Dimanche 9 mai 2010
Membre du jury de l´iAWACS 2010, la rédaction de Mag Securs fourni son analyse du bilan du challenge.
Les résultats du challenge iAWACS 2010 sont sans appel. Aucun antivirus n´a bloqué plus de 2 attaques sur 7 ! Les charges des attaques étaient réellement de nature à nuire au système ciblé. Certaines attaques ont été écrites par des élèves ingénieurs de première année, et non par des experts très expérimentés. Tous les produits de sécurité se trouvent donc éliminés par ce test.
L´analyse de l´exercice pose donc la question : « comment doit-on se protéger si l´on ne peut pas faire une confiance aveugle aux produits de sécurité ? ». « Est-il possible d´être en sécurité ? »
Il faut en fait revoir les politiques de sécurité, les définir pour répondre aux menaces et les placer en premier niveau de défense. Différents produits de sécurité pourront servir ces politiques, mais sans les remplacer.
Les produits tombent face aux attaques, mais ne sont donc pas morts …. Ils doivent simplement être utilisés pour assister des Politiques de Sécurité, pas pour assurer la sécurité !-----------------------------------------------------------
Les résultats du challenge iAWACS sont présentés en détail à la page :
http://www.magsecurs.com/spip.php?article15465.
Avec une présentation de la nature des attaques.
------------------------------------------------------------------
Les limites des attaques menées lors de l´iAWACS 2010Les attaques menées lors du challenge iAWACS 2010 ont été très simples et peuvent même être qualifiées de « bas de gamme ». Ce qualificatif n´est pas péjoratif : seul le résultat des attaques est important. Celles-ci ont abouti dans environ 90 % des cas.
Pas de découverte de nouvelles vulnérabilités. Pas d´attaque sur le système d´exploitation, en l´occurrence Windows 7, encore moins de l´environnement virtuel VM monté pour faciliter l´exercice. Cela signifie d´ailleurs que les attaques auraient probablement pu aboutir sur d´autres systèmes d´exploitation et que le débat n´est pas autour du système d´exploitation : Windows, Linux, Unix, Mac OS, voire divers systèmes d´exploitation de systèmes industriels. Peu d´attaques sur des applications existantes : juste une exploitation des macros du Pack Office de Microsoft. Les autres attaques ne visaient pas à s´en prendre aux applications utilisées.
Le mode de contamination reste primaire, le code malveillant est installé par l´utilisateur lui-même, sans droits administrateur il est vrai. Il est de même exécuté à la demande de l´utilisateur.
L´exercice n´a pas été mené à grande échelle et n´a pas testé les capacités des éditeurs à intégrer la signature des nouvelles attaques pour les boquer. Nous ne savons pas si ceux-ci auraient répondu en quelques heures, ou ignoré les attaques. La réponse dépend sans doute du volume des attaques sur les systèmes informatiques dans le monde. L´exercice n´a porté que sur 7 attaques ...
L´exercice n´a pas cherché à exploiter des propagations de vers sur le réseau et n´a pas été très poussé sur les modes de contamination. L´utilisateur reçoit simplement un code malveillant et l´exécute ou le laisse s´exécuter.
La certitude que de nombreuses attaques peuvent réussir La vraisemblance de l´attaque repose sur la question de savoir s´il est possible qu´un utilisateur installe lui-même un tel code malveillant et l´exécute ? « Est-il possible d´être stupide à ce point ? » a-t-on envie d´opposer aux organisateurs du challenge.
La réponse est malheureusement que cette vraisemblance est presque totale. Voici plusieurs scénarios de telles attaques extrêmement vraisemblables :
- L´utilisateur surfe sur un site web compromis, non encore identifié comme tel par les systèmes de filtrage d´URL, ou en l´absence de filtrage de d´URL sur son poste, et télécharge puis exécute à son insu un programme malveillant.
- Un ver véhicule une attaque dont la signature virale est inconnue en exploitant une vulnérabilité de système d´exploitation ou d´une application (ce qui n´a pas été montré lors de l´iAWACS 2010) ;
- L´utilisateur a besoin d´une application qu´il n´a pas. Il a par exemple reçu un document professionnel sur lequel il doit travailler et télécharge l´application manquante depuis l´Internet. Pas de chance, le code téléchargé contient l´une des charges que nous avons testées et il contamine son poste de travail. Son antivirus laisse l´attaque passer…
- L´utilisateur branche une clé USB sur son poste de travail. La charge virale est placée sous forme d´un fichier « autorun » et le poste de travail n´a pas désactivé la fonction de démarrage automatique des périphériques. Le poste sera contaminé sans même que l´utilisateur n´ait demandé l´exécution de quelque programme que ce soit. Plusieurs scénarios sont possibles :
* Une clé est échangée avec un tiers pour transmettre des documents trop volumineux pour être transmis par email ;
* Une clé USB compromise est envoyée par la Poste à l´utilisateur avec un courrier publicitaire crédible usurpant par exemple l´identité d´un fournisseur ou d´un partenaire de l´utilisateur ;
* Une clé USB compromise est laissé bien en vue à un endroit fréquenté par l´utilisateur (le parking où il gare son véhicule, la machine à café, une salle de réunion, etc.). La clé peut être agrémenté d´un logo attrayant, etc. L´utilisateur la branche sur son poste de travail pour en lire le contenu et se fait infecter ;
* Une personne demande à pouvoir brancher un lecteur MP3 sur le port USB d´un PC tiers pour le recharger et pouvoir écouter de la musique dans le train ;
* Une personne propose à une autre de lui montrer une photo ou vidéo qu´il vient de faire ;
* Etc.
- L´utilisateur reçoit un email semblant provenir d´un collègue ou d´un ami contenant un document présenté comme un document de travail ou un jeu. Le mail provient en fait d´un tiers qui a usurpé l´adresse email du collègue ou de l´ami et a introduit le code malveillant. La profusion des informations laissées par nombre d´utilisateurs sur les réseaux sociaux rend de telles attaques très faciles à réaliser.
- Les enfants, à qui il manque, durant un moment, un ordinateur, utilisent celui de l´un de leurs parents pour installer le dernier jeu dont ils ont parlé sur MSN avec leurs copains et copines …
- Le code malveillant a été téléchargé par l´intermédiaire d´un équipement tiers « réputé, à tort, ne pas être sensible aux attaques virales » smartphones, console de jeux, voire appareil photo, caméra, GPS, etc. Il est transmis au poste de la victime, qui ne pense encore pas un instant pouvoir ainsi être infectée par des fonctions légitimes de synchronisation de ses périphériques et de son poste de travail. …
- Le poste de travail compromis infecte un autre système avec lequel il est en contact : système d´information critique, système d´information industriel, etc.
La liste n´est pas exhaustive. Une contamination à très grande échelle sera vraisemblablement rapidement détectée par les antivirus du marché après un certain temps, mais une attaque ciblée a de très grandes « chances » de passer inaperçue. Un très grand nombre d´attaques différentes non connues lancées simultanément sur de petits sous-ensembles d´un vaste système d´information ne seront donc sans doute pas détectées par les produits actuels de protection et causeront vraisemblablement des dégâts gigantesques.
Les solutions pour se protéger La bataille est-elle pour autant définitivement perdue ?
Certainement pas et les démonstrations de l´iAWACS ne vont pas dans ce sens. Il s´agit en fait de mettre en évidence qu´une croyance aveugle dans une protection « miracle » de produits de sécurité n´a aucun sens, quoique l´on puisse parfois trouver dans certains argumentaires marketing et commerciaux. Les vrais professionnels le savent depuis longtemps. L´intérêt de l´iAWACS 2010 est de vulgariser de la manière la plus large possible cette certitude de l´existence d´un risque inhérent aux systèmes protégés par un simple produit de sécurité du marché auprès du public le plus large possible.
Les sénateurs, Yves Détraigne et Anne-Marie Escoffier, dans la proposition de loi adoptée le 23 mars dernier ne disent d´ailleurs pas autre chose en mettant dans l´article premier de leur proposition une obligation de formation et de sensibilisation de la population aux risques de sécurité des systèmes d´information dès l´école.
Aucun antivirus ne protégera jamais les systèmes des utilisateurs qui activeront eux-mêmes des codes malveillants sur leurs ordinateurs et les systèmes d´informations des entreprises et des institutions des Etats. Le problème va bien au-delà des protections traditionnelles de sécurité. Il faut créer les conditions d´une culture de sécurité des systèmes d´information qui fassent échouer de telles attaques. L´objet n´est pas d´attaquer ou de critiquer les éditeurs de solutions de sécurité, mais de leur permettre de compléter leur travail par d´autres « contre-mesures ».
