Sécurité, Réseaux et SI - Orange Business Services

C'est assez inhabituel : La CNIL vient de mettre au pilori un site web permettant à des particuliers de vendre et d'acheter en direct des biens immobiliers.

Il est reproché au site de ne pas faire le "minimum syndical" pour sécuriser les informations de ces clients/membres, on retrouve aussi des défauts portants sur l'information des personnes et à l'utilisation abusive des coordonnées à des fins de prospections commerciales.

Cela met en regard, que les failles de sécurité de niveau applicatives (Bypass d'authentification, vol de cookies, injection SQL, Cross-Site Scripting, Cross-Site Request Forgery, etc...) sont enncore très méconnues. La multitude de sites qualifiés de "Web 2.0" développés et opérés parfois de façon "artisanale" ou tout du moins pourrait être considérée comme une petite bombe à mêche lente...

Attention, la CNIL veille au grain. Sécurisez vos sites web !

Le Ministère de l'Intérieur vient de lancer le portail Pharos via lequel un internaute peut signaler tout type de contenu illicite trouvé sur Internet.
Ces informations seront utilisées par les enquêteurs spécialisés de la Plateforme d'Harmonisation, d'Analyse, de Recoupement et d'Orientation des Signalements (PHAROS). Un internaute utilisant ce système peut décider de le faire de façon anonyme (dans la limite de l'enregistrement de son adresse IP bien sur) ou alors en s'identifiant.
Le système n'est pas destiné à régler les problèmes online entre parties se connaissant comme des différents entre personnes ou des problèmes avec un site de vente en ligne. De la même façon, il ne remplace pas les numéros d'urgence pour les problèmes de violence, santé ou autres urgences vitales.

Curieux, je me suis pris au jeu de regarder un peu plus en détail le fonctionnement du site :

Après avoir été rejeté au niveau de la Communauté Européenne, le projet de Loi Hadopi, visant à faire cesser le téléchargement illégal, nous livre son nouveau gag.

Dans la version précédente, sérieusement mise à mal par le Sénat français, l'Hadopi s'était vue interdire la procédure visant à envoyer un mail à l'internaute détecté comme téléchargeant illégalement (ce qui ne constitue pas un moyen légal et valide de notification) puis de couper son accès Internet, au profit d'une procédure judiciaire traditionnelle, autrement dit une amende en première instance.

Mais fort heureusement l'Hadopi est à la pointe de la technologie et de l'humour et a donc rapidement pu faire une nouvelle proposition à la mesure des précédentes.

Le rapport de la Commission des Affaires Culturelles s'exprime en ces termes : « Une solution serait de proposer aux titulaires de l'accès des conditions analogues à celles qui sont actuellement acceptées par les utilisateurs de logiciels de sécurité (antivirus, pare-feu, contrôle parental...) : en effet, certaines licences d'utilisation de ces logiciels prévoient un dialogue à distance automatique et régulier entre le logiciel et le serveur de l'éditeur, pour vérifier l'état des mises à jour. Cela comprend l'envoi, par l'ordinateur de l'utilisateur, de données précisant son identifiant et son état de fonctionnement.

Dans le cas présent, le serveur de l'éditeur du logiciel vérifierait, à chaque connexion, que les dernières mises à jour ont été installées. Les informations recueillies, conservées douze mois, attesteraient de l'activité du logiciel. Le titulaire de l'accès invoquant la cause d'exonération pourrait ainsi, dans l'hypothèse où l'Hadopi lui adresserait une demande de justificatifs, produire le fichier de "logs" qu'il aurait alors demandé à l'éditeur de son logiciel.

Il conviendrait à cet égard de prévoir à la charge des fournisseurs de moyens de sécurisation une obligation d'information, par exemple sous la forme d'une étape dans le processus de désactivation où il serait demandé à l'utilisateur de certifier qu'il a bien pris connaissance des risques encourus en cas de désactivation »,

Et oui, vous ne rêvez pas. C'est bien THX1138.

Hormis l'analyse un peu facile et rapide de la part de la Commission concernant le comportement de logiciels qui enverraient soi-disant des informations privées à des serveurs centraux, alors que nombre se contentent simplement d'envoyer par exemple la date ou le numéro de version de la dernière mise à jour pour obtenir en retour ce qu'il y a de neuf, on ne peut que constater le manque de conscience de la réalité de la part des membres de la Commission.

Combien de logiciels piratés fonctionnent-ils de la manière normale (telle que prévue par le constructeur/éditeur de logiciel) sur l'ordinateur du pirate ? Pour ainsi dire aucun.. Le 'crack' est toujours passé par là auparavant.

Le crack est un programme chargé de faire disparaitre la protection anti-copie ou anti-fonctionnement d'un logiciel par la modification de son code binaire. Il ne faut pas le confondre avec le 'keygen' dont la mission est de générer une fausse clé du logiciel qui sera entrée en lieu et place de la vraie, trompant ainsi le dit logiciel.

