lundi 30 octobre 2017

Ma contribution au mois de la cybersécurité

Dans le cadre du mois de la sécurité, l'ANSSI met en avant son MOOC : la SecNumAcadémie. Il m'a semblé opportun de vous résumer les 2h48 que j'ai passées sur le premier module afin de vous épargner cette peine.


Dans l'ensemble la réalisation technique est correcte, quoi qu'un peu répétitive après presque 3 heures. Quelques animations, et une sensation de progression (plutôt qu'une répétition de la même image d'accueil) auraient été les bienvenues.

Toutefois je n'ai pas pu m'empêcher de prendre la plume face à la tare rédhibitoire qui afflige ce MOOC : il ne se destine absolument pas au grand public ; il est un pur instrument de politique interne à l'administration.

En effet, comment croire que je puisse recommander à mes proches un outil qui attaque bille en tête par le RGS, pour prendre ensuite soin d'énumérer exhaustivement tous les organes administratifs touchant de près ou de loin à la "cyberdéfense" en France (comme le CALID ou la DGSSI, totalement inconnus du grand public) ? Où sont les conseils pratiques qui vont parler à l'internaute moyen ?

L'autre point qui m'a choqué est le biais éminemment politique des messages prodigués. Certes la sécurité informatique n'est pas une science, mais dans le cas d'espèce, l'idéologie occulte parfois des réalités quantifiables. Par exemple, que penser de l'assertion ci-dessous ?



"De nombreux états souhaitent contrôler les frontières du numérique pour des raisons de souveraineté nationale".

Au lieu d'une référence à "Shaping the Internet in China", il aurait peut-être fallu mentionner que la France est pionnière en la matière … bien avant les délires "souverains" de ces dernières années.

Le Cloud

Si j'ai bien compris le message de ce MOOC, l'administration ne croit plus à l'émergence d'un Cloud "souverain" et s'attache donc à dire pis que pendre de toute forme d'externalisation. Espérons qu'ils aient raison, sinon le rétropédalage sera compliqué …

"Les sites hébergés en France sont plus dignes de confiance car de nombreuses lois vous garantissent la protection de vos données" : que voilà une formulation vague et ambiguë !

Aucune loi n'empêche le piratage de vos données chez un prestataire … qu'il soit en France ou ailleurs.

Ah, et le domaine "secnumacademie.gouv.fr" résout en "178.32.43.203" chez moi, qui est une adresse située chez OVH … en Belgique.


Idem pour cette autre formule : "un service gratuit ne vous apporte aucune garantie de service".

Les clients (commerciaux) du Cloud 2E2 ont appris à leurs dépens que payer ne vous apporte guère plus de garanties

Faut-il que j'arrête d'utiliser mon adresse email chez LaPoste.net car elle est gratuite ?
Une dernière à propos du Cloud et puis j'arrête.
Sachez simplement que même si vous n'utilisez pas le "Cloud", vos données peuvent être perdues ou divulguées …

Je serais curieux d'avoir des statistiques à ce sujet, mais je peux vous assurer qu'on perdait déjà des données bien avant l'invention du Cloud.


Précisons au passage que la page de login du site "secnumacademie.gouv.fr" utilise Google Recaptcha. Mais je suppose que "le Web" n'est pas "le Cloud".

Les erreurs

On peut comprendre que la position de l'ANSSI se doive d'être cohérente avec celle de l'ENISA … d'ailleurs le MOOC va jusqu'à reprendre certaines illustrations publiées par l'ENISA. Mais du consensus naquit la vulnérabilité …


Le choix d'un mot de passe : un grand classique. Outre le fait que cette recommandation ne pourra pas s'appliquer à tous les sites (voir @pwtoostrong et @badpasswordrule à ce sujet), elle est malheureusement l'opinion d'un seul homme … qui regrette désormais d'avoir donné ce mauvais conseil.

Votre seul espoir : des mots de passe aléatoires, un password manager, et de l'authentification à deux facteurs partout où c'est possible.

