Compte rendu de la conférence GS-Days 2010
Date : 06 Décembre 2010
La 2ème édition de la conférence « GS Days », organisée par le fondateur du journal Global Security Mag, s’est déroulée à Paris le 30 novembre 2010. Elle a réuni plus d’une centaine de participants. Elle proposait une vingtaine de sessions (réparties en 3 salons parallèles) qui couvraient des présentations à caractère juridique (7 présentations), technique (8 présentations) et organisationnelle (6 présentations).
Nous vous présentons ici les sessions auxquelles le Cert-IST a participé. Le programme de la journée et les supports de présentation sont disponibles sur le site web de la conférence.
Du juridique au technique : la nique au hacking !
Cette présentation était co-animée par un avocat et deux intervenants techniques. Elle combinait donc des éléments juridiques (précautions, limites légales, etc..) et techniques (outils de collecte et techniques d’analyse). Elle a en particulier insisté sur les éléments ci-dessous.
Il est nécessaire d’avoir une grande rigueur lors du prélèvement des données. Par exemple, dans le cas de la saisie d’un disque cela implique : la présence d’un huissier, l’utilisation d’un « write blocker », la signature MD5 des données prélevées et l’utilisation de la copie des données lors de l’analyse (plutôt que le disque original). Il n’y a pas ici stricto-sensu d’obligation légale à procéder ainsi, mais cela permet de constituer un dossier solide qui ne pourra pas être remis en cause par la partie adverse.
L’orateur rappelle qu’en France on ne peut pas avoir recours à des techniques de piégeage (comme par exemple monter un faux site web pour attirer le pirate et le poursuivre ensuite pour ses exactions sur ce faux site), car pousser l’attaquant à l’infraction n’est pas considéré comme légal en France.
Les attaques aveugles (attaques opportunistes qui ne visent pas explicitement votre organisation) sont difficiles à poursuivre alors que les attaques ciblées (d’un concurrent ou une attaque interne) peuvent souvent être résolues de façon satisfaisante. 70% des affaires de ce type se terminent par un accord à l’amiable entre les parties plutôt que par une poursuite judiciaire. Pour être en position de force lors de cet accord (et par exemple obtenir un dédommagement significatif de la part de la partie adverse), il est important d’avoir un dossier solide qui puisse être présenté en justice.
D’un point de vue technique, un des orateurs a recommandé d’insérer dans ses propres données des « canaris », c'est-à-dire des données fictives qui pourraient permettre de retrouver un voleur si elles sont volées puis réutilisées. Cette technique est souvent appelée « honeytokens »
H@ckRAM : exploitation de la mémoire RAM sous Windows
Cette présentation fait un inventaire des techniques d’attaques visant la mémoire des ordinateurs.
Elle présente tout d’abord les différentes façons de capturer une image de la mémoire : dump de la RAM, ou copie du fichier d’hibernation, ou copie du fichier « crashdump » généré en cas d’arrêt, ou même l’extraction physique des barrettes mémoires (attaque baptisée « cold-boot » que nous avons décrite dans un article de notre bulletin de mars 2008). Elle propose également les deux scénarios d’attaque ne nécessitant pas le vol de la machine :
- une attaque à distance en utilisant l’outil metasploit pour prendre pied sur le système visé puis installer à distance un outil de copie de RAM
- une attaque physique en branchant un iPod spécialement préparé sur le port Firewire de la machine visée (attaque « Winlockpwn » démontrée en 2006 par Adam Boileau). Cette attaque sera faite typiquement sur un poste de travail laissé en marche sans surveillance même si sa session de travail a été verrouillée.
L’orateur explique ensuite comment explorer l’image mémoire (de nombreuses références aux travaux de Matthieu Suiche sont faites) ainsi que les informations que l’on peut y trouver. Il s’agit typiquement de mots de passe stockés en mémoire sans précautions (par exemple les mots de passe Gmail, FaceBook ou OpenVpn) qui sont extractibles en utilisant des outils qui recherchent des "patterns" précis (propres à chaque outil vulnérable). Il est également expliqué comment il est possible (avec un outil tel que Passware qui se base sur une étude publiée en 2008 par l’Université de Princeton) de capturer en mémoire la clé de chiffrement d’un disque dur chiffré par TrueCrypt.
En conclusion, l’orateur donne plusieurs recommandations telles que protéger physiquement son ordinateur (vis antivol, désactivation des ports DMA ou RS232, etc…) et changer régulièrement ses mots de passe (au cas où ceux-ci auraient été volés).
Smartphones nouvelle génération : quel positionnement pour le RSSI
La présentation s’intéresse aux moyens permettant de sécuriser les smartphones (Blackberry, iPhone, etc…) utilisés dans un cadre professionnel.
