Spécial sécurité - Le coût de la conformité : 3,5 M$ par entreprise

Sommaire
1 - Les 5 règles d’or du RSSI au chômage 
2 - …. Et crack la souris ! 
3 - Vulnérabilité MHTML dans Windows 
4- Le coût de la conformité : 3,5 M$ par entreprise 
5 - Fuite d’information, la faute aux journalistes 

1 - Les 5 règles d’or du RSSI au chômage
Les décalogues et autres recettes miracle n’ont généralement que le mérite d’amuser le lecteur et d’offrir à leur auteur un moyen de remplir ces satanés « 2000 signes de trous qu’il faut remplir avant midi, coco, sinon on boucle avec une page blanche ». Mais ces 5 « recettes du responsable sécu en recherche d’emploi » tranchent par rapport à l’habitude. Bon sens et distanciation, pourrait-on résumer. Car les chasseurs de tête et les employeurs potentiels sont totalement hermétiques aux titres de noblesse (certifications, connaissances et autres preuves de geekitude) des hommes de l’art. « Soyez une personne avant que d’être un professionnel de la sécurité », « imposez votre marque » en montrant une attitude conforme aux attentes des gens des branches business, « vendez ce que vous avez accompli plus que votre expérience acquise, afin de vous distinguer de vos homologues », « n’exagérez pas » et « recherchez vous un guide qui connaisse les règles du milieu vers lequel vous vous orientez » énumère Joan Goodchild, auteur de l’article. Les exemples donnés au fil de l’article sont fournis par un recruteur spécialisé dans le secteur de la sécurité dont le nom, Jeff Snyder, le prédisposait à ce genre de travail …

2 - …. Et crack la souris ! 
Une photo (même très sombre) vaut mieux qu’un long discours. StenoPlasma, sur ExploitDevelopment.com, montre comment il a pu intégrer 16 Go de stockage, une clef WiFi Atheros et un hub usb dans le boîtier d’une souris… tout en faisant en sorte que le périphérique continue de fonctionner normalement. La chose n’a strictement rien de compliqué à tel point que la qualification de « hack » est presque superlative. Mais ce petit bricolage montre combien il est aisé de camoufler des périphériques destinés à extraire des données de manière discrète ou faire démarrer une machine sur un système embarqué. Cette approche assez simple peut être améliorée avec d’autres extensions : microcontroleur avec port USB (il en existe des centaines tous plus rapides les uns que les autres), caméra-espion (souris, tu es filmé), Bluesnarfer embarqué (codename « les vacances de Monsieur Mulot »), keylogger invisible (touche-rat, touchera pas) et ainsi de suite. Il manque toutefois un peu de place pour y concentrer la puissance de calcul nécessaire à un Metasploit ou un Aircrack autonome.

3 - Vulnérabilité MHTML dans Windows
Le blog du MSRC (cellule sécurité de Microsoft) signale, au fil d’un billet, d’une mesure de contournement et d’un bulletin d’alerte, l’existence d’une faille MHTML pouvant faire l’objet d’une attaque en cross-site scripting. Secunia précise que le niveau de dangerosité n’est pas particulièrement élevé, mais que le défaut a fait l’objet d’une publication en Chine. Le problème semble affecter toutes les éditions encore maintenues par Microsoft, de Windows XP à 2008R2/64, édition Itanium comprise.

4 - Le coût de la conformité : 3,5 M$ par entreprise
L’Institut Ponemon, commandité par la société Tripwire, a réalisé et publié une étude sur les coûts réels de mise en conformité des grandes entreprises aux Etats-Unis (160 sociétés prises en compte, dont 46 de taille internationale). Les résultats de cette consultation laissent apparaître que le coût moyen des PCI-DSS, SarbOx, Hipaa et autres pèserait aux environs de 3,5 millions de dollars, à comparer aux 9,4 millions de dollars que coûteraient les conséquences d’une non-conformité. Un coût qui serait très nettement sous-évalué estiment les enquêteurs du Ponemon, alors que bon nombre d’entreprises accordent des lignes budgétaires rognées aux postes chargés de ces normalisations. Certes, chaque dollar dépensé dans ce domaine n’améliore pas systématiquement le niveau de sécurité des entreprises, reconnaît le rapporteur de l’étude, mais, précise-t-il, cette mise en application a des conséquences systémiques qui tendent de toute façon vers une amélioration générale de la situation.