Les solutions comportementales passent donc en priori par la formation et par l´éducation. L´utilisateur ne devrait pas activer les codes malveillants qui lui sont adressés quelque puissent être les protections apportées par les antivirus, firewalls, ou « antis-tout » vendus sur le marché à grands renfort de slogans publicitaires. Pour le marché grand public, cette évolution passe par les médias et devra passer par l´école.
Pour les entreprises et les administrations, il existe de nombreuses solutions qui complètent l´action des antivirus :
- Le contrôle des accès au Web peut limiter la contamination par des sites indésirables. Ce contrôle est complexe, car les techniques de forums, commentaires et blogs (ce que l´on appelle le web 2.0) permettent aux attaquants d´infecter de grands sites légitimes, au-delà de tout soupçon. Le contenu de chaque page doit être analysé, et non seulement le contenu d´un site dans son ensemble.
- Les vulnérabilités des systèmes doivent être gérées et traitées autant que de possible pour éviter la propagation de différentes attaques. La réalité de l´exploitation des systèmes d´exploitation est toutefois plus complexe, car les incompatibilités opérationnelles entre les correctifs de sécurité apportées par les éditeurs et les environnements applicatifs des entreprises sont une réalité quotidienne. Il est, dans les faits, rarement possible d´appliquer tous les patches de sécurité sur tous les systèmes. Le discours relayé depuis plusieurs semaines par différents médias portant sur une possible prochaine obligation législative d´information par tous les organismes des failles de sécurité sur leurs systèmes d´information est totalement irréel. Une telle obligation n´est pas mentionnée dans la proposition de loi des sénateurs Détraigne et Escoffier (à juste titre). La proposition de Loi adoptée par le sénat ne propose que l´obligation d´information en cas de perte de données personnelles. Elle a été déformée et propagée par des médias et des juristes incompétents dans le cadre d´une action de lobbying de différents éditeurs (dont certains éditent des scanners de vulnérabilités, naturellement). Il convient de traiter ce problème avec raison et non avec des objectifs réglementaires mercantiles, très lucratifs, mais absolument pas opérationnels.
- L´ouverture des systèmes d´information doit être pensée en fonction des intérêts métiers et des événements redoutés. Un système d´information industriel n´a sans doute pas beaucoup de raison d´être connecté sur Internet. Les fonctions légitimes de télémaintenance peuvent être mises en œuvre sans pour autant que ces systèmes ne soient accessibles du monde entier. Un système de communication « secret défense » ou « très secret défense » n´est jamais un système ouvert. Il doit en être de même des systèmes sensibles de nos entreprises et de nos administrations.
- La connexion des périphériques sur le système d´information de l´entreprise doit être organisée à bon escient. Les téléphones portables, appareils photos, lecteurs MP3, caméras, GPS personnels et diverses clés USB n´ont pas nécessairement de raison de se connecter au système d´information des organismes, entreprises ou administrations
- L´informatique personnelle ou familiale ne doit pas se mélanger aux systèmes d´informations des organismes.
- Les informations diffusées sur les réseaux sociaux ne doivent pas être des sources d´information pour entrer sur des systèmes d´information professionnels.
- L´utilisateur ne doit être naïf, se croire dans « un monde de bisounours » et accepter d´installer, lui-même, n´importe quoi sur son système d´information.
- La menace d´usurpation d´identité sur les réseaux et les messageries électroniques n´ayant pas activés de mécanismes d´identification et d´authentification forte (la quasi-totalité des systèmes actuels…) doit être connue comme étant hautement vraisemblable et traitée comme telle. Par essence, les systèmes actuels en technologie IP ne possèdent pas de manière native de mécanismes d´authentification forte. Des projets de signatures électroniques sont cependant en cours et devraient aboutir. Ils supposent toutefois la confiance totale dans une autorité de certification : le système ne fonctionnera que dans un état démocratique avec la confiance des populations.
- L´existence d´un monde d´espionnage doit faire partie de la culture des entreprises. Aux États-Unis, l´espionnage des citoyens américains est un crime fédéral, ainsi qu´a pu l´apprendre à ses dépends le président Richard Nixon, en revanche, les activités de renseignements (Intelligence) sur les acteurs étrangers constituent un « business » légitime pour la défense des intérêts nationaux. Les systèmes d´information n´offrent qu´un moyen supplémentaire d´exercer ce business.
- Un système d´information sensible peut très bien fonctionner sur des règles de listes blanches. Les fonctions légitimes sont connues et recensées. Toutes les autres peuvent (et doivent) être interdites. Le système de protection ne se base alors plus sur des défenses basées sur des listes noires, comme nos actuels antivirus, mais sur une liste fermée de règles de fonctions exécutables : des listes blanches.
- Les documents sensibles peuvent être protégés par des mécanismes de signatures électroniques et de chiffrements pour ne pas être compris par l´exécution de codes malveillants. Des mécanismes de contrôle d´intégrité basés sur des prises d´empreintes peuvent être mises en œuvre pour peu que les bases d´empreintes ne soient pas accessibles et modifiables.
La liste des moyens de protections n´est pas exhaustive. Les attaques menées lors de l´iAWACS 2010 échouaient toutes si les utilisateurs n´avaient pas décidé, d´eux-mêmes, d´exécuter les codes malveillants. La solution existe donc bien !
L´erreur ne serait donc que de croire que cette sécurité ne peut venir que des seuls produits de sécurité informatiques. Rien de nouveau, les professionnels savent que la virologie informatique est une science indécidable. Il est impossible de concevoir une protection totale et parfaite contre toutes les attaques : c´est le théorème de Fred Cohen et les différents travaux réalisés … dans les années 80.
Il est temps de passer à une autre approche de la sécurité. C´est la principale conclusion du challenge 2010 iAWACS, près de 30 ans après les travaux de Cohen…
Il faut imposer une prédominance de la Politique de Sécurité sur les produits de sécurité La conclusion ne doit pas être d´accabler les éditeurs d´antivirus, mais bien de les prendre pour ce qu´ils sont : des fournisseurs de produits de sécurité. Ils permettent de limiter très fortement des attaques massives internationales utilisant une même signature virale. Ils ne pourront jamais parer efficacement une attaque massive mettant un œuvre de manière efficace des attaques différentes utilisant des charges ne laissant pas apparaître les mêmes signatures. C´est le principe des attaques polymorphes : le sujet n´est pas nouveau.
En cas de cyber-attaques de première envergure mettant en œuvre des solutions polymorphes complexes et efficaces, les produits usuels des grands éditeurs laisseront sans doute passer plus de 90 % des attaques comme l´ont montré les participants à l´iAWACS 2010.
Les solutions existent. Ne pas mettre sur Internet, ni ouvrir des systèmes qui n´ont pas besoin de l´être reste une sagesse évidente : systèmes « secret défense », systèmes industriels, autres systèmes très sensibles. Ne pas autoriser les utilisateurs à faire n´importe quoi : installer la première application « sympathique » venue.
Bref, il faut tout d´abord élaborer les bonnes politiques de sécurité. C´est une question de stratégie et d´organisation. Décider de ce que l´on autorise et de ce que l´on interdit en fonction des besoins fonctionnels que l´on a et des menaces que l´on redoute.
Il n´est pas stupide d´envisager que certains systèmes très ouverts puissent tomber. Il faut alors envisager de pouvoir fonctionner un certain temps sans ces systèmes, ou décider de ne pas les ouvrir autant pur amener le risque à un niveau acceptable.
La Politique de Sécurité doit donc être le premier niveau de défense. Les produits de sécurité sont ensuite mis en œuvre pour satisfaire aux exigences de cette politique. De cette manière, les antivirus conservent toute leur place dans un dispositif de sécurité du système d´information.
Un prochain challenge pourrait consister à étudier si les produits de gouvernance des systèmes d´information permettent de s´assurer qu´une politique de sécurité est appliquée …
La rédaction de Mag Securs entend de toute manière demander aux éditeurs de réagir aux résultats de ce challenge et de commenter la manière avec laquelle leurs solutions peuvent s´intégrer dans une Politique de Sécurité du système d´information de l´entreprise et du contrôle de son application.
Dossier à suivre, donc ... sur le site et dans le magazine trimestriel Mag Securs ...