Patrick Legand

Une vision plutôt mitigée de la sécurité de Vista

Patrick Legand — Tue, 10 Apr 2007 21:23:00 +0200

N'en déplaise à la bien pensance ambiante, sans en être un fervent partisan, je n'ai jamais été non plus un farouche détracteur de Microsoft. Pour avoir passé plusieurs années à développer des logiciels, j'ai assisté à des naufrages absolument fabuleux, où des société industrielles, pourtant réputées, tentées par l'expérience décoiffante des grands projets informatiques, finissaient sérieusement déplumées (non, non, tout n'était pas ma faute!). Les plus réactives finissaient par jeter l'éponge au bout de quatre ans de travaux. Les autres...

En dépit des critiques à répétition des utilisateurs, force est de reconnaître l'immense talent des développeurs de la firme de Redmond, capables de mener à terme des programmes de plusieurs millions de lignes, auquel on peut visiblement ajouter celui de leurs dirigeants (qui ont manifestement montré qu'il existait une troisième voie, autre que celles pratiquées par certains de nos managers informatiques chevronnés : l'étouffement financier, d’abord, le nihilisme, ensuite. Parfois les deux tout de suite).

C'est pourquoi, lorsque je me suis penché sur l'écriture du chapitre 10 de "Sécuriser enfin son PC", dédié à la sécurité de Vista, j'étais loin d'imaginer tailler un tel costume au Windows nouveau. Au cours de cette rapide analyse, que j'ai souhaitée aussi objective et factuelle que possible, je n'ai pas arrêté d'accumuler réserves, critiques et franches désapprobations, pour finir scandalisé par l'attitude d'un éditeur dont l'objectif de plus en plus affirmé est d’encadrer et de surveiller l'activité de l'utilisateur à distance .

En deux mots, Microsoft a consenti sur Vista un effort important à propos de la sécurité ; malheureusement, celle-ci profitera essentiellement aux éditeurs (Microsoft en tête), aux fournisseurs de contenu, et très peu à l'utilisateur.

Pour troubler – juste un peu – l’allégresse bleue pastel du discours marketing autour de Vista, vous trouverez sur ce lien le chapitre 10 de "Sécuriser enfin son PC" (disponible aussi sur le site d'Eyrolles à cette adresse), de menues explications montrant que la sécu de Vista fait froid dans le dos et que notre cher Bill, sur ce coup là, ne se montre pas sous son meilleur jour.

Bon Linux!

La crypto sans douleur

Patrick Legand — Mon, 05 Mar 2007 21:55:00 +0100

Pour mieux comprendre la cryptologie et les mystères qui l’entourent (clefs publiques, signatures électroniques et autres interjections barbares), j’avais mis en ligne sur ce blog deux documents explicatifs, un rien baroques dans la forme, mais d’ambition pédagogique (vous les trouverez ici et là. Les aventuriers de l’extrême trouveront d’ailleurs une description tout aussi baroque mais plus détaillée aux chapitres 6, 8, 9 et dans l’annexe A de « Sécuriser enfin son PC »).

Cependant, en matière de crypto, toute littérature est imbuvable et rien n’est plus parlant que sa propre expérimentation ; surtout si cela devient un jeu. A cet effet, j’avais développé il y a quelques mois, pour m’amuser, quelques routines Visual Basic sensées simuler le fonctionnement d’algorithmes de crypto parmi les plus utilisés à l’heure actuelle. L’objectif étant d’offrir au néophyte un moyen d’entrer dans la danse, en douceur, très simplement et sans compétence préalable. Figurent dans cette liste :

L’algorithme RSA : comment élaborer une clef publique et une clef privée RSA, comment chiffrer une information et s’échanger des messages chiffrés entre amis avec RSA
Le protocole Diffie-Hellman, qui permet à deux interlocuteurs qui ne se connaissent pas d’élaborer une clef secrète commune, en s’échangeant uniquement des données publiques.

Vous trouverez les fichiers Excel correspondants sur ce site, ainsi que quelques outils supplémentaires pour vos jeux (chiffre de César, chiffres par substitution, etc…). Oui, d’accord… c’est beaucoup moins attractif que la dernière version d’Harry Potter sur PSP. Mais bon… comme dirait sûrement Jamy, la crypto c’est pas sorcier.

Ah ! j’oubliais… Ces implémentations hautement artisanales et franchement décalées ont de quoi faire rigoler cryptologues et informaticiens. Je veux dire les vrais, les pros, ceux qui causent le couramment…Mais que voulez-vous ! Ici c’est pour comprendre ; c’est à la bonne franquette ; juste un amusement pour les « petits débrouillards ». Bon divertissement !

Clac Claac Clak Klaak KlacBom... secrets divulgués

Patrick Legand — Wed, 07 Feb 2007 23:06:00 +0100

Quels farceurs ces pirates !! On a beau dire qu'en matière de piratage l'innovation a comme seule limite l'imagination de l'individu, on reste sans voix face à des trouvailles ahurissantes !

Dans les films d'espionnage, peu d'entre nous ont manqué la scène de l'agent secret reconstituant mentalement un numéro de téléphone, en analysant simplement les sons émis par les rotations successives du cadran téléphonique.

Que diriez d'une méthode consistant à voler un mot de passe en écoutant le bruit des touches frappées sur le clavier ? Délirant, n'est-ce pas ? Irréaliste, me direz-vous ?... Justement, c'est en admettant que l'adversaire parviendra à mettre au point des techniques impensables que l'on commence à entrevoir comment concevoir les architectures sécurisées.

