Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

JSSI 2012 : l’intrusion au service de la SSI ?

mars 2012 par Emmanuelle Lamandé

Les tests d’intrusion sont aujourd’hui monnaie courante dans le paysage de la SSI. Pour ce faire, les entreprises font le plus souvent appel à des auditeurs externes, faute de compétences en interne ou pour des raisons d’impartialité. Aussi, les offres et les prestataires se multiplient sur ce marché. Mais confier les clés de son SI à un tiers n’est pas sans risques. Comment alors orienter son choix ? Quels sont les critères à prendre en compte ? Comment ficeler un audit de manière à ce qu’il se déroule dans les règles de l’art, aussi bien pour l’entreprise auditée que pour l’auditeur ? L’OSSIR répond à toutes ces questions à l’occasion de la 11ème édition de la JSSI (Journée de la Sécurité des Systèmes d’Information).

Le rôle de la prestation de services en sécurité

Les entreprises peuvent avoir recours à un audit de sécurité pour des raisons diverses et variées, explique Philippe Bernard, RSSI de MBDA. Ce peut être pour faire un bilan, justifier des dépenses en sécurité, obtenir une preuve, ou encore accompagner la mise en œuvre d’un nouvel outil...
Pour ce faire, les entreprises font le plus souvent appel à une SSII… généralement parce qu’elles n’ont ni les ressources, ni les compétences en interne. Le prestataire de services en sécurité a également l’avantage de l’impartialité, et sera par là même peut être plus entendu par la direction. Toutefois, donner les clés de son SI à un tiers n’est jamais simple et nécessite la prise en compte d’un certain nombre de critères au préalable, à la fois dans le choix du prestataire, mais aussi dans la définition du périmètre de l’audit.

Comment choisir le prestataire ? Le choix dépend, selon lui, dans un premier temps, du sujet même de l’audit. Il est également intimement lié aux notions de réputation et de confiance. Il peut s’agir de la réputation d’une SSII, d’une équipe, voire même d’un expert. La clientèle du prestataire, sa nationalité, ou encore son actionnariat, peuvent, en outre, s’avérer des facteurs déterminants, surtout si l’entreprise détient des informations plus que « sensibles ». Il est essentiel, en effet, de savoir auparavant à qui seront transmis les résultats de l’audit. La qualité de la réponse à l’appel d’offre, les contacts commerciaux et techniques ne sont pas, non plus, des aspects à négliger. Enfin, les certifications peuvent être un plus.

Une fois le prestataire choisi, beaucoup de choses restent à définir avant de commencer l’audit : la cible de l’audit, la méthodologie, les éléments critiques, les différents systèmes concernés par l’audit, la sensibilité des informations auditées et recueillies, le contenu du rapport final et les différents points qui devront y être mis en avant. « Il est important d’expliquer au préalable au prestataire l’organisation, le contexte et les valeurs véhiculées par votre entreprise » explique-t-il. Les méthodes de protection des données de l’audit doivent également être précisées, les outils mis à disposition du prestataire aussi. Afin de définir ces différents aspects, le contrat se doit d’être le plus clair possible.
Pendant l’audit, il est essentiel de s’assurer de l’adhésion des équipes en interne, sauf bien entendu s’il s’agit d’un audit à charge ou contradictoire. La prestation doit être, autant que faire ce peut, encadrée.

Les résultats de l’audit doivent, quant à eux, être restitués de manière claire et compréhensible pour tous. Une synthèse managériale doit ainsi accompagner le dossier détaillé. Le prestataire doit également être en mesure de proposer des solutions techniques ou procédurales permettant de pallier aux non-conformités. Les préconisations doivent, en outre, être réalistes, cohérentes et adaptées à l’environnement. Il n’est pas nécessaire, par exemple, de se focaliser sur une faille qui risque de ne pas être exploitée. Enfin, la mise en place d’une solution ne doit pas se faire au détriment d’autres failles ou risques pour l’entreprise.

Quoiqu’il en soit, l’objectif de l’audit doit être clair et atteignable. Il faut bien définir ce qui est sensible et la manière de le protéger, rester pragmatique et tout formaliser dans un contrat. « Vous devez avoir confiance en la société avec laquelle vous allez signer le contrat et être sur la même longueur d’ondes » conclut-il.

