orwellian_eye

Un souci dans l’énoncé ?

orwellian_eyeIl y a quelques jours, je « twittais » ceci avec une certaine malice (cf. ci-dessous). L’actualité PRISM, en écho aux accents français cyber guerriers de tous les colloques de ces derniers mois, avec un zeste de déclarations publiques d’appel au « cloud souverain », cumulés avec une expérience en pratique au sein d’une institution, et mes souvenirs de l’article de Manach… Tous ces éléments me font dire qu’il y a foutage de canard.

Il y a quelques temps, j’ai eu l’occasion de voir comment cela se passait dans une administration « ordinaire » dans ses relations électroniques avec des prestataires extérieurs. Il s’agissait ici d’un service de communication, appelé donc à transmettre des pièces-jointes volumineuses (ou à en recevoir) auprès de leurs prestataires (imprimeurs, entités subordonnées ou hiérarchiques délocalisées, infographistes ou publicitaires extérieurs, etc.). Les fonctionnaires n’ont la main sur aucun élément de configuration de leurs réseaux, messageries et espaces de stockage, systèmes et environnement, le tout étant maitrisé par une entité distante dédiée, suivant, je l’imagine, les strictes règles édictées de l’ANSSI. Ainsi, faute de pouvoir converser et échanger des pièces avec leurs prestataires, ou en raison de la taille trop volumineuse des pièces ou de la nature des fichiers qui ne passent pas par les filtres édictés, les agents se sont créés des adresses mail semi-professionnelles sur des plateformes webmail à caractère privé (gmail, yahoo, hotmail, etc.). Les pièces sont ainsi stockées en ligne, qui via google, skydrive, amazon, dropbox sur une machine internet, utilisent des services de transferts de fichiers (type « wetransfer.com » ou autres) et communiquent à leurs contacts extérieurs leurs adresses semi-professionnelles. Il va sans dire que le transfert des pièces des machines isolées (intranet) aux machines connectées à la Matrice se passe au mieux par messagerie –professionnelle vers semi-professionnelle (lorsque c’est uniquement le format des fichiers qui bloquaient les transferts), au pire par clé USB –personnelle- d’un poste à l’autre lorsque c’était le volume des données qui engendrait le blocage, avec la réciprocité des transferts que cela sous-entend.

D’une part, on connait la vulnérabilité de nombreuses plateformes webmail, surtout due à l’insuffisance de précaution de leurs utilisateurs (question secrète, double authentification, réinitialisation des mots de passe, etc.), parfois due à la configuration technique de la plateforme même du service. On connait également l’absence de confidentialité de ces plateformes, par des agents privés dans un cadre Marketing et publicitaire, ou des agents institutionnels, PRISM nous le rappelle encore pour ceux qui s’obstinaient à en douter. A ce propos, il est amusant de noter qu’il y a plusieurs années, à l’énoncé de cette réalité d’absence de confidentialité nos « experts » criaient halte à la théorie du complot et des paranos. A présent qu’un Snowden a donné quelques documents, ces mêmes « experts » nous disent que c’était su de tous et qu’il n’y a là rien de nouveau, tandis que la presse et certains politiques redécouvrent l’ « ordre des choses » alors que c’était clamé par beaucoup depuis tant d’années. Que d’énergie gâchée à contredire une réalité au lieu de s’y adapter et de former les personnels…

D’autre part, l’immense majorité des systèmes de nos administrations et institutions étant du Windows (l’actualité du « Pack Open Bar Microsoft » dans la Défense est encore fraiche à nos oreilles et on attend toujours les réponses aux questions de l’Assemblée Nationale), les mises à jour étant centralisées chez de supers administrateurs délocalisés, l’absence criante de celles essentielles (systèmes windows, patch correctifs d’applications tierces) est manifeste. J’imagine que les correctifs n’ayant pas été audités, ils ne sont pas appliqués, l’urgence étant moindre du fait supposé d’absence de porosité entre ces réseaux « intra » et la Matrice. Rien n’est moins faux finalement. Par-dessus, de nombreux outils de publication (CMS) de diverses plateformes institutionnelles à vocation de communication à destination du grand public sont indiscrets par défaut, voire vulnérable via l’implémentation de technologies tierces non maitrisées. Enfin, les utilisateurs sur les machines institutionnelles ne peuvent –pour ceux sensibilisés- envisager de technologies de chiffrement autres que celles supportées par les administrateurs et allouées qu’au compte-goutte aux seuls individus dont la fonction exige un chiffrement des données. Que dire de simples applications Windows comme un KeyPass interdites sur les postes au prétexte qu’elles ne sont pas dans le « catalogue » induisant de fait une simplification des trop nombreux mots de passe à générer et retenir pour le fonctionnaire ? Qui a déjà vu un fonctionnaire  non spécialisé échanger une clé PGP professionnelle ?