Avant d'écarter toute possibilité, réfléchissons un peu... Tout d'abord, il est évident que la « barre d'espace » émet un son reconnaissable, nous l'avons tous constaté, il suffit d'entendre quelqu'un pianoter sur son ordinateur. À la rigueur, cela est vrai aussi pour la touche « Retour chariot ». Voyez comme nous progressons... D'accord, nous ne sommes pas encore très avancés, car il faut reconnaître que les fluctuations sonores entre un « P », un « C » ou un « 2 », si elles existent, sont à première vue beaucoup moins probantes. Toutefois, tendez un peu l'oreille et faites l'expérience : vous percevrez des différences, légères, soit, mais incontestables. En effet, il n'y a aucune raison que toutes les touches émettent rigoureusement le même son : elles ne sont pas situées au même endroit sur le clavier, les doigts de l'utilisateur ne frappent pas toutes les touches avec le même élan, il faut compter avec les écarts de tolérance, même infinitésimaux, dus à la fabrication et au montage du clavier... non, non, il y a des disparités, c'est indiscutable.

Seulement, rétorquerez-vous à juste titre, il faut tout de même avoir l'oreille fine et passablement exercée avant de pouvoir exploiter ces infimes subtilités ; ce n'est pas donné à toute le monde !

Certes, certes... Cependant, n'oublions pas que dans le domaine qui nous intéresse (le piratage), nous avons affaire à des informaticiens ; et les informaticiens se distinguent généralement par cette compulsive et exaspérante manie de faire appel à une technique qui, finalement, s'avère d'une certaine utilité lorsqu'il s'agit de faire des gros calculs : l'informatique. Et là, il faut reconnaître que les logiciels font aujourd'hui des merveilles en matière de reconnaissance vocale. Parlez, ils écrivent ; ordonnez, ils exécutent... Bientôt, ils vont vous répondre. Alors vous pensez, effectuer l'analyse spectrale d'un son aussi banal que celui d'une touche de clavier d'ordinateur, fastoche !

Bien sûr, on peut toujours objecter que chaque clavier a sa propre résonance ; que ses caractéristiques acoustiques sont elles-mêmes « modulées » en fonction de la personne qui saisit le texte ; que pour espérer voir fonctionner un jour un tel concept, il faudrait en théorie mémoriser des milliers de « profils spectraux » qui modéliseraient les comportements de la majorité des couples utilisateur / clavier rencontrés de part le monde.... Pensez donc ! Laissons cela aux fadas de méthodologies, de processus et autres doux rêveurs. Concentrons nous plutôt sur les formidables capacités d'apprentissage des logiciels : à la première mise en route, il ne savent rien de vous ni de votre clavier, mais au bout d'une dizaine de minutes, plus de 90% des caractères saisis sont identifiés !

Comment font-ils ? Tenez, un exemple simpliste basé sur notre antique analyse des fréquences (relire à ce sujet le papier sur l'histoire de la cryptologie sur ce même blog) : le son le plus souvent perçu correspondrait probablement à la lettre la plus souvent rencontrée dans la langue française ; à savoir le « E ». Ensuite viendraient le « A », puis le « I », etc. etc.

Mais à quoi bon s'embarrasser avec des techniques aussi désuètes à l'heure où des méthodes bien plus puissantes, comme l'analyse orthographique et la correction grammaticale, fournissent de précieux renseignements ? Avec un tel arsenal, le logiciel espion sait bientôt retrouver chaque caractère saisi et percer ainsi vos secrets les plus inavouables ! (attention à ce que vous écrivez...).

Ah ! J'oubliais... Il reste le problème du micro. Car il faut bien capter tous ces sons avant de les enregistrer et de les analyser. Là encore, je crains bien de plonger un peu plus dans la sinistrose. Point n'est besoin de dépêcher sur place les agents du Watergate. Chaque ordinateur dispose maintenant de son micro intégré, pourquoi diantre s'embêter ? Il suffit de programmer dans le logiciel une petite routine chargée d'activer le micro en douce, de rediriger sa sortie vers le module d'analyse, et le tour est joué !

... ou presque. Car maintenant, pour épier réellement un utilisateur, encore faut-il installer clandestinement sur son poste le petit logiciel espion, muni de toutes les fonctionnalités que nous venons de décrire. Mais est-ce vraiment besoin d'épiloguer sur ce point ? Si vous avez lu « Sécuriser enfin son PC », ainsi que d'autres billets présents sur ce même blog, vous devriez maintenant savoir qu'un pirate motivé a sous la main des dizaines de techniques pour y parvenir ; la chose est inéluctable !...

Franchement, que faire face à tant d'ingéniosité ? Si, au moins une chose : donner un grand coup de chapeau aux chercheurs de l'université californienne de Berkeley ; il fallait y penser, ils l'ont fait et ont démontré que la méthode marchait. Bravo chers adversaires ! Cela ressemblerait presque à un coup de maître, n'est-il pas ?

Eh oui !... c'est un peu la dure facette du métier de consultant en sécurité : finir par croire (un peu) en sa compétence et se retrouver invariablement Grosjean comme devant. Tout cela à cause de petits astucieux qui vous fabriquent des inventions auxquelles même Tom Cruise, dans Mission Impossible : 18, n'osera même pas penser, et qui orchestrent avec élégance et simplicité la déconfiture de la sécurité de votre système. Warfff!!!!! j'ai presque envie d'en rire... de partir en vacances... ou bien d'aller raccrocher mon tablier, je ne sais pas... Tenez, allez donc visiter notre site musical, cela vous changera les idées.

Moi je ne sais pas. Je ne sais plus... enfin si j'étais vous, je commencerais peut-être par envisager la carte à puce... on se sait jamais... si ce n'est pas trop tard...

L'antivirus, cet éternel leurré...