NAXSI face à l’insécurité des applicatifs Web

L’idée de NAXSI (Nginx Anti XSS and SQL Injection) est née en 2011 d’un constat commun, explique Thibault Koechlin, Expert sécurité chez NBS System, à l’origine de NAXSI : le niveau de sécurité des applicatifs Web n’évolue pas assez vite par rapport aux attaques. Ne serait-ce qu’en février 2012, plus de 40 compromissions Web ont eu un écho international, sans compter bien entendu toutes celles qui sont passées comme une lettre à la poste.

Il existe certes des outils, mais chacun d’entre eux porte aujourd’hui son lot d’écueils. Les outils de tests des applicatifs Web automatisés, par exemple, ne sont pas exhaustifs. Certaines contre-mesures sont, quant à elles, efficaces (curatives), mais patcher le code reste très onéreux et n’est pas toujours possible. Parmi les pare-feux applicatifs actuels, on retrouve :
- D’un côté, les WAF propriétaires, mais qui ne sont pas toujours abordables et restent relativement inégaux ;
- De l’autre, les WAF open source, qui sont efficaces et matures. Toutefois, ils ne sont pas toujours flexibles et posent souvent des problématiques d’industrialisation, de performances et d’adaptabilité.

L’idée est alors venue à Thibault Koechlin de créer NAXSI, un WAF open source, industrialisable et adaptable. Ce plugin pour le logiciel libre NGINX (Reverse Proxy / Serveur Web) permet de sécuriser les sites Web contre les attaques de type Cross Site Scripting et SQL Injection. Ces deux catégories d’attaques, qui défrayent régulièrement la chronique, sont celles qui mènent en général au plus grand nombre de compromissions.

La plupart des WAF sont aujourd’hui conçus comme des antivirus applicatifs, qui utilisent des méthodes de signature. Contrairement aux WAF classiques, NAXSI s’appuie sur un système de scoring et fonctionne sur une analyse par primitives (simples et peu nombreuses) et non par signatures. Il repose sur 42 règles composées de patterns extrêmement simples visant à protéger des menaces classiques. Par défaut, il bloquera toute requête « anormale » et ne l’autorisera qu’après configuration de l’utilisateur.

NAXSI est un WAF pour NGINX. Il tire parti au maximum des capacités de Nginx pour fournir une grande souplesse. Il dispose également d’un mode « apprentissage » qui peut être activé par tous ou partie des utilisateurs. NAXSI a été pensé de manière à être configurable par tous.

En novembre 2011, NAXSI a, par exemple, été déployé sur le site Charlie Hebdo, suite aux attaques dont le journal a été victime (DDoS applicatifs, explosion…). Une infrastructure d’hébergement « résiliente » a été montée en un jour et a su, jusqu’à ce jour, déjouer toutes les tentatives d’attaques. D’ailleurs, NAXSI a également été intégré dans les projets OWASP anti XSS et anti SQL injection.

Tests d’intrusion : qu’en est-il au niveau juridique ?

Les tests d’intrusion peuvent être divers et variés, rappelle Frédéric Connes, Juriste chez HSC. On peut les classer selon différentes catégories (logique – externe/interne – physique), différentes méthodes (technique classique, ingénierie sociale…), ou encore les connaissances préalables de l’auditeur (boîte noire/grise/blanche).

Mais, quand est-il du point de vue juridique ? A-t-on juridiquement le droit de faire un test d’intrusion ? Quel cadre juridique encadre ce type de test ? Selon l’article 323-1 du Code pénal, « le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30000 euros d’amende. » C’est le terme « frauduleusement » de cet article qui rend possible le test d’intrusion. Ce dernier apparaît donc licite si il y a consentement de l’audité. Le consentement préalable de la « victime » représente ainsi un fait justificatif qui permettra dans les faits d’annihiler toute poursuite pénale. D’où l’importance pour l’auditeur de préserver et de conserver la preuve du consentement de l’entreprise auditée.