5 - Fuite d’information, la faute aux journalistes
L’Amérique serait-elle sur le point d’avoir son « affaire Kitetoa » ? Il semble en tous cas qu’elle en prenne partiellement le chemin. Plentyoffish est un site de rencontre entre adultes. Réputé semble-t-il, puisqu’une faille de sécurité de ses installations informatiques a exposé les crédences de quelques 30 millions d’inscrits. A l’origine de la découverte de cette faille Chris Russo, un chercheur Argentin, qui prouve la chose au journaliste Brian Krebs grâce à une petite démonstration sur un compte temporaire. Il apparaît immédiatement que la base de mots de passe est stockée « en clair » sur les serveurs vulnérables. Krebs prévient alors les responsables du site, qui ignorent dans un premier temps ses avertissements. Puis, par le truchement d’un « blog-d’entreprise-qui-n’engage-pas-l’opinion-des-autres-dirigeants », le fondateur de Plentyoffish crie au scandale en accusant l’inventeur de la faille de tentative d’extorsion et Brian Krebs de complicité. Propos sur lesquels l’intéressé s’est rétracté depuis, mais qui sont assez symptomatiques du syndrome de l’image de marque subi par des chefs d’entreprise ne comprenant rien au monde de la sécurité informatique : le messager est nécessairement aussi coupable que l’auteur du hack, et toute personne prévenant d’une faille est ipso facto un pirate animé de mauvaises intentions.

Il y a là de notables différences techniques avec l’affaire Kitetoa, mais le fond est tout à fait analogue : il est plus facile de poursuivre un organe de presse situé dans le même espace juridictionnel que la « victime » d’un défaut de sécurité que de se retourner contre d’éventuels attaquants vivant dans un pays étranger, ou même que de corriger la politique de sécurité du système. Cet argument du « coût induit de la mise à niveau des infrastructures » avait d’ailleurs été invoqué lors du procès New York Times contre Adrian Lamo : le montant des investissements nécessaires à la consolidation des défenses périmétriques avait été imputé aux « dégâts provoqués par l’intrusion ». Les pourfendeurs de la Sécurité par l’Obscurantisme apprécieront.

Brian Krebs a la chance d’être un journaliste réputé, que l’on peut difficilement accuser de complicité avec quelque organisme que ce soit. Sa réputation d’ancien ténor du Washington Post, ses titres de gloire, dont notamment la chute de l’hébergeur véreux McColo, ont dû immédiatement faire réagir les avocats de Plentyoffish et inciter le fondateur du site de rencontre à se montrer un peu moins virulent. Cela aurait-il été le cas envers un gratte-papier de la Gazette de Daisy-Town ou de l’Indépendant d’Albuquerque ? Contre le chercheur Argentin, en revanche, la hargne, la rogne, la grogne de ce spécialiste de l’entremise industrielle n’ont pas diminué d’un iota. « La faille a immédiatement été corrigée et les mots de passe des abonnés réinitialisés » explique-t-il. Reste que ladite base de données des mots de passe, comme le faisait justement remarquer Chris Russo, était dépourvue de tout chiffrement et l’est probablement encore.

Cette déplorable succession de propos expéditifs et de prises de positions dogmatiques a éveillé la verve de Lenny Zeltser, du Sans, et l’a poussé à écrire un billet intitulé « comment ne pas répondre à un incident de sécurité ». Y sont décrites par le menu les fautes de jugement et d’action commises par les responsables de PlentyofFish, qui, à ce train-là, pourrait bien devenir un cas d’école ou un exemple caricatural qui ira rejoindre le panthéon des « ratages » de sécurité, entre le bug de l’an 2000, l’affaire CardSystems ou la déjà mentionnée affaire Kitetoa.