Patrick Legand — Sun, 21 Jan 2007 21:36:00 +0100

Allons, bousculons quelques idées reçues. L'antivirus, vous savez ce logiciel magique sur lequel vous reposez toute votre sécurité... Eh bien, oui, vous avez deviné, il a ses limites. De grosses limites, même. Pour comprendre pourquoi vous allez bientôt essuyer une attaque virale, séquence frisson en 8 étapes :

On montre mathématiquement que la détection virale (en particulier la détection de virus inconnus) est un problème impossible à résoudre. Trop complexe.
Un attaquant digne de ce nom est un informaticien de haut niveau. Il connaît donc parfaitement les détails d'implémentation des moteurs d'antivirus, les stratégies qu'ils emploient pour savoir si tel ou tel code est malveillant et, par conséquent, les procédés pour tromper leur vigilance. Il saura donc bâtir à coup sûr, et quand il le voudra, des virus indécelables.
La concurrence fait rage au sein de la communauté antivirale et il est primordial de ménager ses précieux clients. C'est pourquoi les éditeurs ont tendance à privilégier des techniques qui protègent, certes, mais aussi qui pénalisent le moins possible les ressources CPU de l'ordinateur. Malheureusement, cette complaisance nuit parfois à l'efficacité de la protection. Un exemple : lorsqu'ils procèdent à l'analyse d'un fichier, certains antivirus limitent la recherche à des endroits bien précis. Si le code malveillant a la malencontreuse idée de se faire une place à l'intérieur de zones non balayées par le grand Oeil scrutateur, le virus a de beaux jours devant lui.
Les suites logicielles se défaussent sans vergogne sur l'utilisateur. Il n'est pas rare de voir surgir sur son écran une fenêtre porteuse d'un message de ce type : « Le programme 'hz-24Win.exe' tente d'accéder au Registre. Accepter ? Refuser ? ». C'est un comble ! L'antivirus ne sait pas ce qu'il faut faire, comment imaginer que l'utilisateur non informaticien sache à sa place, surtout lorsqu'il est confronté à un tel charabia ? (pour rassurer les âmes en peine, les informaticiens professionnels sont la plupart du temps, eux aussi, complètement largués...). Quand l'urgence est de terminer un travail, la méthode employée en pareil cas est en général toujours la même : cliquer sur « Accepter » et se débarrasser du problème. Bien entendu, lorsque l'exécutable 'hz-24Win.exe' est un code malveillant... Perdu! Les attaquants le savent et jouent là dessus. Cela fait partie de ce que l'on appelle le « Social Engineering », une catégorie d'attaques basées sur l'exploitation de l'ignorance ou de la naïveté de l'individu.
Afin d'optimiser les temps de scan de volumes importants, les fichiers de définition de virus ne contiennent pas toujours les signatures de virus anciens. La machine reste donc vulnérable face à ces menaces ancestrales.
Les utilisateurs, agacés par les temps de latence induits par l'antivirus (souvent dûs à une mauvaise configuration de la part de l'administrateur), désactivent purement et simplement la protection en temps réel, voire finissent par « buter » l'antivirus (ils tuent le process. Effectivement, c'est une manière d'avoir la paix...)
Les antivirus basés exclusivement sur la recherche de signatures (séquences d'octets particulières dont l'existence trahit la présence potentielle de virus) sont incapables de détecter les virus polymorphes (dont la forme évolue avec le temps), chiffrés ou inconnus. Comme par hasard, les concepteurs de malwares misent actuellement de plus en plus sur le polymorphisme. Par ailleurs, si l'antivirus n'est pas à jour (le fichier de définition de virus est ancien), c'est un peu comme s'il n'existait pas (il faut compter avec l'apparition d'environ 50 nouveaux virus par jour !).
En règle générale, les techniques virales évoluent plus vite que les antivirus. À supposer que l'antivirus soit à jour, si le modèle antiviral est obsolète, la machine risque inévitablement l'infection.

Pour le lecteur désireux d'en savoir plus, Éric Filiol, chef du laboratoire de virologie et de cryptologie de l'Ecole Supérieure et d'Application des Transmissions, a publié un excellent article sur le sujet. Vous pouvez le consulter à cette adresse ou une version plus complète dans le magazine MISC (numéro Septembre – Octobre 2005).

Bien entendu, il ne s'agit pas d'établir des conclusions hâtives. Disposer d'un antivirus est primordial en environnement Windows. Toutefois, il convient d'être conscient de ses limites. Une bonne sécurité passe avant tout par un faisceau de mesures. Quelques unes en trois coups de crayon :

Surtout, les bonnes pratiques de l'utilisateur. Cessez donc de cliquer sur tout et n'importe quoi. En entreprise : plus de téléchargement d'utilitaires gratuits non Open Source, plus de peer-to-peer, plus de messagerie instantanée, plus de jeux (oui, je sais... mais croyez moi, ces outils portent vraiment atteinte au bon fonctionnement du réseau, à la confidentialité et à l'intégrité des données).
En entreprise : la sécurité doit faire partie intégrante des processus de management. Désignez un responsable de la sécurité (physique + informatique). Allouez un budget permettant de définir, de déployer et de maintenir une vraie politique de sécurité.
Sensibilisez les utilisateurs aux problèmes de sécurité informatique en général, et à tout ce qui concerne le « Social Engineering ».
Des sauvegardes que diable ! Pensez aux sauvegardes !! Et vérifiez qu'elles sont exploitables !
Un pare-feu matériel de type « Appliance » au point de raccordement avec les réseaux extérieurs. Ce pare-feu doit être doté d'un antivirus performant, de fonctions d'analyse des protocoles applicatifs de haut niveau, de fonctions anti-spam / anti-spyware et de fonctions de mises à jour automatiques par canal sécurisé.
un anti-virus performant sur tous les postes de travail (avec mises à jour automatiques), issu bien entendu d'un deuxième éditeur (si un code réussit à tromper un antivirus, il aura beaucoup de mal à tromper les deux).
Un pare-feu logiciel sur tous les postes de travail, surtout les postes dotés d'une interface avec un réseau sans fil.
Des mots de passe utilisateurs à coucher dehors: « Dz{p0#9r ». Certes, c'est moins sympa que « Caroline », surtout si vous aimez Caroline, mais cela complique singulièrement la tâche des fâcheux passés maîtres dans l'art de deviner les mots de passe.
Tout accès distant à des ressources internes soumis à une authentification forte à l'aide de moyens cryptologiques, à travers un tunnel chiffré de type VPN.

Voilà. Je crois que c'est un bon début...

