Actualités
Mois de la sécurité, Assises de la sécurité, révélations Snowden sur les pratiques de la NSA, failles Internet Explorer, projet de loi ANSSI : petit tour des actus de l’automne…
Il y a un paradoxe en cette fin d’année 2013 : bien que la sécurité des SIs industriels ait été définie comme priorité nationale par le directeur de l’ANSSI en ouverture des assises de la sécurité, il n’y a pas vraiment d’actualité dans le domaine industriel depuis Blackhat 2013 – par contre il se passe beaucoup de choses côté sécurité de l’information, qui peut impacter les infrastructures industrielles et critiques.
Ce manque d’actualité « industrielle » a mis au repos la plupart des blogs spécialisés « industrie », y compris celui-ci et ceux répertoriés dans les liens : c’est l’occasion de prendre un peu de recul et remettre en perspective la sécurité des informations et l’impact sur la sécurité des infrastructures.
Les informations sur les pratiques de la NSA continuent d’être distillées…
Edward Snowden, toujours coincé en Russie, continue d’alimenter certains journalistes (notamment le Guardian, der Spiegel, Le Monde), en révélant les pratiques de l’agence de sécurité américaine. La profondeur et l’étendue des interceptions de la NSA est plus inquiétante à chaque nouvelle révélation. Cet été on avait appris que l’ONU (video conf, communications des représentations européennes) et l’AIEA (communication via smartphones) étaient sous écoute. Ceci après les premières révélations de ce printemps concernant la capacité de la NSA d’intercepter à grande échelle le trafic internet aux USA, y compris chiffré. La complicité forcée de la plupart des grands acteurs informatiquement américains a frappé les esprits (Microsoft, Google, Yahoo, Facebook, Youtube, Skype, AOL, Apple).
L’algorithme Dual_EC_DRBG de la NSA
Cet automne, on a eu le fin mot sur la manière dont la NSA pouvait déchiffrer les flux interceptés sur les backbones (infrastructure internet) : la NSA avait en 2006 développé un algorithme volontairement affaibli de génération de nombre aléatoires, qu’ils avaient réussi à faire approuver par l’institution du NIST américain, et que la société RSA Security avait implémenté par défaut dans sa gamme de produits… utilisés notamment pour les routeurs. Le NIST et RSA ont reconnu les faits, mais nient avoir collaboré en connaissance de cause. Pour comprendre l’impact d’un algorithme qui génère quelques millions (voire milliards) de clés au lieu de milliard de milliards de milliards de clés, on pourra relire l’article précédent traitant notamment d’une faille de génération de clés.
Interception d’emails et de communications vocales françaises
Aujourd’hui c’est le journal Le Monde qui révèle que les citoyens français et des entreprises nationales font l’objet d’un espionnage à grande échelle par la NSA, et pas uniquement ceux soupçonnés de terrorisme. En particulier le trafic email (et autres?) chez Wanadoo et Alcatel Lucent. Un autre article cite 70 millions d’enregistrements de données téléphonique en 1 mois fin 2012.
A noter que la France n’est pas plus visée que d’autres pays, mais le Brésil et le Mexique, après l’Allemagne, ont émis des protestations officielles. Aux dernières nouvelles L. Fabius aurait convoqué l’ambassadeur US.
Faille 0-day largement exploitée dans Internet Explorer
Il aura fallu presque deux mois entre la découverte, puis la révélation d’une faille de sécurité majeure liée à l’environnement .NET sur internet explorer, et la correction lors du « patch Tuesday » d’octobre. Entre temps, de nombreux sites web auraient exploité cette faille : il suffisait pour cela de visiter le site avec presque n’importe quelle version d’Internet Explorer.
Combien de données volées et de PCs infectés avec un code leur permettant l’exploitation à distance pour d’autres attaques ? A cette date on n’a pas encore de bilan.
Le mois de la cybersécurité
C’est donc un contexte idéal pour le mois de la cybersécurité, qui, comme presque personne ne le sait, est en train de se dérouler (Octobre 2013). Il faut bien reconnaitre que la médiatisation est faible, mais ce n’est pas bien grave, car les très médiocres posters mis à disposition par l’ENISA, l’agence européenne de sécurité de l’information, sont largement dépassés par l’actualité ci-dessus, bien plus efficace en termes de sensibilisation !
Par contre la qualité est au rendez-vous pour cette vidéo de sensibilisation, réalisée par l’ISSA (Information Systems Security Association), et financée par « crowd-funding » (contributions de nombreux particuliers et entreprises), qui en quelques minutes présente de manière claire l’enjeu de la sécurité des informations personnelles, et conclut sur les bonnes pratiques d’hygiène informatique personnelle.
Retour à la sécurité industrielle
Alors certes pas d’actualité forte, en tous cas rien de comparable a priori côté « SCADAs » et autres systèmes industriels, ce dont on ne va pas se plaindre car cela permet de travailler.
Par exemple un groupe de travail composé d’industriels, de constructeurs, et d’intégrateurs (via les associations Exera, Gimelec, et le CLUSIF) aide actuellement l’ANSSI à mettre au point un projet de loi prévu pour la fin 2013, qui imposera au moins aux OIVs (opérateurs d’importance vitale) de faire un bilan et de déployer un projet de sécurisation de leurs installations.
Ce projet de loi sera accompagné d’outils qui permettra aux autres industriels français de faire un premier bilan de leur exposition au risque de cyber-attaque, et de savoir le cas échéant comment démarrer des actions.
Ceci dit, au vu des révélations récentes, avant de sécuriser l’infrastructure industrielle, on voit qu’il est aussi nécessaire de protéger les informations d’ingénierie : si vous concevez une architecture avec zones et conduits pile poil selon ISA 99, mais que vous avez échangé les plans et les paramètres de sécurité via internet, et que les éventuels attaquants ont les plans « de la maison »… vous n’avez rien gagné…
Dernière question gênante : puisque facebook, yahoo, skype, et donc microsoft… ont été « invités » à collaborer avec la NSA, peut-on encore taper des documents confidentiels dans Word, et les envoyer par Outlook sous MS Windows ? Ou faut-il passer au logiciel libre quand on veut être certain qu’il n’y a pas de code malicieux caché dans les applications ?