Après le traditionnel message de bienvenue, Jean-Marc Boursat et Guillaume Laudière, Devoteam, nous ont présenté leurs retours d’expérience des offres SaaS, à partir d’une quinzaine d’audits réalisés l’an passé pour le compte de clients français. L’objectif premier était la compréhension des impacts sécurité face à ces offres « dans l’air du temps » qui ne sont néanmoins pas nouvelles pour la plupart. L’expérience a mis en exergue un certain nombre de dangers inhérents à ce type d’offre, notamment le manque de sensibilisation des fournisseurs et la multiplicité des tiers non déclarés (exploitant, éditeur, intégrateur, hébergeur), qui plus est, ne respectant pas toujours les engagements contractuels de la relation initiale client-fournisseur. Dans près de la moitié des cas, ils ont également observé une incohérence récurrente dans le processus de gestion des alertes et de support, un manque de plans de sauvegarde et de traçabilité, sans compter une absence quasi-totale d’approche de continuité d’activité. En outre, la moitié des entreprises n’avaient pas déclaré leur application à la CNIL. Seuls points positifs au tableau : le niveau global de sécurité physique des hébergeurs et de maîtrise de l’application SaaS.

Face à ces constats, Jean-Marc Boursat et Guillaume Laudière recommandent, entre autres, aux entreprises désireuses de souscrire une offre SaaS, d’impliquer les équipes sécurité dès le début du projet, d’anticiper les besoins de bande passante, ou encore d’y intégrer un plan de reprise d’activité. Reste à savoir si le modèle SaaS restera un effet de mode ou s’inscrira dans le dur comme étant une profonde mutation des SI...

Anonymisation de données en masse

Dans de nombreux cas, une entreprise a besoin d’effectuer des tests sur des données de production, et donc sur des données à caractère personnel. En effet, comme nous l’expliquent Patrick Chambet, Bouygues Telecom, et Jean-Luc Lambert, Reactiv’Conseil, certains cas fonctionnels de production font preuve d’une complexité impossible à reproduire par la création de données. Dans d’autres cas, c’est la volumétrie de production qui ne peut être reproduite qu’à partir de données de production. De plus, l’entretien de clients de tests cohérents de bout en bout peut s’avérer être un véritable casse-tête sur un banc de test. Alors, comment faire pour extraire des données de production de manière sécurisée ?
La législation française impose l’anonymisation des données à caractère personnel dès lors qu’elles sont utilisées en dehors de la production. Pour ce faire différentes méthodes existent, allant de la suppression à la permutation. Quelque soit la méthode utilisée, l’anonymisation se doit de respecter quelques principes fondamentaux, tels que la fonctionnalité des valeurs anonymisées, la cohérence et l’irréversibilité, …

Face à ces contraintes et à la volumétrie de données anonymisées que l’opérateur doit produire, Bouygues Telecom a choisi de mettre en place, il y a 3 ans environ, une usine d’extraction de données de test. Cette usine permet à la fois de faire réaliser l’extraction des données de production par l’exploitant, d’anonymiser les données, et de charger les données extraites et anonymisées sur les bancs de test. La mise en place de cette usine d’extraction a permis, au final, de rassurer les différents acteurs quant à l’éventuelle diffusion extérieure des données sensibles. Les MOE n’ont plus aujourd’hui à se soucier de cette problématique d’anonymisation. Et de manière générale, l’usine est devenue un centre d’expertise et de référence pour les sorties de données de production.

Le RSSI rarement responsable aux yeux de la loi

En tant que garant du patrimoine informationnel, le Responsable de la Sécurité du Système d’Information (RSSI) occupe un poste clé au sein de l’entreprise. Mais quelle est sa responsabilité juridique ? Comme le rappelle François Herpe, Avocat associé au sein du Cabinet Cornet Vincent Segurel, à part la responsabilité inhérente au terme même de RSSI, ce dernier est finalement rarement responsable aux yeux de la loi. Qu’il s’agisse de traitement de données à caractère personnel, de cybersurveillance, …, chaque entreprise est certes contrainte à un arsenal de textes juridiques et de responsabilités à respecter. Toutefois, en cas de manquement à ces obligations, seul le dirigeant de l’entreprise, ou le responsable du traitement s’il est différent, est responsable devant la loi. Le RSSI, quant à lui, sauf en cas de faute intentionnelle, n’encoure généralement pas de responsabilité civile ou pénale.

