IBM est un peu trop alarmiste pour être prise au sérieux, car il manque là une véritable mise en perspective de chaque défaut et de son coût de correction (ou d’application de rustine).
Et le décompte reprend : il s’est découvert 13 % de failles en plus en 2008, et le taux de failles dites « critiques » est en nette progression de 15 %. Ce qui peut être interprété de multiples façons. D’une part, le nombre de failles reflète la croissance du marché et du nombre de logiciels, pilotes, systèmes développés chaque jour. Il peut également être un indicateur du travail et de la vigilance des laboratoires de sécurité, des chercheurs indépendants et des « response teams » des différents éditeurs et équipementiers. Plus de trous ne signifie pas nécessairement plus d’attaques.
Plus simple, encore, avec, nous prédit la X-Force, l’abandon des manœuvres complexes au profit de campagnes plus efficaces et plus directes. On le voit dans l’évolution du spam, par exemple. Au début 2008, l’on était témoin d’une recrudescence de spam technologiquement tirés par les cheveux : images bitmap à caractère aléatoire, fichiers pdf, intitulés variables, textes tirés de romans ou d’ouvrages poétiques afin de noyer les algorithmes bayésiens… tout çà est oublié. On « passe désormais en force » pour inciter les internautes à visiter tel ou tel site pharmaceutique ou de jeux en ligne. L’url se cache dans un simple courriel prenant l’aspect d’un rappel de facture, au détour d’une réponse de blog…
A remarquer, cette métrique qui laisserait entendre que le phishing a connu quelques fluctuations conjoncturelles. Les courriels d’incitation au hameçonnage ne représentent que 0,5 % du volume total de spam dans le monde. Et ce volume aurait été en légère décroissance de 0,2 % au second trimestre 2008, pour subir ensuite une augmentation de 0,8 % dans la seconde moitié de l’année. Une remontée qui semble parfaitement en phase avec les contrecoups de la crise économique mondiale et les mille et une actions que tentent les escrocs du Net pour en tirer parti.