Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

La Cybersecurité à la mode finlandaise ou quand civisme et esprit collectif s’unissent pour un internet plus sûr

décembre 2014 par Marc Jacob

A l’occasion de son installation en France, Codenomicon a organisé une matinée à l’ambassade de Finlande pour présenter sa vision de la cyberdéfense. Pour cet événement, Ari Takanen, CTO de Condenomicon a présenté l’action de son entreprise pour paré la vulnérabilité Heartbleed, le Colonel Aapo Céder erg, ancien général du Ministère de la Défense finlandais qui a participé a la création du CERT-FI, spécialisées Cybersecurité nationale a évoqué la stratégie de cybersécurité de la Finlande. Enfin, Juhani "Jussi" Eronen CERT-FI a expliqué comment garder un internet sécurisé au niveau d’une nation. La leçon à tirer de cette journée est qu’en Finlande, le civisme et l’esprit collectif sont les réponses pour atteindre un internet plus sûr.

l’ambassadeur de Finlande en France

En préambule, l’ambassadeur de Finlande en France a expliqué que la sécurité digital est un enjeu central de notre société. De ce fait, la Finlande a lancé sa propre stratégie pour contrer les menaces cyber. Cette politique passe par l’éducation, la collaboration entre les entreprises privées et publics. Ainsi, la Finlande est vue comme un partenaire viable dans le domaine de la Cybersecurité. Elle attache une grande importance dans la coopération internationale en particulier avec la France.

Ari Takanen, CTO de Condenomicon

Ari Takanen, CTO de Condenomicon a réalisé une présentation d’Heartbleed. Il a tout d’abord très rapidement, sa société Codenomicon qui a été créée en Finlande en 2001 et est forte aujourd’hui de 130 personnes basées principalement en Finlande, aux USA... et depuis peu en France. Cette société produit des outils de tests de logiciels.

Il a rappelé que l’industrie du software produit des progiciels qui contiennent des vulnérabilités. Elles sont le plus souvent découvertes par des pirates informatiques. Dans le cas d’Heartbleed, les pirates ont utilisé une faille dans la bibliothèque d’Open SSL qui est un projet open source. En fait, cette faille a été découverte par Condenomicon lors d’une phase d’implémentation de sa solution Saefguard son outil de test. Malgré la complexité du protocole d’Open SSL d’Heartbleed a su trouver une faille en modifiant une partie du code.

Heartbleed s’attaque aux applications clients ou serveurs et affecte le système de management d’OPen SSL et le transport des données. Pour résoudre ce problème il faut upgrarder la bibliothèque puis créer de nouvelles clés privées et publics, appliquer des certificats et changer les passeports des systèmes considérés. Heartbleed offre au pirate la possibilité de voler des informations bancaires, des données.. Face à cette menace deux facteurs d’authenfication ne sont pas suffisants, il faut aussi utiliser un OTP. Dans ce cas il y a eu une coopération internationale qui a bien fonctionné pour distribuer très rapidement les patchs.

Pour parer cette menace il faut se poser un certain nombre de questions comme avez-vous vérifier votre VPN ? Vos Devices se connectent il via Open SSL. ? Avez-vous vérifier que vos systèmes embarqués utilisent Open SLL ? Est-ce que vos bases de données utilisent OPen SSL ?...

En conclusion il a rappelé que son entreprise depuis sa création a découvert de très nombreuses vulnérabilité parmi lesquels celle de RSA par exemple. Son conseil est procéder à des test de code, mais aussi de apprendre à produire du code plus résistant, de mettre en place un service de réponse a incident, de procéder à des scan réguliers. Il a décrit un processus idéal de développement logiciel qui intègre des tests automatiques durant le développement, mais aussi avant la livraison. Il a rappelé les dangers en termes de sécurité d’utiliser des logiciels libres produits par une seule personne.... En particulier pour les administrations et les services publics.