Identité numérique : progrès social ou cybersurveillance ?
Débat animé par Hervé Schauer, Cabinet HSC

La notion d’ « identité numérique » est au cœur de nombreux débats depuis quelques années. Comme l’explique Fabrice Mattatia, concepteur du label d’identité numérique IdéNum, l’objectif serait d’offrir à chaque internaute un moyen de prouver qu’il est bien lui sur Internet, et ainsi de réduire le nombre de fraudes, et notamment de cas d’usurpations d’identités. Pour ce faire, différentes alternatives sont envisageables, et certains pays ont déjà tenté de les mettre en pratique, notamment avec la mise en place de la carte d’identité électronique.

Le concept d’identité numérique semble de prime abord plutôt louable, mais s’avère dans la pratique beaucoup plus complexe qu’il n’y paraît. D’autant plus que les risques de dérives, de cybersurveillance, …, sont bel et bien palpables, comme le rappelle Jean-Marc Manach, Journaliste à OWNI.fr et InternetActu.net. A force de vouloir trop protéger, on observe parfois certaines dérives sécuritaires, qui finissent même par nuire aux individus eux-mêmes.

A titre d’exemple, l’article 2 de la LOPPSI concernant l’usurpation d’identité mentionne que « Le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d’un an d’emprisonnement et de 15 000 € d’amende. Cette infraction est punie des mêmes peines lorsqu’elle est commise sur un réseau de communication au public en ligne. »

Renforcer la protection des citoyens contre l’usurpation d’identités semble être une décision positive en soit. Toutefois, lorsque l’on s’intéresse de plus près aux détails du texte, la loi sanctionne toute atteinte à la tranquillité ou à la réputation d’autrui… Pour Jean-Marc Manach, ce texte est une véritable usine à gaz, ce cas de figure étant très courant sur les réseaux sociaux, pour ne citer qu’eux ! Ne reste plus qu’à attendre la jurisprudence…

Sécurité mobile : tout reste à faire...

Nicolas Ruff, EADS Innovation Works, s’est intéressé, quant à lui, aux risques liés aux systèmes « mobiles » en tous genres (smartphones, tablettes, etc.), qui prennent peu à peu le pas sur l’informatique « traditionnelle ». Il s’est plus particulièrement attaché au système Android, l’un des 3 leaders actuels du marché. Racheté en 2005 par Google, Android connaît actuellement un engouement spectaculaire dans le monde entier et pèse d’ailleurs de plus en plus lourd face à ses principaux concurrents que sont Apple iOS et BlackBerry.

Toutefois, le développement fulgurant de ces équipements mobiles n’a rien de très rassurant pour ceux qui ont un minimum conscience des risques associés. Pour Nicolas Ruff, les risques sont multiples, à la fois liés à la structure même du marché de la téléphonie, aux failles logicielles et aux applications tierces, qui représentent d’ailleurs le risque n°1 aujourd’hui.
Le marché se compose d’un trop grand nombre d’acteurs aux intérêts contradictoires, ce qui pose de sérieux problèmes de mises à jour. En ce qui concerne les failles systèmes, il cite Exploid, RaceAgainstTheCage, KillingInTheNameOf, ou encore xSport, VISIONary +. Le navigateur d’Android, basé sur le moteur WebKit, est, quant à lui, une vraie passoire. Au niveau des applications, il distingue les failles accidentelles (failles conceptuelles, d’implémentation) des failles intentionnelles, telles que Tank Hero, Droid Dream. Certains développeurs d’applications seraient d’ailleurs même contactés pour injecter des malwares dans les nouvelles versions de leur application.

Les attaques sur systèmes mobiles proviennent aujourd’hui majoritairement d’applications malveillantes. Toutefois, même si les principaux risques sont liés aux applications mobiles, elles restent néanmoins le seul champ d’action possible pour l’utilisateur. Car à la différence du PC, l’utilisateur final est complètement démuni sur les autres aspects. Pour Nicolas Ruff, avec la téléphonie mobile, nous sommes repartis de 0 dans le monde de la sécurité, et nous vivons actuellement « l’an 1 » de la sécurité mobile.