Par conséquent, le crack se chargera de faire disparaître la fonction de 'flicage' du logiciel comme il a fait sauter le contrôle d'original, ce qui ne constitue pas en soit une violation de la Loi pire que l'utilisation du logiciel piraté lui-même, ou la modification de son code binaire original ce qui, pour rappel, s'appelle faire une contrefaçon.

Une fois le crack installé, le logiciel fonctionnera aussi bien qu'avant, pourra être mis à jour 'manuellement' (par le téléchargement sur le site de l'éditeur d'un patch), condition nécessaire pour ceux qui n'auraient pas Internet ou à débit insuffisant, et une nouvelle version du 'crack' adaptée à la version construite après la mise à jour se sera sans doute rapidement disponible.

En résumé, au final, le PC de l'internaute de bonne foi se trouverait contenir un logiciel de contrôle alors que celui du pirate resterait sain, si on peut s'exprimer ainsi... Et que se passera t-il si l'utilisateur empêche de communiquer avec le serveur de l'éditeur du logiciel avec un pare-feu personnel, pour ne chercher qu'à protéger sa vie privée? Agira t-il contre les principes édictés?

A méditer...

[ MISE A JOUR 31 Octobre 2008 ]

Les Députés ont finalement enfin tranché officiellement. La ripose graduée est conservée et la coupure Internet acceptée (malgré le rejet au niveau européen) à condition que le mail reste accessible. Encore une fois, on constate ici le manque de conscience de la réalité des politiques car on voit mal comment le FAI pourrait connaitre les différents emails de chaque client, surtout s'ils ne sont pas hébergés chez lui.

L'anonymat est l'une des caractéristiques des attaques en déni de service (DDoS) : Il est souvent très complexe de remonter jusqu'au commanditaire d'une attaque. A la limite vous serez en mesure d'obtenir une liste de machines "zombies" ou alors si vous êtes chanceux (et très motivé) vous attraperez des "hommes de main".

Dans le cas présent, deux européens sont suspectés par un tribunal fédéral américain d'avoir aidé directement ou indirectement à lancer des attaques en déni de service à l'encontre de deux sites Internet de vente de matériel télévisuel.

Les dessous de l'affaire sont intéressants : Concurrence déloyale, développement de logiciel malicieux (bot) et conspiration.

L'Estonie vient de publier sa stratégie de défense Informatique. Le document est disponible en téléchargement depuis le site du ministre de la défense Estonien : Estonian Cyber Security Strategy. Cela s'inscrit en continuité des événements du mois de Mai 2007 pendant lequel l'économie du pays a été durement impactée durant plusieurs jours par des attaques en déni de service (DDoS).

Il est intéressant de constater que l'Estonie a effectivement intégré de façon très claire les risques liés aux technologies de l'information dans un contexte global : Outre la volonté d'améliorer ses capacités et compétences internes, on peut espérer que cette démarche serve d'exemple ou du moins de catalyseur pour d'autres pays de la zone Europe.

Quels sont les principaux axes identifiés dans ce document ? Les propositions de l'Estonie sont-elles limitées au territoire national ou vont-elles plus loin ?

La présidence française avait proposé l’idée au Parlement Européen, par un amendement, de couper l’accès Internet aux personnes effectuant du téléchargement illégal. Ceci après l’envoi d’un email puis d’un courrier enjoignant de cesser cette pratique.

Le Parlement avait rejeté cet amendement lors d’une session du 10 avril 2008, puis à nouveau le 7 juillet et enfin encore fin septembre. En effet, le Parlement étudie actuellement l’intégration de l’utilisation d’Internet dans les droits civiques et cette pratique va directement à l’encontre de ce concept. A noter également qu’une une série d’amendements du rapporteur britannique Malcom Harbour, visant à légaliser le filtrage des flux associés aux logiciels de « Peer to Peer », a également été rejetée par le Parlement.

Mais tous les textes n’ont pas été rejetés dans leur entier. Ainsi, le fait qu’un FAI envoi un email au client suite à constatation des mauvaises pratiques de celui-ci reste accepté. Ce qui est rejeté, c’est le mécanisme de coupure unilatéral de l’accès au réseau.

Ce vote final, supporté par Guy Bono, membre de la Commission Culture et Sport, met fin aux débats quant à la création à l'échelle européenne d’une Haute Autorité pour la Diffusion des Oeuvres et la Protection des droits sur l’Internet (Hadopi), telle qu’elle existe en France, et chargée de poursuivre les internautes effectuant du téléchargement illégal.

Une nouvelle loi vient de passer en vigueur dans l'état de Californie : Il est désormais interdit de lire (ou de tenter de lire) le contenu d'un tag RFID appartenant à une personne sans son accord préalable. De même, il est interdit de diffuser des informations sur les systèmes pouvant faciliter la collecte d'informations de façon illégitime. Dans chacun des cas, la peine encourue maximale est de 1 an de prison et de 1.500USD.

Le texte disponible ICI (pdf) indique que la collecte d'informations reste possible par les officiers de police dans le cadre de leurs missions ou pour des raisons médicales ; ce qui reste assez normal me direz-vous.