Colonel Aapo Céder erg : objectif 2016 pour être prêt à résoudre les cybercrises

Puis le Colonel Aapo Céder erg, ancien général du Ministère de la Défense finlandais qui a participé à la création du CERT-FI, spécialisées Cybersecurité nationale a décrit la politique de Cybersecurité de la Finlande. En 2010, le gouvernement finlandais a commencé à prendre conscience de la l’importance de la Cybsercurité et de sa responsabilité vis à vis des citoyens en ce domaine. Ainsi, la Finlande a adapté les politiques d’autres pays comme les Etats-Unis a ses particularités. Elle a mis l’accent sur les "Best practices" en partant de la sécurité des logiciels, des équipements IT, des réseaux et la formation des personnes. Son objectif est d’être prêt en 2016 pour résoudre les crises cyber qui pourraient survenir. La Finlande a identifié plusieurs menaces potentielles le cyberHactivismes, le cybercrime, le cyberespionnage, le cyberterrorisme et les cyberopérations (les pressions, les conflits, la cyber guerre...). Le gouvernement doit être prêt à contrer ces cinq principales menaces. Il mène une stratégie de défense pour le pays via l’éducation, la coopération internationale, la législation, la collaboration public privé mais aussi au niveau international, le déploiement d’équipements de sécurité, les forces de l’ordre...la Finlande a mis l’accent sur la protection des infrastructures critiques et a mis en place un système de cyber résilience qui passe entre autre par le Risk Assement. Dans ce système, il a rappelé que l’humain a une place centrale. De façon pratique, la Finlande a mis un système de défense repose sur une protection résilience du pays et se termine par son intégration dans une protection au niveau internationale. Cette stratégie repose sur un CERT qui va pouvoir alerter le pays sur les nouvelles menaces. Ce CERT doit être aussi un centre d’excellence de coopération, une plateforme pour améliorer la collaboration entre le secteur privée et le public... Des exercices de cyber défense sont organisés en Finlande qui impliquent les entreprises du secteur public et privée en particulier dans les secteurs critiques. Pour réussir il a conclu en disant qu’il fallait connaître ses propres vulnérabilités.

Juhani "Jussi" Eronen

En matière de cyberdéfense : l’union fait la force

Juhani "Jussi" Eronen du CERT-FI a expliqué comment garder un internet sécurise au niveau d’une nation. Le CERT-FI a été créé en 2001 et a été opérationnel en 2012. Il doit réguler l’activité des services provider mais bien sûr traiter les incidents de. Sécurité. Il communique avec l’ensemble des acteurs afin d’obtenir des informations sur les événements de sécurité qui se déroulent dans la nation. Il a rappelé que de nombreuses attaques produisent des dégâts collatéraux. Dans ce cadre, ce sont souvent des parties tiers qui informent des compromissions. Ces informations proviennent de différentes sources comme l’ENISA....mais elle fait des appels publics pour être informer des attaques qui pourraient t provenir de la Finlande. Elle utilise un système de détection des abus base sur AbuseHelper produit par Condenomicon. Lors d’attaque ce CERT est capable de couper l’Internet de la source du problème. Ce CERT utilise des indicateurs de données compromises (IOC) qui s’appuie sur un cercle simple d’action en commençant par la détection et la collecte et se poursuit par l’investigation. Ce CERT a aussi une action en matière de certification des produits de sécurité.

Juhani "Jussi" Eronen a expliqué comment obtenir des informations fiables en faisant appel au civisme des entreprises et à l’esprit collectif. En 2011, le CERT-FI a mis en place un service de veille nommé HAVARO qui repère les malware, les APT... HAVARO est un basé sur des solutions Open Source. Son point fort, est de travailler avec les entreprises privées sur la base du volontariat. Dans ce cadre, les entreprises sont responsables de l’investissement de leurs capteurs, elles peuvent déterminer leur périmètre d’investigations.... HAVARO a permis de construire un système d’alerte grâce à la remontée d’information des entreprises qui y participent. De ce fait, la collecte des données d’une multitude de sources permet d’obtenir une analyse très fine des événements qui se passent sur la toile. L’intérêt est de pouvoir agir très en amonts dès la naissance des problèmes.

Revenant sur Heartbleed, Juhani "Jussi" Eronen a montré que grâce à HAVARO l l’action du CERT-FI a été facilité. Il a alerté très rapidement les entreprises du problème. Selon lui, grâce à cet outil d’alerte, aucune société finlandaise n’a été impactée par Heartbleed.

Au final, la Finlande montre sans doute un chemin à suivre dans l’ensemble des pays pour élever le niveau de sécurité et par la même de confiance à internet.




Voir les articles précédents

    

Voir les articles suivants