Guerre de l’information : la rumeur laissera toujours des traces

Pour Emmanuel Lehmann, consultant-chercheur, la guerre de l’information est avant tout une bataille pour la légitimité. Dans ce combat, Internet n’est qu’une caisse de résonance. Les cas de rumeurs et de déstabilisation de projets économiques sont certes aujourd’hui pléthore sur Internet, mais existent depuis la nuit des temps. D’ailleurs, la rumeur reste le plus vieux media du monde.

Quels que soient les motivations et le mode d’action de l’attaquant, ces déstabilisations ont généralement un impact fort sur l’image et la réputation de l’individu ou de l’entreprise ciblé. Car, malheureusement, une fois qu’une rumeur parait, elle laissera toujours des traces. D’autant plus si l’attaquant se donne la peine de créer de fausses sources d’informations, pour que sa rumeur apparaisse la plus fiable possible et soit reprise par les médias.

Face à ce type de crise, Emmanuel Lehmann conseille, dans un premier temps, aux entreprises de ne pas réagir à chaud, d’essayer de comprendre le cheminement de l’attaquant, afin de pouvoir identifier qui il est et quelles sont ses véritables motivations. Dans ce type de situation, l’entreprise doit, en outre, être la plus transparente possible. En amont, il recommande les simulations de crise, voire la création d’une équipe dédiée 24/7, qui pourra intervenir à tout moment. Reste pour l’entreprise à identifier les enjeux et éventuels impacts de ce type de crise, afin de déterminer si ce type d’investissement en vaut vraiment la chandelle.

Le SOC, une pièce supplémentaire sur l’échiquier de cyber-défense

Chaque entreprise doit aujourd’hui vivre sous la coupe d’éventuelles attaques ou intrusions dans son système d’information. Le savoir est une chose... être en mesure de les détecter et de réagir s’avère une toute autre affaire, bien plus fastidieuse. Alors, quels champs d’action s’offrent aux entreprises pour se défendre ? De quels moyens de détection disposent-elles ? La mise en place d’une structure de supervision de la sécurité, communément appelée SOC (Security Operation Center), est l’une des réponses possibles, comme nous l’explique Stéphane Sciacco, Orange Business Services.

Derrière cet acronyme quelque peu « barbare », se cache toute une équipe, aux compétences transverses, qui :
– prend en compte l’expression de besoins de supervision de sécurité,
– met en place des solutions de détection,
– détecte et qualifie des événements de sécurité,
– fournit des plans de réaction,
– s’intègre dans l’organisation sécurité d’une entreprise.

Le SOC est avant tout une pièce supplémentaire sur l’échiquier de défense, qui, par la détection en temps réel des attaques, permet de mieux défendre à la fois les services, backbones et Data Centers de l’entreprise. Toutefois, pour fonctionner, il ne doit pas vivre en autarcie, mais venir s’intégrer dans la démarche globale de sécurité de l’entreprise.

Fingerprinting des frameworks de Web Applications

Même s’il reste dans certains cas artisanal, le développement d’applications Web s’appuie aujourd’hui largement sur l’utilisation de frameworks outils (Symfony, Cakephp, ...), ou encore de frameworks clés en main (CMS), tels que Joomla, Drupal, ... La surface d’attaque d’une application Web s’est donc déplacée vers l’intérieur du « framework » utilisé. Et en la matière, le fingerprinting a, comme nous l’a démontré Nicolas Massaviol, Toucan System, tout son intérêt.

Certains outils, tels que BlindElephant ou WAFP (Web Application Finger Printer), permettent, en effet, à l’heure actuelle de réaliser des prises d’empreintes d’applications Web. Il s’agit ainsi d’identifier le type et la version d’une application Web. Cette technique a donc tout son intérêt quand l’on sait que la version est souvent suffisante pour en déduire les vulnérabilités de l’application. BlindElephant, par exemple, identifie les versions des applications Web et des plug-ins à l’aide de fichiers statiques. Pour ce faire, l’outil s’appuie sur le hashage de fichiers de ressources statiques au sein de l’application.

Il existe toutefois quelques limites à ces outils, notamment dans les cas où il n’y aurait pas de fichiers statiques. Néanmoins, ce cas de figure reste pour le moment plutôt rare, puisque le framework Zend reste le seul exemple qu’il recense à ce jour.