Elle explique d’abord l’explosion de ce marché et présente le potentiel sécurité des différentes offres de ce marché :
- Blackberry (de RIM) : précurseur de ce marché et leader actuel. C’est celui qui propose l’offre la plus aboutie d’un point de vue sécurité, avec des fonctions de sécurité conçues dès l’origine du produit (par exemple la possibilité d’effacer à distance le contenu d’un terminal volé).
- L’iPhone (d’Apple) : qui envahit ce marché détenu jusqu’alors par Blackberry parce qu’il a séduit les utilisateurs grand public par son ergonomie et ses fonctionnalités (possibilité d’installer de multiples applications). Depuis la version 4.1, le système d’exploitation iOS propose des fonctions de gestion de flotte qui rendent possible un déploiement dans un cadre entreprise.
- L’Android (de Google) et le Phone 7 (de Microsoft) semblent pour le moment trop grand public ou trop jeunes (Phone 7 est disponible depuis octobre 2010) pour un usage maitrisé en entreprise.
Les orateurs exposent ensuite les éléments d’architecture typiquement mis en place dans l’entreprise pour déployer une flotte de téléphones mobiles.
- Le protocole ActiveSync de Microsoft semble devenir le standard de fait pour l’accès depuis le smartphone aux fonctions PIM (« Personnal Information Management » qui regroupe les fonctions e-mail, calendrier et contacts) hébergées sur le serveur Exchange de l’entreprise.
- La gestion de la flotte est réalisée au moyen d’un logiciel de MDM (Mobile Device Management). Différentes offres existent dans ce domaine, comme par exemple : Airwatch, Sybase, MobileIron, Ibelem, McAfee ou TrustDigital.
- Vouloir contrôler complètement les téléphones mobiles de la flotte (par exemple pour empêcher l’installation d’applications non approuvées par l’entreprise) parait difficile, en particulier dans le cas où des téléphones personnels sont utilisés dans l’entreprise. Les orateurs recommandent donc plutôt d’adopter une approche en « silos applicatifs » : sur le téléphone cohabitent des applications professionnelles (qui sont isolées dans un « silo dédié aux applications d’entreprise ») et des applications personnelles (qui se trouvent dans un autre silo).
Les sources humaines au cœur de l’information et de la sécurité
Cette présentation fait un tour d’horizon des différents concepts (en expliquant par exemple les différentes catégories d’information : sources blanches, sources grises ou sources noires) et des techniques (par exemple la manipulation, l’influence, l’autorité) du large domaine qu’est le renseignement humain (domaine appelé le « Humint » - Human Intelligence – dans les pays anglo-saxons et ROHUM - renseignement d'origine humaine – en France).
L’orateur met en évidence le fait que le renseignement (et en particulier le renseignement humain) est trop souvent négligé. Il indique que pour la conduite stratégique une entreprise devrait consacrer 30% de son effort en renseignement, 30 % en communication et le reste dans des domaines comme la formation ou les moyens techniques. On peut considérer aussi que 50 % de la sécurité d’une entreprise repose sur le maillon humain et que 10% seulement dépend des moyens techniques. Malheureusement on retrouve rarement ce même ratio entre l’humain et la technique lorsque l’on regarde ce qui est fait en termes d'investissement.
Une utilisation intelligente des réseaux sociaux est-elle possible ?
Cette présentation, animée par deux avocats, analyse les dangers des réseaux sociaux :
- Terrain de chasse pour les cybercriminels (collecte d’information, recherche de victimes)
- Source de danger pour l’entreprise, d’une part à cause de la perte de temps pour les salariés (qui selon une étude concernant la France passeraient jusqu’à 86 minutes par jour sur les réseaux sociaux dans leur cadre professionnel) et d’autre part à cause du risque d’atteinte à la réputation de l’entreprise (par exemple suite à la diffusion imprudente ou malveillante d’informations via les réseaux sociaux)
Le jugement récent pour l’affaire qui opposait ALTEN à des employés licenciés suite à des propos injurieux publiés sur Facebook a été analysé. La décision de justice (qui a rejeté la plainte des employés licenciés) a surpris le grand public mais n’est pas, selon les orateurs, étonnante :
- Hormis dans le cas d’un usage très restrictif, un salon FaceBook ne peut pas être considéré comme un espace privé.
- L’employé a un devoir de loyauté envers son employeur.
Les orateurs recommandent de :
- sensibiliser les gens sur les dangers des réseaux sociaux et de faire prendre conscience à chacun qu’il ne s’agit pas de lieux d’échanges privés et inoffensifs,
- définir des chartes d’utilisation afin de préciser la politique de l’entreprise par rapport aux réseaux sociaux,
- renforcer les clauses de confidentialité et de non concurrence applicables aux employés.
