Spécial sécurité : Obama CyberTzar, la fin des marchés d’Etat ?

Sommaire
- 1 - Navigateurs : fluctuat nec mergitur
- 2 - Adobe Propaganda
- 3 - Quand l’Administration US perd la mémoire
- 4 - Obama CyberTzar : la fin des marchés d’Etat ?


Navigateurs : fluctuat nec mergitur
Battus par les flots, ils ne coulent pas. Certains, pourtant, changent de navire, par mesure de précaution. Ainsi, à MoFo, l’on rappelle qu’après la série de correctifs récemment publiés (voir article précédent ), Firefox 2.x serait retiré de la scène. Cette transition, encore peu médiatisée, risque de poser un problème de sécurité certain, tant dans le secteur grand public que professionnel.

Au fait, l’on allait presque oublier de préciser… que la rustine MS08-078 a été publiée et que la presse, comme un seul homme, commente la publication de ce dernier « out of band ». Quelques experts y vont également de leur écho, tel le Sans, froid et distant, l’Avert Lab qui démonte pièce après pièce une autre méthode d’exploitation, F-Secure qui adopte un style « AFP », succinct au possible, et Thierry Zoller, qui prend un malin plaisir à améliorer la présentation de son observatoire de la rapidité des éditeurs d’antivirus...   Lorsque la courbe atteindra la cote 38, 100 % des antivirus seront capables de contrer le Zero Day d’Internet Explorer »… plus d’une semaine après la divulgation de cette faille, la courbe atteint péniblement le niveau 15.

Firefox… c’est fait. Internet Explorer, traité. Safari ? on en a déjà parlé en début de semaine. Reste… Opera, qui, lui aussi, fait l’objet d’une mise à niveau, matricule 9.63, m’n’adjudant. Une édition qui ferme la porte à bon nombre de menaces, dont quelques injections de scripts et autres exécutions à distance. Bref, dans tous les cas, on télécharge, on teste (vite !), on déploie. Repos ! Vous pouvez fumer.

Adobe Propaganda
A l’heure actuelle, la proportion d’exploits visant des programmes « non Microsoft » tend à croître de manière exponentielle. Dame, depuis l’invention du Patch Tuesday, il devient de plus en plus difficile de trouver une faille qui offre un véritable retour sur investissement. Avant que les « scanners gratuits de vulnérabilités » et autres programmes de prévention généralistes ne se banalisent et viennent empoisonner la vie des auteurs de malwares, l’on assiste à une véritable mode du « PoC exogène ». Du bug Java au trou Acrobat Reader, du défaut Winzip à l’instabilité FlashPlayer, il n’est de bon exploit qui n’est pas Microsoft. Parmi les préférés du genre, Adobe a connu, ces derniers mois, un succès d’estime quasi mondial : un produit fiable, réservant chaque semaine une faille d’autant plus intéressante que très peu d’utilisateurs pensent à effectuer les mises à niveau. Précisons également qu’il existe des milliards de vieux « readers » de fichiers pdf, tapis dans les recoins d’un antique CD-Rom de démonstration, camouflés au détour d’un « readme » lié à une procédure d’installation.

Pour améliorer la situation, l’équipe sécurité de l’éditeur «  promet d’être plus réactive que par le passé, plus communicante, plus… » rapide, surtout. Pour que des failles connues ne se transforment pas derechef en vecteurs d’infection ou d’espionnage. Première preuve de cette volonté d’information et de transparence, le Blog Asset, pour Adobe Secure Software Engineering Team. Bourré de bonnes intentions… mais peut-être truffé de détails diaboliques. Une lecture attentive montre que certains passages nécessitent une interprétation du droit canon digne des querelles du Concile de Nicée. Et notamment ce court passage mentionnant cette attention portée aux travaux des chercheurs en sécurité qui se conforment aux «  standards de l’Industrie en matière de divulgation » (sic). Ca commence bien : un « standard » autoproclamé, voilà une preuve indiscutable de libéralisme éclairé, digne de la tolérance prônée par le Siècle des Lumières. Rappelons -les chercheurs d’Elcomsoft en ont fait la dure expérience- qu’Adobe était jusqu’à présent plus prompt à dégainer les avocats que les compilateurs, les affidavits expédiés aux agents du FBI que les bulletins d’alerte. Peut-on chasser le naturel en galopant sur un Blog ?