Photo: Babouk (île de la Réunion). Impressionnante (25 cm avec les pattes), inoffensive (s'accomode parfaitement de la présence de l'homme - ici dans les ustensiles de cuisine pendant 3 jours) et salutaire (se nourrit de moustiques). Une certaine analogie avec la bombe logique: l'écraser ne sert à rien, le sac d'oeufs libère dans ce cas plus d'une centaine de bébés babouk!

Mesures simples contre "espions économiques"

Patrick Legand — Fri, 22 Dec 2006 17:41:00 +0100

Entreprises, prenez-vous réellement les problèmes d’intelligence économique au sérieux ? Monsieur le cadre dirigeant, êtes-vous conscient que votre concurrent est « prêt à tout » pour connaître vos secrets de fabrication, vos moyens de financement, vos actions commerciales en cours ? Il veut votre mort... au moins pour retarder la sienne (c’est une question de survie après tout !).

Vous ne le croyez pas ? D'accord, jetons un regard sur certaines coutumes très en vogue actuellement dans le monde du business.

Tout d'abord, l'espion économique moderne n'a plus grand chose à voir avec l'agent double-07. La belle et légendaire Aston Martin a progressivement cédé du terrain à la plus classique Twingo (eh oui, quand on dit « économique »...). Ensuite, l'irrésistible séducteur au regard félin fait désormais place à des armadas de personnels au chandail solide, passés maîtres dans les techniques de combat contre l'homme armé de l'attaché-case. S'il n'y rien de bien romantique chez ces nouvelles cyber-barbouzes, elles obtiennent néanmoins des masses ahurissantes de données sensibles sur les entreprises, souvent grâce à votre bienveillante complicité.

Voici un rapide aperçu de quelques méthodes bien huilées pour espionner :

Collecter par des moyens légaux le maximum d'informations publiques (requêtes sophistiquées sur Google, utilisation de logiciels spécialisés en intelligence économique...)
Capter de précieuses informations échangées dans des lieux publics
Voler les portables pour accéder aux données sensibles hébergées sur le disque
Intercepter le courrier et les conversations téléphoniques des cadres de l'entreprise
Organiser la récupération des poubelles du concurrent (n'oublions pas le coup d'éclat de Larry Ellison, relaté dans un article mémorable dans Libération : « le nez d'Oracle dans les poubelles de Bill Gates »),
Infiltrer les sociétés de nettoyage et de gardiennage afin de disposer de personnel ayant libre accès à vos locaux
Infiltrer éventuellement le domicile des dirigeants (femme de ménage…)
Mettre en place des stagiaires (chez le concurrent ou chez les sous-traitants du concurrent) qui disposeront ainsi d'un accès autorisé à des données confidentielles
Sonoriser les cloisons et les salles de réunion
Manipuler la presse, s’assurer l’appui d’un opérateur de téléphonie pour voler de l'information, obtenir les faveurs des services de renseignements en pays étranger, déstabiliser l’adversaire par tous les moyens...

Sans envisager des moyens aussi sophistiqués, sachez qu'obtenir qu’obtenir une information importante est souvent beaucoup plus facile qu’on ne l’imagine. Le TGV Paris – Rennes (recherche en Télécoms), la navette Paris – Toulouse (aérospatiale) ou le Thalys du matin pour Bruxelles sont des exemples de sources intarissables ! Sans être le moins du monde versé dans le renseignement, il m’est arrivé d’assister au détail de discussions pour la mise au point de marchés industriels importants, aux confidences d’hommes politiques de haut rang ou, à l’étranger dans un restaurant, aux premiers jalons d’une négociation en vue décider du sort du peuple d’un pays en guerre. Moi-même plongé dans une conversation en français avec mon interlocuteur, mes voisins de table ne se méfiaient de rien et je reste encore sidéré par le type d'informations auxquelles j'ai eu accès !

Hommes d’affaires fatigués, détendez-vous. Jetez votre télé. Allez au concert, allez au cinéma, prenez du temps pour lire, il y a des livres fantastiques dans les librairies. Dans l'avion vous aurez ainsi des choses à raconter, vos collaborateurs ne s'ennuieront plus à mourir et, surtout, vous cesserez de mettre votre entreprise et vos missions en danger.

Quelques règles de bon sens :

En déplacement professionnel ou dans les lieux publics (restaurants, files d’attente), restez discret en toute circonstance (attention justement aux repas d’affaires !). Ne laissez aucune information à la portée d’inconnus (documents, notes, paroles échangées entre collègues). Attention aux écrans d’ordinateurs portables !!
Méfiez-vous de la machine à café, surtout en présence d'une personne munie d'un badge visiteur.
Attention aux cocktails et aux salons professionnels. Restez vigilant, surtout lorsque vous faites l'objet d'une attention particulière.
Un PC portable se vole facilement (à l’aéroport, dans un chambre d’hôtel…). Faites vous installer une partition chiffrée et stockez vos documents sensibles sur cette partition.
Votre courrier électronique est une mine d’information pour vos concurrents. Il faut impérativement chiffrer vos échanges sensibles avec vos interlocuteurs en ayant recours à des mécanismes fiables. Rester notamment très prudent quant à l'usage des Blackberry.
Désactivez l'interface Wi-Fi de votre portable tant que vous n’avez pas besoin du réseau. Utilisez le Wi-Fi uniquement quand c’est nécessaire et à condition de mettre en place la configuration et les outils indispensables (WPA / WPA2, pare-feu personnel et antivirus…).
Verrouillez votre ordinateur quand vous le l’utilisez pas (utilisez un mot de passe robuste que personne ne pourra deviner, activez la fonction de verrouillage d’écran).
Désactivez l'interface Bluetooth. Dans un rayon de 10 à 15 mètres, cette interface permet à un pirate de capturer SMS, carnets d'adresses avec noms, prénoms, noms des sociétés etc.
Une clé USB se perd ou se vole facilement. Idéalement, ne stockez jamais aucun document essentiel, aucune information confidentielle sur une clé USB. Si malgré tout vous devez le faire, adoptez les précautions d’usage citées dans la catégorie « Sécurité clefs USB » sur ce même blog.
Ne prêtez jamais votre clef USB.
Ne jetez jamais à la poubelle un document susceptible de dévoiler une information importante, même déchiré. Détruisez-le systématiquement.
Sécurisez votre réseau d’entreprise. Déployez les composants de sécurité nécessaires et prenez soin de faire appliquer une vraie politique de sécurité.
Faites place nette après une réunion. Effacez les tableaux, emportez ou détruisez les feuillets remplis du paperboard, effacez les versions électroniques des documents installés sur le PC en libre service de la salle de réunion.
En votre absence, fermez votre bureau à clé.