Ils mentionnent que pour la protection des usagers un premier pas a été fait dans le domaine de la réglementation avec la publication par le G29 (le groupe des CNIL européennes), en juin 2009, de recommandations applicables aux réseaux sociaux : cf. l’article publié par la CNIL sur ce sujet.
Ils concluent en répondant à deux questions de l’auditoire :
- Peut-on utiliser sans danger les réseaux sociaux ? : Non, en utilisant les réseaux sociaux on s’expose à des dangers. Il faut en être conscient et agir prudemment pour maitriser ces dangers.
- Peut-on avoir une utilisation intelligente des réseaux sociaux ? : Oui, il s’agit d’un outil de communication puissant qui peut être bénéfique pour l’entreprise.
Mesurer, améliorer et piloter votre sécurité
Les orateurs constatent tout d’abord les limites actuelles des outils de conduite de la sécurité :
- Les contrôles ponctuels (au moyen d’audits de type tests d’intrusion ou d’audits de code) sont souvent menés sans avoir eu une réflexion globale sur les objectifs de sécurité de l’entreprise.
- Les tableaux de bords actuels sont souvent incomplets et construits en juxtaposant simplement les diverses données techniques disponibles (par exemple les pourcentages de virus détectés).
Ils recommandent de mettre en place un pilotage plus structuré et proposent la démarche suivante :
- Tout d’abord, il faut s’appuyer sur un référentiel de sécurité structuré, défini en adéquation avec les objectifs de la société (et basé sur des analyses de risques). Ce référentiel sera classiquement hiérarchisé en 3 niveaux : la politique de sécurité, les procédures (la politique opérationnelle) et les standards de sécurité.
- Ensuite, au regard de ces trois niveaux, on définira 3 niveaux de contrôle et d’observation. Au plus bas niveau, des contrôles (techniques ou non techniques) s’attacheront à vérifier le respect des standards de sécurité. Il en sera déduit des tableaux de bord de pilotage qui devront être construits en cohérence avec le niveau « procédures » de la politique sécurité. Il en sera déduit enfin un tableau de bord stratégique qui sera lui construit en cohérence avec la politique de sécurité générale.
L’ensemble du modèle doit être chapeauté par une vision dirigée par les risques :
- La politique de sécurité de l’entreprise est une réponse aux risques de sécurité qui ont été identifiés.
- Les tableaux de bord doivent montrer le niveau de protection qui a été effectivement atteint pour les risques identifiés.
Pour ce qui est de la réalisation des contrôles, les orateurs recommandent :
- D’associer des niveaux de confiance aux contrôles mis en place. Certains contrôles seront considérés comme fiables alors que d’autres pourront être classés comme de faible niveau de confiance.
- De définir clairement un périmètre auquel le contrôle s’applique, et de ne pas chercher à appliquer les mêmes contrôles partout.
La sécurité des données personnelles enfin prise au sérieux ?
Cette présentation a été animé par l’AFCDP (Association Française des Correspondants aux Données Personnelles : www.afcdp.net).
Cette association se donne comme but de faire du rôle de CIL (Correspondant Informatique et Liberté, équivalent des « Chief Privacy Officer » qui existent aux USA) un métier à part entière et met en place des groupes de travail pour les différentes activités de ce métier.
La présentation s’intéresse en particulier au projet de loi (déposé fin 2009 par les sénateurs Détraigne et Escoffier) et en particulier à l’article 7 qui propose de rendre obligatoire pour les entreprises ayant des données personnelles, la déclaration à la CNIL (et aux personnes affectées) des incidents de sécurité qui concernent ces données nominatives. S’il n’est pas sûr que cette proposition soit adoptée par l’Assemblée Nationale, il est probable que cette obligation arrivera un jour ou l’autre dans le droit français. En effet, elle existe déjà dans le droit européen pour les opérateurs de Télécom (cf. le « Paquet Télécom » qui a été adopté par la CE en novembre 2009) et la communauté européenne envisage d’étendre cette obligation aux autres secteurs du marché.
Cette obligation a des conséquences importantes pour toutes les entreprises (puisque toutes ont un fichier clients, et d’autres données nominatives) et il faut donc s’y préparer.
Conclusion
Cette seconde édition des GS-Days a été une journée très intéressante par la diversité des sujets abordés. Les conférences à caractère juridique étaient particulièrement présentes, ce qui montre l’importance de plus en plus grande que prend cet aspect dans la sécurité du SI. Les sujets organisationnels (par exemple sur la conduite de la sécurité) ou technologiques (par exemple sur les smartphones en entreprise) sont également particulièrement adaptés aux préoccupations actuelles.