Les trolls

Pour conclure, quelques captures d'écran "amusantes" dans le contexte.



Pas sûr qu'il soit opportun d'utiliser la carte de NorseCorp pour illustrer les attaques sur Internet, alors que cette société est en pleine tourmente

Apparemment on manque d'équipements "souverains", puisque le même téléphone est réutilisé 6 fois en illustration …



Cette image pourrait laisser penser qu'il y a plus de femmes et de professionnels dans la ROC que dans la RCC … En pratique c'est pourtant l'inverse : la réserve opérationnelle comprend essentiellement des étudiants, tandis que la réserve citoyenne est un think tank.

Mais pourquoi avoir choisi tv.freebox.fr comme exemple de site rendu indisponible, alors qu'il est fermé par son propriétaire depuis 2011 ?

S'agit-il simplement d'un clipart récupéré dans cet article ? J'espère que Clubic a donné son accord.



Je me demande bien quelle est cette entreprise dans laquelle on doit payer ses croissants ?

Ah, le bon vieux coup du cadenas vert. Il faut pourtant que je vous dise qu'il n'existe pas sur mobiles, et qu'il va bientôt disparaître sur PC …



Oh, la publicité déguisée pour GMail ;)

Internet Explorer en prend pour son grade …

J'espère que le logo a été utilisé avec permission !

Conclusion

Pour ceux qui ont fait défiler cet article jusqu'à la fin sans le lire, il me semble opportun de réitérer ma conclusion : cette formation extrêmement longue (compter 3 à 4 heures pour aller au bout du premier module si vous n'êtes pas de la profession) sert essentiellement de publicité à ses auteurs.

Elle sera probablement imposée aux agents de l'administration ayant à traiter des problèmes de sécurité informatique (bon courage à eux !), mais en aucun cas elle ne "s’adapte aux besoins de différents publics, non experts, en proposant des contenus pédagogiques". Etudiants, particuliers et patrons de PME risquent forts d'être découragés par la surreprésentation des considérations administratives et réglementaires dans ce MOOC !

lundi 12 juin 2017

Un compte rendu alternatif du SSTIC 2017

Le SSTIC 2017 vient de se terminer. Comme chaque année depuis 15 ans, cet événement confirme sa place centrale dans l’écosystème de la cybersécurité française – aussi bien par la qualité des échanges entre les participants que par la fluidité d’une organisation bien rôdée.

Vous trouverez le compte-rendu technique des différentes présentations chez n0secure [J1][J2][J3] ou Xavier Mertens [J1][J2][J3]. En ce qui me concerne, j’ai souhaité vous faire partager un point de vue avec un peu plus de recul sur cet événement.

L’ANSSTIC

Dès la première matinée, on comprend que le SSTIC est devenu un événement politique interne de l’ANSSI (et dans une moindre mesure de la DGA-MI) – avec 4 présentations qui s’enchaînent.

On m’objectera que les agents de l’ANSSI sont les seuls à soumettre des papiers, ce qui explique leur surreprésentation. De mémoire cette année il y a eu ~35 soumissions pour ~25 créneaux de présentation, ce qui ne permet effectivement pas au processus de sélection de jouer à plein.