Cette décision ferait suite à une démonstration de recopie de cartes RFID utilisées pour contrôler l'accès à des bâtiments de l'état de Californie. Cette attaque est assez simple à mettre en œuvre via des systèmes appelés "RFID Skimmer" et des tags RFID non-cryptés: Vous commencez par "écouter" le tag RFID et enregistrez son contenu pour ensuite le rejouer... Pour plus d'infos sur comment construire son appereil à faire du copy/paste de tags RFID (ie un "Skimmer RFID"), l'article "How to Build a Low-Cost, Extended-Range RFID Skimmer" vous donnera les détails (attention, des connaissances en électronique sont requises).

Ce que je trouve un peu bizarre dans tout cela : Il n'est pas demandé de se prémunir de ce genre d'attaques via l'utilisation de tags RFID sécurisés... On rends donc interdit les écoutes mais on ne cherche pas à s'en protéger... Vous pourriez dire que c'est mieux que rien : Oui c'est vrai ; mais c'est prendre le problème du mauvais coté... Et puis, vous pensez vraiment que cela va arrêter les "hackers" ? Oh que non....

Pour finir: Si vous souhaitez vous protéger des écoutes passives de vos tags RFID, il existe des pochettes spéciales comme celles de DIFRwear ou celles d'Identity Stronghold. Une approche plus originale (mais plus complexe) est d'utiliser un "brouilleur RFID" comme le RFID Guardian (pdf).

PS: La sécurité de certains Tag RFID "sécurisés" (Mifare en l'occurence) a été remise en cause. La sécurité des tags RFID est un sujet "chaud" en pleine évolution.

A compter du 1er Janvier 2009, les sociétés ou résidents de l'état du Massachusetts des Etats-Unis devront crypter toutes les données personnes stockées sur des supports "mobiles" (latpop, clefs USB, PDA?, téléphones). Il devra en outre être fait de même lorsque ces données transiteront sur un réseau sans fil comme Wifi ou via Internet.

La question que je me pose c'est que les moyens techniques devant être mis en oeuvre ne sont pas précisés (une archive "ZIP" avec un password suffiront-ils pour être "conforme" ?).

En complément de cette mesure, il est demandé à ce que les entreprises intègrent un nombre assez conséquence de mesures de sécurité en interne, comme par exemple celle relatives aux bonnes pratiques de gestion comme les procédures, l'authentification des utilisateurs, etc... La démarche du Massachusetts s'inscrit dans la continuité de celle de l'état du Nevada depuis le 1er Octobre 2008.

En faisant abstraction des détails techniques, cette démarche va dans le bon sens : Il suffit de se rappeler le nombre de pertes de données personnelles identifiées en Angleterre.

Sources:

• Morrison Foerster, New Massachusetts Regulation Requires Encryption of Portable Devices and Comprehensive Data Security Programs, September 2008

• BottomLine, Nevada Deadline on E-Mail Encryption Looming, September 19, 2008

La Commission nationale informatique et liberté à lancé en septembre des contrôles auprès des entreprises émettrices de spam. Ces derniers portent sur, les méthodes de collecte des adresses, la validité du consentement des personnes, le respect du droit. Certaines entreprises sont déjà sous surveillance.
Il ne reste plus à la CNIL qu’a contrôler les botnets et autres produits du même genre qui doivent représenter la quasi  totalité du trafic spam. Aller encore un petit effort !

Après avoir pris place dans nos foyers, la Voix sur IP (ou VoIP) est désormais au catalogue de tous les opérateurs de communications et de sociétés spécialisées. De nombreuses entreprises, de la PME au grand s comptes préfèrent déployer des systèmes téléphoniques IP lors du remplacement de leurs PABX vieillissant ou lors de l'installation de nouveaux sites.

Les enjeux sécurité liés à la VoIP sont multiples et ne sont pas simples, ce thème sera d'ailleurs développé lors du prochain salon IP-Convergence qui se déroulera les 21, 22 et 23 octobre. Si les aspects techniques sont en progression, ceux relevant du domaine juridique et réglementaire sont encore à une phase plus embryonnaire : Les informations sont rares et les juristes spécialisés dans le domaine sont aux aussi très demandés.

Afin de vous faire une première idée de quoi il retourne coté "juridique et VoIP", je vous invite à prendre connaissance de ces quelques articles :

• 01Net, Piratage de la VoIP : un risque juridique pour les entreprises, 29 Septembre 2008
• GlobalSecurityMag, La VoIP dans l’entreprise : comment se protéger juridiquement contre les défaillances techniques et les attaques sur le réseau ? Septembre 2008

Si je devais ne retenir que deux idées de ces articles :

1. Un manque de sécurisation d'un système de VoIP peut être assimilé à un vice de fabrication
2. La responsabilité financière du fournisseur de la solution peut être engagée en cas de manque de sa part

N'étant pas juriste de formation, je ne serai pas en mesure de statuer sur le bien-fondé juridique de ces deux assertions : Les conclusions de litiges clients/fournisseurs pourrait apporter des éclaircissements voir faire jurisprudence. L'avenir nous le dira.