Monsieur Pailloux recommandait il y a peu de revenir aux fondamentaux, aux règles de bonne hygiène informatique. Il y a pourtant manifestement une dichotomie entre ce qu’il leur est possible de faire et ce qu’il leur est demandé de faire, quel que soit le ministère. Les utilisateurs s’adaptent comme ils peuvent à l’objectif assigné, introduisant de fait des vulnérabilités. Nul doute ici que plutôt d’envisager de corriger les CMS indiscrets, d’auditer par les services spécialisés les insertions d’entreprises tierces sur ces mêmes CMS  ou les éventuelles applications open source utiles au tout venant, d’allouer des espaces de stockage à la dimension des objectifs assignés aux missions des uns et des autres, et d’affiner les règles de messagerie, le bridage des fonctionnalités disponibles sera encore plus important- induisant une adaptation encore plus dangereuse des agents- au nom de l’économie de moyens.

« Alors que le Pentagone se prépare sérieusement à la “cyber-guerre“, tout comme la gendarmerie française, il est frappant de constater des failles béantes dans la sécurité des administrations nationales. Le gouvernement dépense des dizaines de millier d’euros pour assurer la sécurité de ses communications privées (voir chez Thales, par exemple). L’utilité de ces défenses est sérieusement diminuée si un assaillant peut avoir accès à de nombreuses boîtes e-mails au sein de l’administration », 2010 Jean-March Manach.

Combien aujourd’hui ? Une simple recherche via les moteurs grands publics retourne une quantité impressionnante de résultats. JM. Manach n’évoquait dans son article que les accès frauduleux, par filouterie essentiellement d’individualités. Il n’abordait pas dans son article le cas basique de l’intelligence économique entre états (qu’est PRISM sous couvert de lutte antiterroriste ?).

Bref, on marche sur la tête et il y a du taf. Le canard a quelques pigeons à élever et vous suggère d’en faire autant… Je me doute qu’il y a des choses qui m’échappent, et que l’exemple vécu ne saurait avoir valeur de généralités. Pour autant, les bonnes pratiques ne commencent-elles pas par l’ajustement des moyens techniques aux objectifs assignés, plutôt qu’à hypocritement les ignorer ? Ou alors ne faut-il pas revoir à la baisse les objectifs ?

 

Crédit photo FlickR Orwellian eye de Gaellery sous CC.

Télécharger le Billet au format PDF.

Publié par

Gof

Canard boiteux numérique ; juste intéressé, juste passionné.

3 réflexions au sujet de « Un souci dans l’énoncé ? »

  1. Je te trouve très « politiquement correct » sur ce coup de bec. Pourquoi ne pas appeler un chat un chat tout simplement.
    User du terme de « intelligence économique » est beaucoup moins parlant que « espionnage industriel ». Combien de gens savent par exemple que windows (depuis XP déjà) est l’un des meilleurs moyens d’accéder à des informations de type « user only » ? Avant même la sortie des différents item, la NSA a déjà fourré ses gros doigts dedans et je présume aussi qu’avant toute sortie de patch correctif, il en ira de même. Si seulement nos administrations voulaient bien prendre conscience de cela, et enfin passer sur des distributions Linux, ce serait une bonne initiative. Et dixit le lobby sur ce sujet sensible.
    Mais même si effectivement ça se faisait maintenant, il y a déjà la parade via « Intel Insider ». Je suppose donc qu’il va falloir passer sur des processeurs AMD, en attendant d’avoir nos propres modèles made in france.

    Il serait intéressant de savoir combien de postes de travail sont sous la responsabilité de notre administration. Si ça se trouve, ce pourrait très bien être le moment de filer quelques milliards à StMicroElectronics et pourvoir à nos propres besoins.