Quand l’Administration US perd la mémoire
DataLoss.db, l’observatoire des fuites de données et d’identités purement États-Unien, vient d’ouvrir une nouvelle boîte de pandore : les pertes de fichiers survenues dans les administrations d’Etats. Pertes généralement passées sous silence, et connues de quelques rares fonctionnaires. C’est grâce au travail de fourmis de Chris Walsh et à l’invocation du FOIA (Freedom of Information Act) que l’équipe de Dataloss compte alimenter régulièrement cette nouvelle rubrique. Généralement focalisée sur les erreurs commises dans le secteur privé, la presse américaine ne mentionne qu’exceptionnellement ce genre de problème de sécurité. En France, fort heureusement, ce genre d’accident n’arrive jamais …

Obama CyberTzar : la fin des marchés d’Etat ?
Dans un rapport de 90 pages intitulé «  Sécuriser le CyberEspace, [rapport]pour la 44ème Présidence », le CSIS Center for Strategic and International Studies tire une sonnette d’alarme : les USA ont, en matière de défense des Technologies de l’Information et des Communications, pris un retard considérable. C’est là l’un «  des problèmes les plus urgents auquel doit faire face l’Administration qui prendra ses fonctions en janvier 2009. C’est, à l’instar de l’histoire d’Ultra et Enigma, une guerre de l’ombre. Et c’est une guerre que nous sommes en train de perdre ». Le ton est donné. Il faut, conseille le CSIS, que l’Administration Obama fasse des efforts dans les domaines suivants :

Une stratégie de défense du cyber-espace cohérente
Une direction monocéphale, pilotée directement par la Maison Blanche
Une nouvelle approche des partenariats public-privé
Un cadre législatif précis
Une politique de gestion des identités
Une modernisation des moyens d’action
Une politique d’achats de matériel reposant sur une sécurité normée
Des efforts dans les secteurs de la formation, de la recherche, et de la consolidation des connaissances, afin de détenir le leadership dans le domaine de la sécurité du cyberespace
Une conservation et une réutilisation des acquis déjà forgés par l’Administration Bush.

Il est intéressant de noter, malgré une très nette sourdine placée sur ces propos, que le CSIS accuse directement les « orientations » observées jusqu’à présent dans la sécurisation des infrastructures d’Etat. Des orientations biaisées par les dérives des principaux vendeurs de sécurité ayant décroché des marchés fédéraux ou auprès des administrations locales. Parmi les solutions, une approche « originale » pour un pays libéral : une « acquisition » de ressources ou d’entreprises pour que les corps constitués (armée, police, finance etc ) ne bataillent pas pour configurer leurs propres réseaux, leurs infrastructures. La politique de sous-traitance à des entreprises civiles est considérée comme dispendieuse. Nationalisation ou « in-sourcing » (P.55), voilà qui tranche nettement avec la vision conservatrice en usage jusqu’à présent. Serait-ce un écho à l’actuelle politique interventionniste qui consiste à aider les banques ou les constructeurs automobiles en difficulté ?

Un peu préoccupante, en revanche, cette tentative de « technicisation » du rapport et des conseils apportés. Trois pages après ces propos anti-outsourcing, voilà que les rapporteurs rappellent les principales plaies du système Internet : une DNS fragile, des routages compromis par les failles BGP… est-ce bien le rôle de chargés de mission d’aller aussi loin dans le détail ? Et de tels conseils ne risquent-ils pas de focaliser l’administration Obama sur ces seuls points en particulier, négligeant d’autres problèmes structurels tout aussi importants ?

Mais le point le plus épineux reste la question de la politique de gestion des identités. Cette volonté d’imposer un « national ID », une carte d’identité fédérale, associée à une énorme base de données informatique détenue par l’administration, revient une fois de plus sur le tapis. Rappelons qu’il n’existe pas de tel document aux USA, et que les preuves d’identité se limitent bien souvent au « picture ID » d’un permis de conduire, obtenu en moins d’une heure au premier bureau d’un DMV de province. Mais plus qu’une carte d’identité, les experts du CSIS réclament à cors et à cris un système d’authentification numérique lié à cette identité informatique. Une preuve certifiée qui servirait de garantie dans tous les actes de la vie quotidienne, tant administratifs que financiers. Cette idée remonte à la haute époque du « tout numérique », lorsque Bill Gates vantait les mérites de son Microsoft Passport, qu’Eric Schmidt, alors patron de Novell, poussait l’idée d’un standard unifié baptisé Digital Me et que le Liberty Alliance se prétendait seul détenteur d’une cybervérité certificatrice, identitaire et fédératrice. Le temps qui s’est écoulé depuis n’a pourtant pas supprimé les risques de failles et les problèmes techniques qui permettraient des exploitations encore plus phénoménales que ce que l’on connait à l’heure actuelle.

Comment l’Equipe Obama saura-t-elle interpréter ce message ? La tentation du pouvoir absolu et de ses accessoires (tel les écoutes téléphoniques « antiterroristes » votées et approuvées notamment par le Sénateur Obama) fera-t-elle succomber le clan des Démocrates ? Peut-on, à ces niveaux de pouvoir, parler de sécurité des infrastructures sans dériver insensiblement vers un renforcement des appareils policiers et une restriction croissante des libertés individuelles ? Pour l’heure, le nouveau candidat achève son travail de redistribution des postes clefs, en nommant une pléiade de gens choisis en fonction de leur intelligence et de leur compétence plutôt qu’en raison d’une appartenance partisane. Ces grands commis de l’Etat devront assumer les espoirs que « Monsieur 44 » leur porte, sans que des querelles d’ego ne viennent fausser leurs décisions.