J’ai bien une explication à ce faible nombre de soumissions tierces. En 2003 le SSTIC était une conférence technique d’excellence, unique dans le paysage français et rare dans le paysage international. En 2017, le monde a changé ; force est de constater que soumettre à SSTIC ne présente plus aucun intérêt pour le commun des mortels.
  • Le (long) processus de soumission et d’édition des actes n’est pas compatible avec le rythme médiatique ; seuls de travaux de recherche très amont (comprendre : très théoriques) peuvent s’accommoder d’un tel cycle. D’où le décalage notable entre les présentations retenues et les attentes des participants. Franchement, à quoi peut bien servir un parser de fichiers PDF écrit en OCaml dans le travail quotidien d’un industriel ? (Réponse).
  • La couverture médiatique nationale est nulle (à l’exception de cet article dans Ouest France). Je ne parle même pas de la couverture internationale puisque SSTIC doit être l’un des derniers événements majeurs à se tenir dans la langue vernaculaire de ses hôtes.
Le SSTIC permettait auparavant à de jeunes consultants isolés en SSII de mettre en avant leurs découvertes et de rencontrer leurs pairs. Intervenir à SSTIC leur permettait de se faire connaître, voire d’être recruté dans des institutions où ils pourraient épanouir leurs talents. Cette mission n’est plus ; aujourd’hui le SSTIC sert essentiellement de piédestal aux différents bureaux de l’ANSSI afin qu’ils puissent se comparer entre eux (et je ne parle pas seulement de Rust vs. OCaml).

Le point d’orgue de cette compétition stérile fût probablement la conférence de clôture à propos de la compromission de TV5 Monde. Louons l’effort de mise en scène qui nous donnait l’impression d’être dans un film d’espionnage (« merci de ne pas divulguer l’identité des intervenants, nos agents risquent leur vie »). Mais au final, cette présentation ne fût que le rappel de quelques conseils de base sur les mots de passe par défaut, les dangers d’un réseau « à plat », etc.

Aucune mention des techniques d’attribution utilisées pour incriminer les Russes, l’utilisation d’outils de forensics et de reconstruction Active Directory qui ne seront probablement jamais publiés ; bref, rien d’actionable pour les participants.

Par ailleurs les quelques CERTs privés avec lesquels j’ai eu l’occasion de discuter attendent toujours de disposer des IOCs liés à cette attaque – qui n’ont apparemment été distribués … qu’aux journalistes ! Quand on compare aux rapports étrangers publiés après la compromission de Diginotar ou plus récemment RUAG, on mesure le chemin qui reste à parcourir avant de disposer de véritables retours d’expérience en France …

Il va être difficile pour le secteur privé de monter en puissance tant qu’il reste infantilisé par les autorités.

Le contenu

Le programme de l’événement peut lui aussi surprendre ; par exemple le fait de constater que plusieurs présentations de l’ANSSI étaient dédiées au parsing de fichiers PDF avec des outils et des langages différents …

Cet état de fait est symptomatique d’une tare plus générale : la recherche en sécurité – au moins en France – reste au point mort depuis des années. La cause en est que la sécurité ne se conçoit pas comme une science qui avance au rythme de l’innovation incrémentale, mais comme un one-man show. En clair, il est plus prestigieux de lancer « son » nouvel outil que d’améliorer à la marge l’existant.

Les exemples sont légions ; je pense par exemple à la présentation sur la détection de PDFs malveillants par « machine learning ». Sauf erreur de ma part, l’outil publié extrait un vecteur de caractéristiques (ex. présence du mot-clé « OpenAction ») qui est ensuite passé à un outil de classification. Comme je l’ai mentionné en séance, j’ai du mal à voir la différence avec le module PDF de « l’antivirus français » (Armadito) – ou le module pdfcop de l’outil Origami PDF publié à … SSTIC 2009 ! Le plus grave dans l’affaire étant que les intervenants semblaient sincèrement surpris par ma question, et n’avaient pas connaissance de tous ces travaux antérieurs (leur papier ne contient que des références académiques de type IEEE ou ACM).

Le plus triste est probablement la liste des occasions manquées – c’est-à-dire des présentations que personne n’a soumis. Rien sur l’Immutable Infrastructure (alors que Desired State Configuration pourrait trouver sa place dans la liste des outils de sécurité Windows), rien sur le Cloud, aucune conférence sérieuse sur le Machine Learning appliqué à la sécurité … bref, on tourne toujours sur les mêmes recettes.

A contrario, le nombre de présentations sur le Reverse Engineering semble disproportionné dans un monde où même Microsoft embrasse l’Open Source avec vigueur.

