Spécial sécurité : applications et serveurs Web, plaies sécuritaires selon le Sans Institute
Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, décortiquent le dernier rapport du Sans Institute sur les origines des failles qui menacent la sécurité des systèmes d'information. Puis soupèsent quelques-unes des conséquences désagréables de la loi Hadopi 2, récemment votée par les députés.
Sommaire
1 - Applications et serveurs Web, les plaies du Sans Institute
2 - Hadopi 2 voté : le crime d’incompétence réseau existe
3 - Genève, capitale mondiale du virus
1) Applications et serveurs Web, les plaies du Sans Institute
Le traditionnel rapport « Top Cyber Security Risks » du Sans vient de paraître une nouvelle fois. Et une nouvelle fois, la palme du nombre de vulnérabilités le plus important est décrochée par les applications (dont les applications Web), les bibliothèques système et les couches de transport. Les failles réseau et assimilées sont en queue de peloton. Ces statistiques sont le fruit d’une collecte, celle réalisée par le réseau d’appliances IPS de Tipping Point, les métriques vulnérabilité de Qualys et l’analyse des chercheurs du Sans.
Si l’on devait résumer par un mot cet imposant rapport, ce serait « encore ». Encore les vieilles vulnérabilités applicatives non « patchées » sur les postes clients – trous Acrobat ou Quicktime. Encore les failles Web, qui comptent pour 60 % des attaques recensées sur Internet. Encore trop de « Zero Day ». Et encore des failles dangereuses dans les systèmes d’exploitation qui, malgré les efforts de leurs éditeurs, sont toujours entâchés d’erreurs. L’on se souvient des ravages de Conficker, on parle peut-être moins de la formidable (+ 90 %) vague d’attaques en Buffer Overflow qui a submergé les systèmes connectés à Internet de mai à août dernier.
Le rapport du Sans prend pourtant cette année quelques couleurs, avec une foultitude de graphiques, de camemberts, de schémas et de courbes, les uns donnant le biorythme d’une activité virale, les autres comptabilisant les attaques par pays et par type de vulnérabilités visées (soyons rassurés, les USA écopent au moins de 98 % de cette mitraille d’appontage et de ces coups de canon à démâter). 25 pages-écran de statistiques dans l’ensemble peu optimistes, 25 raisons de ne pas passer à côté de l’un des bilans vulnérabilité le plus objectif qui soit.
2) Hadopi 2 voté : le crime d’incompétence réseau existe
Cela n’aura échappé à personne, en passant, la « nouvelle mouture » de la loi sur la protection pénale de la propriété littéraire et artistique sur Internet institue un « délit d’incompétence technique » et de « négligence informatique » sanctionnée par une amende de 1 500 euros. Entre les vendeurs de disques – qui revendiquent un « contenu artistique » (sic) - et les associations d’internautes ou de consommateurs qui crient à l’inconstitutionnalité du texte, les vivas et les lazzis ne cessent de fuser. Les uns bénissant une « loi salvatrice » qui redressera une industrie qui ne s’est jamais aussi bien portée (mais dont les ventes chutent faute de contenu de qualité), les autres dénonçant une disposition ouvrant la porte à une « triple peine » qui interdit tout recours au présumé coupable.
Réactions dubitatives également du côté de nombreux experts en sécurité, qui doutent ouvertement du pouvoir d’incitation de cette loi. Les uns voient là la promesse à un recours massif aux techniques de chiffrement, donc à l’impossibilité de poursuivre les « gros fraudeurs », ce qui aura pour résultat des condamnations massives de « petits poissons » mal informés, fort heureusement plus nombreux, donc économiquement plus rentables. Les autres prédisent la promesse d’une série de dérapages judiciaires à l’encontre d’innocentes victimes (les fameuses inculpations de grand-mères accusées de ne pas savoir configurer un serveur OpenRadius sous Korn Shell), d’autres enfin présagent un accroissement des piratages de points d’accès WiFi par les téléchargeurs compulsifs en mal de robinets à données et, par voie de conséquence, une disparition des condamnations en contrefaçon compensée par une augmentation des « délits de négligence technique ».
Peu ou pas d’intervenants, en revanche, se sont prononcés sur le fond de la question, et notamment la remise en cause de la « recevabilité de la preuve » apportée par un expert indépendant. Les procès-verbaux établissant une contravention seront, à priori, établis par les experts assermentés des ayant-droits, donc juges et partie. Ce qui aura pour probable conséquence une dévalorisation très nette des véritables experts dans toutes les affaires comportant un volet lié au téléchargement illégal. Autre point très délicat, la loi a su conserver une formulation excessivement floue (surveillance des « communications électroniques ») qui laisse à ceux qui en ont la charge la possibilité de capturer et analyser tout protocole transitant sur les réseaux publics. Pour certains médias, l’on peut y voir la résurrection des cabinets noirs de Napoléon III, du Gouvernement Tiers ou du régime de Vichy réunis (trois gouvernements réputés pour leur amour des correspondances privées). Quasiment personne en revanche ne fait remarquer que la formulation du texte peut aller jusqu’à banaliser les écoutes téléphoniques VoIP (à terme, la majorité des conversations entre particuliers et entreprises, hors réseaux militaires, policiers et d’Etat). Et ce n’est là qu’un exemple parmi les quelques 1024 protocoles serveurs dénombrés par le Iana. En faisant « passer » cette loi-prétexte, les députés ont implicitement travaillé à la préparation de terrain nécessaire à l’adoption de la Loppsi (Loi d'Orientation et de Programmation pour la Sécurité Intérieure – Lopsi 2 ou Lopsi 2009) : captation des données à distance (virus mouchards et spywares d’Etat), géolocalisation des internautes, censure de sites sur opinion du ministère de l’Intérieur, obligation de filtrage par les FAI… des dispositions musclées qui n’auraient pas eu l’ombre d’une chance de passer si le précédent Hadopi n’en avait pas déjà fait le lit.
3) Genève, capitale mondiale du virus
La semaine prochaine, du 23 au 25 septembre, se tiendra VB2009, cycle de conférences annuel et itinérant organisé par le magazine Virus Bulletin. La manifestation siégera dans les salons de l’hôtel Crown Plazza de Genève. C’est la première fois, depuis sa création, que cet événement se déroule si près des frontières françaises. Les éditions européennes sont d’ailleurs relativement rares. Le programme réunit –outre quelques têtes très connues, tel Pascal Lointier, du Clusif, ou Guillaume Lovet de Fortinet - une impressionnante brochette de chasseurs de virus, d’analystes de botnets, d’observateurs des réseaux mafieux et de spécialistes du désassemblage de code. La rédaction de CNIS couvrira l’évènement durant tout son déroulement. Les inscriptions de dernière minute peuvent s’effectuer par fax ou par téléphone en se reportant aux indications fournies sur le site du Virus Bulletin.