Prévenir la perte annoncée de votre clef USB...

Patrick Legand — Sun, 17 Dec 2006 18:26:00 +0100

Avec l'accroissement de leur capacité de stockage, les clefs USB s'invitent désormais au club des éléments de la sécurité informatique. Plutôt comme trublions; ou comme les pires bêtes noires de la sécurité des données, c'est comme on voudra.

Bien anodin au départ, ce petit support amovible reçoit au fil du temps des wagons d'informations. Les plus importantes bien sûr, les plus sensibles aussi, puisqu'on y stocke justement les données dont on se sert, celles dont on a le plus besoin. Bien entendu on ne fait jamais le ménage, on n'a pas le temps. À quoi bon d'ailleurs ? Tant qu'il reste des dizaines de méga-octets d'espace libre sur cette clef, rien ne presse...

Seulement un jour, patatras ! On perd sa clef USB. Si, si. On la perd. Non, ne soupirez pas en pensant que l'auteur de ce billet est un sinistre rabat-joie : vous la perdrez, comme tout le monde, comme je l'ai perdue la semaine dernière...

Et bizarrement, c'est à ce moment précis que l'on commence à cogiter... Tous ces fichiers présents sur cette maudite clef... Avaient-ils été correctement sauvegardés ? N'ai-je pas définitivement perdu des données importantes ? Et surtout, les documents professionnels sensibles... quel préjudice s'ils tombent entre des mains malintentionnées ?

Tiens, juste pour voir, avez vous une idée de ce qui part dans la nature suite à la perte de médias amovibles ? Quelques exemples véridiques :

Des rapports d'audits financiers sur des grandes entreprises (égarés par exemple par le consultant d'un des nombreux cabinets d'expertise travaillant pour ces entreprises)
Des fichiers des données personnelles (numéros de sécurité sociale, numéros de comptes bancaires et de cartes de crédit profesionnelles...) de plusieurs milliers de salariés d'une entreprise
Des résultats de recherche ou des secrets de fabrication dans des domaines ultra sensibles (laboratoires pharmaceutiques, équipementiers automobile, etc.)
Des documents classifiés intéressant la Défense Nationale
etc. etc. etc.

La foire à la chaussette, la grande braderie du secret industriel, Mesdames et Messieurs. Deeeeemandez le programme !!... Le pire, c'est que c'est vrai : on retrouve parfois ces informations publiées peu après sur un site web, ou sur CD-Rom en vente à l'étalage ! Je vous laisse deviner les conséquences !

Le problème, c'est que les clefs USB sont des composants particulièrement vulnérables : la plupart des clefs disponibles dans la grande distribution n'offrent aucun mécanisme pour protéger l'accès aux données (même les utilisateurs qui auront fait l'effort de faire appel aux mécanismes de chiffrement EFS de Microsoft en seront aussi pour leur frais ; rappelons que les clefs USB utilisent un format FAT, qui ne sait pas gérer EFS : cela veut dire que tout document chiffré avec EFS sur un disque dur NTFS est automatiquement déchiffré par Windows lorsqu'il est stocké sur la clef USB !).

Pourtant, sachez que trois mesures simples, efficaces et faciles à mettre en oeuvre permettent d'éviter définitivement des grosses catastrophes :

1- En règle générale, évitez systématiquement de stocker des documents sensibles sur une clef USB dénuée de système de protection. Si dans la pratique vous êtes tout de même obligé de le faire (ce qui est souvent le cas), optez pour l'une des solutions proposées aux points 2 et 3.

2- Utilisez des clefs USB sécurisées :

Par exemple une clef biométrique : les données stockées sur cette clef ne peuvent être lues que sur présentation de votre empreinte digitale. Des sociétés comme Zalix (www.zalix.fr) ou Sagem (www.sagem.com) proposent ce genre de produit à des prix tout à fait raisonnables.

* D'autres sociétés comme Bull (www.wcm.bull.com) offrent des systèmes de chiffrement à la volée intégrés à l'intérieur des clefs USB (TrustWay RCI). Certifiés par la DCSSI, ces mécanismes issus de la Défense délivrent un niveau de protection élevé.

3- Si votre service achats ne voit pas l'utilité d'investir dans ce genre d'équipements (c'est bien dommage et il est temps que votre grand patron aille suivre d'urgence une formation sur la montée de la cybercriminalité !), chiffrez vous-même vos fichiers sensibles avec le meilleur logiciel du marché, gratuit de surcroît : GnuPG (voir une présentation rapide de GnuPG ici sur ce blog). Certes, cela vous imposera quelques opérations supplémentaires, mais la confidentialité de vos données sera assurée.

N'oubliez jamais quelques règles de bon sens :

Réfléchissez toujours à deux fois avant de stocker un fichier sensible sur une clef USB
Une clef USB est un support de stockage, pas de sauvegarde ! Assurez vous que toutes les informations stockées sur votre clef USB sont sauvegardées correctement.