Le désespoir

Enfin, le point qui me choque le plus est probablement le désespoir – ou le cynisme – qui frappe la profession. Payé pour donner son avis à longueur de temps sur des projets en perdition, ou rafistoler des infrastructures entièrement compromises, le consultant en sécurité vieillit mal.

On me reprochera certainement de donner un avis un peu trop cru – que ce soit au micro ou dans mes billets. Mais j’ai le bon goût de le faire publiquement, ce qui permet aux personnes concernées de se défendre. J’avoue que le niveau de persiflage que j’ai pu entendre dans les couloirs du SSTIC me laisse pantois. Les hackers avaient l’image d’une communauté soudée qui tirent les nouveaux vers le haut et ne basent leurs jugements que sur des faits techniques. La communauté moderne de la cybersécurité n’ira nulle part si elle se construit sur la rancœur et le cynisme. Ce mal est probablement le fondement des tous les échecs en sécurité ; mes récentes expériences avec le monde des développeurs m’ont appris combien l’image des experts en sécurité avait été écornée par cette attitude nihiliste.

En ce qui me concerne, soyez rassuré : je n’ai jamais critiqué personne sans m’assurer que mes griefs circonstanciés lui soient transmis. J’espère que vous en ferez autant les uns envers les autres.

lundi 20 juin 2016

Le gâchis


Enfin ! Après 4 ans de travail et 5M€ de financement public, le projet d’antivirus « souverain » vient d’être publié sur GitHub.
Initialement connu sous le nom de DAVFI (Démonstrateurs d'AntiVirus Français et Internationaux), puis Uhuru Anti Malware (marque commerciale), le projet Open Source s’appelle désormais Armadito – est-ce un clin d’œil à la protection logicielle bien connue - mais désormais obsolète - « Armadillo » ?

Histoire

L’histoire de ce projet est controversée. Comme toute initiative dont la nationalité est la seule raison d’être, elle fut vertement critiquée à ses débuts. Et comme toutes les initiatives comparables, la malédiction n’a pas tardé à s’abattre : après avoir initié le développement du projet, puis transféré l’industrialisation (ainsi qu’un « personnel administratif senior » – en l’occurrence sa femme) au consortium porté par Nov’IT, M. Filiol a subitement fait volte-face et lâché ses chiens contre le projet Uhuru – allant même jusqu’à annoncer un « fork » Open Source sous le d’OpenDAVFI (dont on attend toujours la publication promise).
Ce drame franco-français n’est pas sans rappeler la mésaventure du « Cloud souverain », assez rapidement scindé en deux projets aussi infructueux l’un que l’autre. La dissension ne conduit généralement qu’au saupoudrage d’argent public.
Le divorce des « antivirus souverains » semble avoir été particulièrement douloureux, à en juger par les billets publiés sur le blog (payant) SecuriteOff : « Uhuru antimalware, a French deception » et « Les antivirus Uhuru, la grande mystification ». A contrario, le seul article positif – « Fin et bilan du projet DAVFI » - a disparu d’Internet (puisque le site n’autorise aucune indexation ni archivage de son contenu – à se demander qui sont ses lecteurs).

EDIT: l'article est toujours disponible à cette adresse. L'éditeur n'a pas jugé utile de rediriger les favoris antérieurs à la refonte du site (circa septembre 2015).

