On ne cesse d’entendre, ça et là (et en particulier au forum annuel du CERT-IST auquel je viens de participer), que la sécurité doit revenir aux fondamentaux, maîtriser ses fondations. C’est le mot d’ordre auquel semblent se rallier une majorité de responsables sécurité de France. C’est également la thèse défendue ardemment par l’ANSSI, dans beaucoup de ses interventions publiques.
Je serais naturellement porté à adhérer à ce discours, plein de bon sens : maîtriser les pare-feux, les logs, le contrôle d’accès, la gestion des correctifs, la veille en vulnérabilités, les mots de passe, tout ceci relève à la fois d’évidences et de vrais challenges, techniques et organisationnels, difficiles à relever sur le terrain. Affirmer que nos SI ont besoin de tels dispositifs est à la fois une platitude absolue et un combat de tous les instants, tant ces aspects requièrent de l’énergie, pour motiver nos chefs et débloquer les budgets adéquats. Et pourtant, par nature grinch^H^H^H^H^H^H sceptique, mon instinct me dit que quelque chose cloche, dans ce discours.
Ce qui me dérange, c’est la raison pour laquelle l’on répète ce discours avec tant d’assiduité, depuis une dizaine d’années. Si l’on continue de faire passer le même message, c’est parce que la sécurité a jusqu’ici échoué à adresser ces problématiques dans la durée ; et l’on illustre ce constat par les nombreuses intrusions qui émaillent l’actualité. Par exemple, le ver Conficker est arrivé précisément au moment où les entreprises avaient baissé la garde et relâché leur politique de gestion des patchs, croyant que les virus pandémiques étaient relégués aux oubliettes de l’histoire. Or, si l’on répète les mêmes recommandations depuis 10 ans, et que malgré tout les sinistres se poursuivent (voire, augmentent), alors de deux choses l’une : soit ces recommandations ne sont pas adaptées à la nature de la menace ; soit ces recommandations ne sont pas adaptées, tout court.
Si l’on met bout à bout les retours d’expérience d’attaques ciblées (ou « APT ») dont l’on dispose sur la France — c’est à dire, si l’on assemble les miettes d’informations arrachées sous la torture à ceux qui en sont victimes — alors le constat est simple : les vieilles recettes font toujours les meilleures intrusions. Des failles béantes sont toujours exploitées, et l’ingénierie sociale reste à l’honneur. Cela fait d’ailleurs assez peu débat dans la petite communauté de la sécurité, tout le monde s’accorde à juste titre pour reconnaître que les modes opératoires sont globalement stables dans le temps, et que seuls changent l’outillage et l’intention.
Donc, en faisant abstraction de la puissance du marketing : face à une menace qui n’a pas changé de nature depuis 10 ans, s’élève un discours sécuritaire qui lui non plus n’a pas bougé depuis 10 ans, et qui vise à boucher des failles béantes et connues depuis 10 ans. Et pourtant, depuis une décennie, la sécurité continue d’échouer, pas seulement par endroits, mais massivement. C’est donc peu dire que nous menons un combat d’arrière-garde ! Le dernier rapport de HP est édifiant de ce point de vue : tandis que le nombre global de vulnérabilités découvertes diminue d’année en année, le nombre absolu de nouvelles failles critiques reste stable dans le temps ; de sorte qu’entre 2006 et 2011, elles sont passées de 7% à 24% du total. Nos efforts n’ont donc qu’on effet homéopathique sur le cœur du problème.
« Revenir aux fondamentaux » : et si c’était simplement impossible ? Et si nous avions définitivement perdu la maîtrise de nos pare-feux avec des processus kafkaïens de gestion des flux ? Et si nous en étions réduits à faire confiance à notre poste de travail comme à un élément étranger, faute de pouvoir le maîtriser réellement ? Et si nos SI étaient devenus tellement complexes qu’il était impossible de prévoir tous les impacts d’une modification mineure de configuration ?
C’est donc tout le contraire, la sécurité doit faire un grand bon en avant, et non pas revenir en arrière. Nous devons tirer une leçon de ces dix dernières années : nos vieilles recettes ne marchent pas, elles ne nous aident pas à convaincre nos responsables, et il nous faut arrêter de transférer à l’utilisateur notre incapacité à répondre aux challenges technologiques qui s’offrent à nous. Car pendant que nous ramons à contre-courant pour remonter le cours de l’informatique, celle-ci n’a de cesse de se révolutionner depuis 10 ans. A quoi sert un pare-feu classique à l’ère des web sockets, qui permettent d’encapsuler à peu près n’importe quoi dans un flux HTTP ? Comment conserver une politique de patch management cohérente à l’ère du BYOD ? Quelle place pour un SIEM ou un IDS quand les statistiques montrent que moins de 1% des incidents de sécurité sont détectés grâce à un dispositif interne ? (source : Verizon) Et alors que nous peinions déjà à maîtriser notre infrastructure et notre réseau, nos fournisseurs de Cloud computing auront-t-ils davantage de succès ?
Ces questions sont à peine effleurées par le marché de l’offre sécurité ; ce qui n’est pas très étonnant, du fait du peu de pression qui s’exerce sur lui. Je crois que le bon levier est le levier législatif : partout où un sinistre est sanctionné pénalement, alors on donne les moyens à la sécurité de s’exprimer pleinement. Et l’offre suit d’elle-même. Bruce Schneier déclarait récemment à San Francisco que le monde de la sécurité devait se politiser et militer activement, pour faire comprendre au législateur la complexité de ces enjeux ; je pense que c’est en effet le seul moyen pour que notre espèce ne disparaisse pas, à l’instar des dinosaures.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));