"Sécuriser enfin son PC"

Patrick Legand — Sun, 03 Dec 2006 21:23:00 +0100

Peu d'utilisateurs savent que leur ordinateur, en apparence sans histoire, est placé en réalité sous contrôle d'une entité extérieure. Qu'entre deux téléchargements, l'ordinateur est utilisé à leur insu dans des campagnes d'attaques de grande envergure, lancées au profit d'organisations criminelles et mafieuses. Qu'en milieu professionnel, le poste situé au coeur du réseau d'entreprise – donc derrière les lignes de défense du pare-feu, est exploité pour infiltrer les systèmes centraux, espionner les faits et gestes, abreuver discrètement des sociétés spécialisées en intelligence économique – ou le concurrent – en documents ultra sensibles (secrets de fabrication, dossiers de spécification, résultats de recherche, stratégie commerciale, base clients, ...).

Aujourd'hui, les techniques pour se rendre maître d'un ordinateur à distance sont nombreuses, diversifiées et d'une efficacité telle que l'utilisateur (particulier ou professionnel) finit par se laisser piéger. Ignorant de surcroît les problèmes de sécurité, la compromission d'un système se fait dans la plupart des cas avec sa complicité bienveillante et involontaire.

J'ai écrit cet ouvrage afin justement de sensibiliser l'utilisateur à ces problèmes de sécurité informatique, de lui faire mieux comprendre les stratégies employées par les pirates lorsqu'ils attaquent un système, pour qu'il sache mieux les contrer. En évitant autant que possible le langage de l'informaticien, j'explique comment prévenir la perte de données importantes, déjouer les pièges tendus par les escrocs pour voler de l'argent sur Internet, expulser de sa machine les codes malveillants susceptibles d'altérer son fonctionnement ou de la transformer en un « PC Zombie » et, surtout, reconnaître les comportements dangereux afin de les éviter. Bien entendu, je propose une démarche pour définir une protection complète et efficace du poste de travail et du réseau local, qui passe bien sûr par l'installation des traditionnels pare-feu et antivirus, mais qui comporte bien d'autres mesures.

En outre, ce livre s'adresse aussi aux entreprises. Il décortique quelques grandes méthodes employées par les professionnels de l'intrusion pour infiltrer furtivement un système d'information d'entreprise au delà du pare-feu, ou pénétrer, en exploitant par exemple les faiblesses du Wi-Fi, le coeur d'une organisation en faisant fi des protections en place. Je montre tout au long de cet ouvrage comment les attaquants réussissent à injecter à distance un code malveillant sur un poste de travail professionnel, et comment ces « malwares » sont exploités, toujours à distance, pour activer le téléchargement et l'installation d'autres malwares, lancer des attaques visant à paralyser le réseau informatique, mettre hors d'usage certaines protections ou voler des documents importants. Ce livre aborde aussi le problème des enjeux stratégiques qui se cachent derrière un composant de sécurité et prodigue quelques conseils pour sélectionner les « bons » produits de sécurité en environnement sensible.

À l'heure où la montée de la cybercriminalité devient de plus en plus palpable, j'espère avoir ainsi contribué à démystifier un sujet encore mal appréhendé par le public, et apporté une modeste brique afin de rendre plus sûr postes de travail et réseaux informatiques.

« Sécuriser enfin son PC ». Patrick Legand.

Préface de Benjamin Arnault (Hervé Schauer Consultants).

À paraître courant décembre 2006 chez Eyrolles.

Sur ce lien, la table des matières de l'ouvrage.

"Histoire des codes secrets". Simon Singh. JC Lattès / Le livre de poche.

Patrick Legand — Mon, 27 Nov 2006 23:07:00 +0100

Un livre à découvrir absolument ! Dans un style d'une clarté exceptionnelle, l'auteur nous livre le secret des techniques cryptologiques qui ont jalonné les grands moments de l'histoire, depuis les Égyptiens jusqu'à nos jours.

La démarche pédagogique de Simon Singh est admirable. Au delà de méticuleuses et attrayantes analyses autour des principaux chiffres historiques (chiffre de César, codes homophones, chiffre polyalphabétique de Vigenère...), il réussit à nous inculquer les principes – pourtant complexes – de la cryptologie moderne, les algorithmes à clefs publiques tels que Diffie-Hellman ou RSA.

Singh s'attarde en outre sur les incroyables subtilités inventées par des générations entières de cryptanalystes, pour casser les codes et accéder à la correspondance secrète de l'adversaire. Tel un roman d'espionnage, il met en évidence les effets, parfois dévastateurs, du percement d'un code sur le déroulement de l'histoire. S'appuyant sur un exemple éloquent, la cryptanalyse de la machine Enigma au cours de la seconde Guerre Mondiale, il montre notamment jusqu’où un gouvernement est capable de s'investir pour briser la sécurité d'un chiffre étatique. Un exemple qui en dit long sur l'efficacité illusoire de certains produits de sécurité actuels...

L’intérêt majeur de ce livre est de mettre la cryptologie en perspective avec les affaires d'ordre militaire et diplomatique, de montrer l’influence cachée de la cryptologie et le rôle déterminant des cryptanalystes sur les grandes décisions politiques. Singh nous laisse entrevoir les enjeux stratégiques qui se cachent aujourd'hui derrière la sécurité d'un système d'information, et la guerre souterraine à laquelle se livrent les gouvernements pour garder le contrôle de l’information.

Carrefour de la géopolique et de la haute technologie, ce livre aide le lecteur à prendre conscience des risques effarants qui pèsent actuellement sur nos systèmes d'information. Indéniablement le seul livre en sécurité que chaque concepteur, responsable ou décideur travaillant dans un secteur sensible comme la défense, la finance ou de l’industrie, devrait avoir lu.

Cryptologie à travers l'histoire : rôles et intérêts stratégiques des Etats.

Patrick Legand — Sun, 26 Nov 2006 21:27:00 +0100

La SSI (Sécurité des Systèmes d'Information) n'est pas seulement une branche technologique de l'informatique. C'est avant tout le théâtre d'une lutte souterraine où gouvernements et groupements d'industriels bataillent ferme pour le contrôle de l'information.