Technique

Il serait loisible mais peu charitable de se gausser des errements techniques du projet. Après tout nul n’est à l’abri d’une erreur d’implémentation.
Certes la librairie de « chiffrement » Perseus – censée protéger les SMS sur la version « Android » du projet – est régulièrement la risée des participants à la conférence SSTIC [2014][2015]. Le plus grave dans ces failles n’étant pas les détails d’implémentation, mais la méconnaissance répétée des mécanismes de génération d’aléa par son auteur ; pourtant l’un des fondamentaux de la cryptologie.
Certes la version « Android » du projet, publiée en 2014, a été immédiatement « cassée » de manière triviale : il était possible d’exécuter des commandes shell depuis la mire de démarrage du téléphone. Le plus grave a probablement été la réaction du projet, consistant à éditer agressivement la page Wikipedia dans une tentative désespérée de damage control.
Certes la version « Windows », récemment libérée sur GitHub, souffre de failles énormes – pour la plupart présentées lors BeeRump 2016 et dont j’espère la publication prochaine. Certains esprits taquins s’en sont même amusés publiquement. A cette liste s’ajoute la détection de codes malveillants dans les fichiers PDF par la recherche de motifs triviaux, ou l’incapacité totale à analyser des exécutables « .NET ».
L’essentiel des heuristiques « avancées » issues de la recherche en virologie consiste à comparer la liste des sections et des imports du fichier exécutable avec une base de référence, comprenant des fichiers « sains » et des fichiers « malveillants ». Il serait possible de se livrer à une analyse critique sur la méthode de calcul utilisée – et surtout l’importance de la base de référence – mais il s’agit d’un domaine technique ennuyeux pour le lectorat, qui est invité à chercher « import hash » dans son moteur favori (ou dépenser 35€ chez Springer).
Le véritable problème de cette heuristique, c’est qu’elle détecte plusieurs composants critiques du système Windows lui-même comme malveillants. Ce qui pose la question du contrôle qualité chez l’éditeur – le faux positif étant un événement essentiellement catastrophique.

Perspectives

Au-delà de l’idée assez classique des « import hash », le projet Armadito échoue à innover dans le domaine de la virologie opérationnelle.
Le principal reproche qu’on peut faire aux logiciels actuels est certainement l’accroissement de la surface d’attaque due aux nombreux parsers – qui ne sont malheureusement ni sandboxés, ni écrits en OCaml. Ce point est régulièrement mis en exergue par les travaux de Tavis Ormandy.
Un moteur d’analyse conçu pour résister à ses propres défauts – par exemple une sandbox pour ClamAV –  eut été un apport non négligeable à l’état de l’art, directement utilisable par la communauté. Au lieu de cela, les premiers tests de fuzzing semblent montrer une extrême fragilité du parser PDF – entièrement implémenté en C.
Parmi les autres idées dont on aurait pu se plaire à rêver, citons :
  • La capacité à autoriser ou bloquer des processus selon des critères personnalisés, tels qu’une signature Authenticode (à la Bit9) ou une signature YARA - la fonctionnalité AppLocker offerte nativement par Windows étant bien trop limitée de ce point de vue.
  • La capacité à journaliser et remonter en temps réel l’activité des processus sur une machine.
  • Une API ouverte permettant d’interagir avec le moteur d’analyse, par exemple pour réaliser un hunt dans un parc étendu. L’intégration de cette API dans des outils standards tels que PowerShell serait un plus.
  • Un kit de développement permettant l’extension du moteur avec des greffons – bien entendu sandboxés (à la Nessus, avec son langage NASL). Ceci permettrait également de créer une communauté autour du produit ; voire de pérenniser l’activité en commercialisant les greffons les plus complexes.
  • Le support de vecteurs dangereux et peu analysés pour le moment, tels que les scripts PowerShell ou les macros Office.
Je n’aborde pas la question des signatures ; elle est à mon sens anecdotique. Les outils existants échouent systématiquement à détecter le dernier ransomware ou la dernière APT ; un modèle de sécurité basé sur des signatures (liste noire) est voué à l’échec face à des attaquants déterminés.

Conclusion

Confier le développement d’un logiciel – qui plus est de sécurité – à une armée mexicaine en partie composée de stagiaires et de thésards, n’ayant aucune expérience antérieure dans l’édition logicielle – ni la sécurité, ni aucune connaissance opérationnelle du monde de l’entreprise, sur la base de quelques travaux académiques à l’applicabilité douteuse : quelqu’un y croyait-il sérieusement ?
La seule explication rationnelle à l'existence de ce projet n'est probablement pas à chercher du côté de l'avancement de la science.