    Tu peux relayer ce message à notre première bonne ministre, Mme Fleur Pellerin ? Tu dois avoir ça dans un « coin » de ton disque dur…

  2. Salut Jok,

    Les spécialistes en ont conscience manifestement, mais ont mesuré le risque et ont tranché. Cela ne semble pas les inquiéter plus que cela. En parcourant les actes du colloque cyberdéfense au Sénat, et la plus récente audition de l’officier responsable de la cyberdéfense FR (hasard du calendrier, après les échos de l’affaire Snowden et du Pack Open bar Microsoft, PcInpact avait d’ailleurs commenté cette audition), je lis plusieurs choses :

    M. Guillaume POUPARD (ingénieur en chef, responsable du pôle de sécurité des systèmes d’information à la DGA) :

    « Donc tout l’enjeu dans le « faire-faire »(…) c’est d’être capable en utilisant des briques développées en France mais également des briques qui ne sont pas développées en France, même quand on fait un outil aussi complexe qu’un sous-marin, et bien on refait pas un système d’exploitation, on en est plus capable, ce n’est même pas la peine d’y rêver, on ne refait plus de microprocesseurs, donc y a des tas de briques que l’on va devoir prendre sur l’étagère, et puis il y a d’autres briques qu’on va développer avec nos partenaires de confiance industriels, que l’on va parfois développer en interne. Et tout l’enjeu pour nous c’est d’être capable, par un travail d’architecture, de faire en sorte que le système global, au final, soit sûr, même si peut-être que chaque élément, pris séparément, ne l’est pas forcément totalement. »

    Contre-amiral Arnaud Coustillière, officier général en charge de la cyberdéfense à l’état-major des armées :

    « En ce qui concerne la prévention, les grands éditeurs de logiciels, dont les produits ont tendance à devenir des normes, ne sont pas forcément moins bons en matière de sécurité de leurs produits que les développeurs de logiciels libres. Ils ont en effet tout intérêt à faire évoluer leur produit commercial et à en assurer la fiabilité dans la durée. Inversement, le logiciel libre est développé par une communauté, parfois à géométrie variable. (…) Le ministère de la Défense a fait le choix d’un accord-cadre avec Microsoft, ce qui, de mon point de vue, ne présente pas un risque de sécurité supérieur par rapport à l’utilisation de logiciels libres. Dans ce dernier cas, il aurait fallu développer une capacité forte de suivi et de contrôle pour se garantir effectivement contre les risques éventuels. En la matière, il convient d’adopter une approche mesurée et pragmatique, tenant compte à la fois du coût, des risques et de contraintes opérationnelles, dont notamment le lien avec l’OTAN. On peut en outre constater que ce débat sur les logiciels libres a permis d’engager une baisse tendancielle des prix pratiqués par les grands éditeurs de logiciels et, parallèlement, à une décroissance du recours aux logiciels libres. (…) Ces éléments ne doivent pas être interprétés comme l’expression d’une forme de naïveté. Les risques de sécurité sont de plusieurs ordres. Évidents en cas de réseau connecté directement sur Internet, ils sont davantage mesurés lorsque des passerelles filtrées sont mises en œuvre »

    Commandant Hervé Mermod, chef du centre d’analyse en lutte informatique défensive du ministère de la Défense (CALID) :

    « Pour essayer de compléter les propos de l’amiral, je dirais que les matériels sont aujourd’hui également concernés par les attaques informatiques et l’enjeu se situe davantage sur ce point que dans la maîtrise des codes sources. Les risques se situent dans les nombreux périphériques de systèmes d’information globaux dont le logiciel ne constitue qu’une brique. D’où la politique menée par la DGA et visant à développer des équipements de confiance nationaux en périphérie permettant de maîtriser les risques relevant des systèmes et matériels »

    Je retiens plusieurs choses :

    – on n’a pas les moyens (humains, financiers, techniques ?) de développer et maintenir un système d’exploitation complet
    – on n’a pas les moyens (humains, financiers, techniques ?) de développer et maintenir du matériel français, (sauf cas très particuliers relevant de la défense, l’effort de production se portant sur quelques matériels périphériques sensibles)
    – tout l’enjeu est d’imbriquer des technologies et des ressources diverses de la façon la plus hermétique possible en fonction des besoins
    – le libre n’est pas fiable, n’est pas OTAN-friendly, et ne sert qu’à faire baisser le prix

    Voila voila… La messe est dite comme ont dit :°

    A noter que la position de la Gendarmerie -et malgré la circulaire du PM allouée- me semble difficilement tenable à moyen terme.

Les commentaires sont fermés.