Mieux comprendre les enjeux actuels de l'intelligence économique et des produits de sécurité commence par découvrir les méthodes de nos Anciens pour préserver le secret des messages, ainsi que les moyens ahurissants mis en oeuvre par l'homme pour briser la sécurité d'un système adverse. Au delà du simple jeu consistant à briser un chiffre, il est étonnant de constater à quel point les cryptanalystes ont maintes fois pesé sur le cours de l'histoire. Transposé à une époque actuelle, sous la dépendance de plus en plus forte de logiciels informatiques non maîtrisés (dotés notamment d'innombrables trappes cachées ouvrant sur un contrôle généralisé du système à distance), cela donne à réfléchir.

Sur ce site, « Aspects de la cryptologie à travers l'histoire ». Ce document offre un rapide coup d'oeil sur quelques méthodes mises au point au cours des âges pour chiffrer l'information et briser les codes. À la lumière de faits historiques, il propose notamment une courte réflexion sur les « petites sécurités », si souvent préconisées dans les systèmes actuels.

Le lecteur désireux d'en savoir plus doit absolument lire l'excellent ouvrage de Simon Singh « Histoire des codes secrets » (JC Lattès / Le livre de poche). Extrêmement bien écrit, il offre un panorama complet – et très pédagogique – sur les grands événements marquants qui ont changé le cours de l'histoire.

Sur le portail de Wikipedia, de nombreux documents viennent compléter cet exposé.

OpenPGP et GnuPG

Patrick Legand — Thu, 16 Nov 2006 05:58:00 +0100

Si votre besoin est de préserver la confidentialité des données avec des mécanismes fiables (par ex. des courriers professionnels importants), il est temps d'envisager sérieusement l'un des meilleurs logiciels de sécurité du marché : GnuPG (Gnu Privacy Guard).

GnuPG est un projet GNU destiné à réaliser une implémentation de la norme OpenPGP (RFC 2440), elle-même issue du logiciel mythique PGP (Pretty Good Privacy).

Selon Phil Zimmerman, le concepteur de PGP, il s’agissait de concevoir un logiciel de sécurité suffisamment fiable pour protéger toute personne exposée en raison de ses convictions politiques, y compris sous des régimes totalitaires.

Bâti sur une implémentation rigoureuse et très complète des meilleurs algorithmes cryptologiques actuels, PGP, implémenté au début des années 1990, avait atteint cet objectif. Avec un simple logiciel installé sur son poste de travail, il devenait possible d'utiliser un chiffre dont la fiabilité s'approchait de celle des chiffres militaires.

Pour des raisons commerciales et des problèmes de droits, PGP fut proposé en 2001 à l'IETF (Internet Engineering Task Force), qui l'adopta sous le standard OpenPGP, donnant ainsi naissance à GnuPG.

GnuPG est une référence des plus marquantes de ces dernières années en matière de cryptologie forte. En termes de fiabilité, le code source de GnuPG est public, ce qui veut dire que son code fait l'objet d'un audit permanent par les experts du monde entier ; il bénéficie de constantes améliorations et représente ce qui a de plus robuste actuellement en crypto logicielle. Aujourd'hui, les meilleurs spécialistes en sécurité, de nombreuses administrations et des grandes entreprises utilisent GnuPG pour protéger leurs objets sensibles.

Officiellement autorisé en France par la DCSSI pour un usage privé ou commercial, GnuPG peut être téléchargé gratuitement depuis le site officiel :

http://www.gnupg.org/

Pour tout savoir sur PGP et GnuPG, un ouvrage très intéressant est paru sur le sujet :

« PGP & GPG : Assurer la confidentialité de son courrier électronique »,

M. Lucas et D. Garance, disponible aux Éditions Eyrolles dans la collection Accès Libre.

Un remède simple et efficace pour se débarrasser du spam

Patrick Legand — Mon, 06 Nov 2006 20:23:00 +0100

Marre du spam? J'ai bien peur que nous ne soyions pas au bout de nos peines! voilà une industrie florissante. Les spammeurs ne se sont jamais si bien portés et leurs perspectives sont au beau fixe pour les quelques années à venir. Si vous cherchez un emploi...

D'accord, vous ne le voyez pas de cet avis. Ces empoisonneurs de boîtes aux lettres vous font perdre du temps, de la patience, et réussissent parfois à vous injecter une sale bête sur votre ordinateur. De plus, vous vous moquez éperduement de la camelotte qu'ils essaient de vous vendre.

Après avoir accepté l'idée de l'antivirus à 40 euros l'an, va-t-il encore falloir mettre la main à la poche et se doter d'un anti-spam digne de ce nom? Et puis flûte, quel produit choisir parmi cette cohorte de logiciels tous meilleurs les uns que les autres?

Rassurez vous, nous entrons dans une époque FOR-MI-DABLE, celle de l'utilisation croissante du logiciel libre. C'est à se demander si le logiciel libre ne deviendrait pas meilleur que les luxueux paquetages de certains éditeurs prestigieux. En tous cas si l'on en juge par les capacités de Thunderbird en matière de lutte anti-spam, honnêtement on peut se poser la question!

Pour ceux qui ne connaissent pas, Thunderbird est ZE client de messagerie open source. Léger, facile à installer, ergonomique, fonctionnellement riche, gratuit, disponible sur Windows, Mac ou Linux, il n'a pas grand chose à envier à ses concurrents. De plus, au moins en ce qui concerne les particuliers et les petites entreprises, il offre incontestablement l'une des meilleures réponses du marché en matière de protection contre le spam.

Si donc le spam vous pollue, n'achetez aucun produit. Plus d'hésitation possible: installez dès à présent Thunderbird et vous verrez ensuite. Vous trouverez à cette adresse une description assez précise sur la manière de configurer et de gérer l'anti-spam de Thunderbird.

Bonne installation!

Comprendre simplement les principes de la signature électronique et des algorithmes à clefs publiques

Patrick Legand — Fri, 03 Nov 2006 18:22:00 +0100

Les certificats électroniques nous envahissent au quotidien (déclaration d'impôts, achats en ligne, téléprocédures, etc...). Ces objets, mystérieux il faut bien le dire (à quoi servent-ils au juste?), jouent un rôle très important dans la sécurité de nos échanges. Ils représentent en quelque sorte la facette la plus visible d'une technique qui constitue aujourd'hui l'un des fondements des systèmes de sécurité actuels: la cryptologie à clefs publiques.

Bien entendu, nul n'a besoin de s'encombrer avec les subtilités d'une telle technique pour vivre en rose sa vie d'internaute.

Cependant, beaucoup dans mon entourage (y compris des professionnels de l'informatique!) aimeraient bien trouver un jour un peu de temps pour enfin comprendre les principes de ces incontournables systèmes à clefs publiques.

Si vous êtes curieux(se) et / ou passioné(e) par la cryptologie, vous trouverez dans ce document une explication toute simple pour entrevoir (du moins je l'espère!) le fonctionnement des algorithmes de chiffrement à clefs publiques, et leur utilité lorsque nous transmettons nos numéros de carte bancaire sur le Net.

Signatures...

De même, sans la signature électronique, aucun acte officiel sur Internet ne pourrait exister. Mais au fait, qu'est-ce qu'une signature électronique, comment la fabriquer et qu'apporte-t-elle? Là aussi, j'espère fournir une réponse simple dans ce document.

Bon courage!

Pourquoi ce blog?

Patrick Legand — Thu, 05 Oct 2006 22:42:00 +0200

Disons que la sécurité informatique est un peu mon métier (quoique !…).

… Enfin j’avais commencé à le croire, si l’on en juge par l’augmentation significative des invitations à dîner de mon entourage, où l’on réussit toujours sournoisement à m’asseoir devant un ordinateur pour tenter de solutionner des problèmes informatiques inimaginables (fichiers perdus, configurations endommagées, virus, intrusions / infiltrations, activités suspectes, systèmes corrompus, et j’en passe !…). Me demander cela, à moi ! Les inconscients !!

Toujours est-il que les expériences de terrain ont toutes quelque chose de remarquable. Ce qui m’amuse au cours de ces parties de cyber-apéritif-very-long-drinks (il vaut mieux en rire), c’est de prendre la mesure du décalage abyssal entre la joyeuse insouciance du particulier en matière de risque informatique, et la réalité de la menace actuelle. Comme on peut s’y attendre, cela se traduit chez la plupart des utilisateurs par un niveau de protection quasi nul. Bien sûr, on peut objecter que le préjudice pour un particulier n’est jamais bien méchant en cas de sinistre (une petite perte de temps pour déverminer ou réinstaller un système, quelques photos perdues, le budget des prochaines vacances volatilisé – de toutes manières il était déprimant !… Rien de bien grave).

Ce qui est en revanche plus préoccupant, c’est de constater que beaucoup d’entreprises ne sont pas loin de cette situation. A supposer qu’ils soient conscients du problème, les artisans, les commerçants et bon nombre de professions libérales n’ont pas les moyens, n’adoptent pas la démarche, ou ne voient pas l’intérêt, de faire appel à des sociétés spécialisées pour traiter les problèmes de sécurité.

Même les PME de 20 salariés ou plus sont très démunies face à ces problèmes. Car pendant sa journée normale de 14 heures, le chef d’entreprise ou le cadre dirigeant n’a d’autre souci que de faire vivre son entreprise et trouver des nouveaux contrats. Vous pensez bien que les problèmes de sécurité… il ne sait même pas que cela existe et, même s’il savait, son attention serait vite détournée vers des sujets qui lui tiennent plus à cœur. Et puis à 22h30, la journée enfin terminée, il redevient le particulier lambda, baignant dans la même torpeur insouciante que les amis qui m’invitent à dîner (d’ailleurs, il vient lui aussi de m’inviter à dîner. Décidément, c’est une affaire qui marche. A toutes fins utiles, sachez qu’en matière de Champagne, j’apprécie plutôt les Pinot Noir…).

C’est ici le drame (…pas le Champagne). Combien d’entreprises manipulent quotidiennement des données stratégiques les concernant ou concernant leurs propres clients ? La divulgation de données sensibles peut nuire gravement à la crédibilité d’une entreprise, porter atteinte à la réputation de ses clients et de ses fournisseurs, ou entamer sa compétitivité vis à vis des concurrents (surtout si l’auteur du vol est le concurrent lui même !). N’oublions pas qu’avec l’ouverture généralisée des moyens de communication et les technologies fantastiques qui inondent le marché en matière de mobilité, il suffit à l’espion (pardon ! à l’expert en intelligence économique) d’un claquement de doigts pour obtenir à distance un accès direct et complet à beaucoup de systèmes d’information d’entreprises plus ou moins bien – ou mal – protégées. Pire, la perte d’un système informatique tue parfois une entreprise en quelques jours, et ruine les emplois qu’elle avait créés. C’est grave, d’autant que le taux de vulnérabilité actuel face à une sophistication ahurissante des attaques est à peine croyable !

Pourtant, il n’est pas difficile d’ériger quelques remparts permettant, au moins, de prévenir les grosses catastrophes. Il n’existe aucune réponse simple et toute faite pour sécuriser un système. Cependant, prendre conscience de l’existence de certaines menaces, sensibiliser les utilisateurs aux comportements dangereux, proposer quelques solutions de sécurité fiables, simples et, très souvent, peu coûteuses, est parfois suffisant pour sauver l’essentiel.

C’est donc l’objectif de ce blog : offrir à l’utilisateur, particulier ou professionnel, les éléments et points de repères pour mieux comprendre les problèmes de piratage informatique et les risques auxquels il est confronté, et fournir des pistes simples pour trouver les solutions qui l’aideront à mitiger une grande partie de ce risque. J’ai publié « Sécuriser enfin son PC » (Décembre 2006, Eyrolles) dans cette optique, et j’espère que ce blog, qui complète cette démarche, contribuera à terme à rendre la sécurité informatique plus accessible à tous.

Bonne lecture (ou bon courage, c’est selon !)

P. Legand