La convention d’audit s’apparente en ce sens à un véritable contrat. On comprendra donc l’importance de son contenu. Doivent être a minima mentionnées les informations suivantes :
- Le commanditaire du test, l’audité, les auditeurs, les prestataires externes, les hébergeurs… Il peut arriver que l’audité refuse de coopérer, c’est pourquoi il faut prévoir ce cas de figure dans la convention d’audit.
- L’autorisation de l’audité ;
- Le périmètre (adresse IP, url, date…) et les modalités du test (boîtes blanches, noires…) ;
- L’obligation de moyens ;
- Les limites du test : quelles sont les choses qui sont interdites (rootkit, modification de la configuration système…) ;
- Des informations concernant les risques du test ;
- Une clause d’éthique de l’auditeur ;
- La clause de confidentialité imposée à l’auditeur et à ses employés ;
- Une clause relative à la propriété intellectuelle ;
- …

En effet, l’entreprise auditée doit être informée autant que faire ce peut des différentes conditions encadrant l’audit, auquel cas l’auditeur pourrait se voir sanctionné. Par exemple, si il veut faire appel à un sous-traitant, il doit au préalable informer son client et lui demander son autorisation, conformément à l’article 3 de la Loi du 31 décembre 1975 : « L’entrepreneur qui entend exécuter un contrat ou un marché en recourant à un ou plusieurs sous-traitants doit, au moment de la conclusion et pendant toute la durée du contrat ou du marché, faire accepter chaque sous-traitant et agréer les conditions de paiement de chaque contrat de sous-traitance par le maître de l’ouvrage… »
Le respect de la vie privée est également très encadré, et certaines limites ne doivent pas être franchies, au regard de l’article 9 du Code civil ou encore de l’article 226-15 al2 du Code pénal.
En cas de dommage collatéral occasionné par le test d’intrusion, l’auditeur encourra une sanction pénale, conformément aux articles 323-2 et 323-3 du Code pénal. En outre, tous les auditeurs sont tenus au Secret professionnel (Article 226-13 du Code pénal)

Tout test d’intrusion présente des risques juridiques pour l’auditeur. Ces risques sont encore trop souvent négligés ou ignorés, constate Frédéric Connes. Afin de les réduire au maximum, une attention particulière doit être portée à la convention d’audit. Celle-ci doit être très précise sur la cible, exhaustive sur les possibilités et outils de l’auditeur, mais aussi validée par un juriste et une personne de la technique. Enfin, les auditeurs doivent être conscients des limites à ne pas franchir, conclut-il.

Faut-il réglementer la prestation de services en sécurité ?

Deux référentiels non juridiques encadrent aujourd’hui la prestation de services en sécurité :
- Le référentiel de l’ANSSI (version 1.0 du 31 octobre 2011), qui regroupe les différentes exigences pour le prestataire d’audits de la Sécurité des Systèmes d’Information. Leur labellisation sera d’ailleurs possible à terme.
- La Charte de l’intrusion de la Fédération des Professionnels de Tests Intrusifs : la FPTI est à l’origine de la Charte déontologique de l’Intrusion, rédigée en 2000, qui est aujourd’hui un document de référence pour la Profession. La version 2.0 est parue le 14 juin 2011.

Toutefois, faut-il aller plus loin, en réglementant ce type de prestation ?
Pour Olivier Dembour, ARJEL, il serait difficile de réglementer le métier d’auditeur dans la mesure où les besoins et les cas de figure sont parfois très différents les uns des autres. Il serait donc difficile de se référer à un cadre réglementaire global. C’est d’ailleurs, selon lui, l’un des écueils du référentiel de l’ANSSI aujourd’hui : il est de relativement global, mais ne couvre pas tous les champs spécifiques. De plus, il peut s’avérer trop strict pour des entreprises lambda, ne touchant pas au domaine de la défense ou de l’armement, complète Olivier Caleff, FPTI. De son côté, la FPTI se positionne plutôt en termes de charte et de valeurs. Elle va d’ailleurs très prochainement mettre sur pieds un « comité éthique RSSI », qui apportera un contre-pouvoir au client. L’objectif est de lutter contre les « faux tests d’intrusion ».

Outre les référentiels et certifications, ce qui compte avant tout pour nos experts repose sur la « culture » du prestataire et les valeurs qu’il véhicule. La notion de confiance est primordiale, et se transmet plus par le bouche à oreille que par le niveau de diplômes. En plus des compétences, les critères de confiance, de réputation, la manière de traiter le secret et de le protéger sont essentiels, souligne Philippe Bernard, MBDA. Enfin, pour toute prestation de services en sécurité, il est important de formaliser, d’être pragmatique et précis !


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants