INTERVIEW  
Hervé Schauer: "Un déni de service global est bel et bien possible"

 


Hervé Schauer
Président
HSC



Cet été l'actualité de la sécurité informatique a été particulièrement chargée, notamment avec la découverte et l'exploitation rapide de deux failles ayant un impact particulièrement large. Plusieurs conférences de haut niveau ont également eu lieu. Nous avons demandé à Hervé Schauer, expert reconnu dans le domaine depuis plus de 15 ans ses commentaires sur l'été de tous les dangers.

Propos recueillis par Ludovic Blin le 22/08/2003

Quels sont selon vous les évènements marquants de l'été en terme de
sécurité informatique ?

Pour le grand public je pense que le mois d'août est le mois des vers à répétition avec la série des Lovsan/Blaster puis l'anti Lovsan avec Nachi/Wechia, exploitant les failles RPC DCOM et Webdav des logiciels Microsoft. Maintenant l'envoi de messages en masse par Sobig, pour beaucoup
d'utilisateurs, cela aura été certainement le problème majeur. Pour moi l'incident sur IOS en Juillet est beaucoup plus marquant. Il nous démontre qu'un déni de de service global sur les réseaux est bel et bien possible. Un tel déni de service aurait une ampleur sans comparaison aux envois de messages en masse, virus ou vers exploitant les erreurs de conception dans certains systèmes d'exploitation ou logiciels des PC. Ceux-ci reviennent régulièrement et permettent aux éditeurs d'anti-virus d'entretenir leurs affaires, mais ne me semble pas avoir un impact aussi important qu'aurait pu avoir un vers exploitant l'erreur de programmation découverte dans IOS.

Quelle leçons pouvons nous tirer de la faille Cisco révélée mi
juillet ? A t on évité une catastrophe ?

La leçon fondamentale est de rappeler l'intérêt de la diversité et les défauts de l'abus de la monoculture. Si nous normalisons les protocoles, c'est pour que des équipements et des logiciels de fournisseurs différents interopèrent entre eux. Pourtant, dans la majorité des domaines, le marché donne la priorité à un monopole, comme dans l'agriculture à une seule variété de pomme de terre ou de riz au lieu de plusieurs centaines. La conséquence, c'est que dès qu'un incident survient, au lieu d'affecter qu'une partie de la ressource, il affecte la totalité. L'erreur dans IOS était universelle et permettait potentiellement de faire un déni de service sur toutes les interfaces de tous les routeurs et commutateurs Cisco utilisant IOS, quel que soit leur modèle du plus petit au plus haut de gamme. Les équipements Cisco étant beaucoup plus nombreux que toutes les autres marques réunies, nous avons donc évité un évènement majeur, où l'Internet aurait pu être paralysé, ainsi que d'autres réseaux indépendants de l'Internet.

En ce qui concerne la faille windows rpc/dcom, le temps entre la découverte d'une vulnérabilité et son exploitation par un code automatisé n'a jamais été aussi court. Cette tendance va t elle se poursuivre ? Quels sont selon vous les éléments ayants favorisés cela ?

Le mécanisme de découverte des failles est trompeur. Le temps est parfois long entre la découverte, ou la redécouverte de la faille, et sa publication, mais celui entre la preuve de faisabilité et son exploitation est très court, et celui entre son exploitation et son automatisation est également souvent très court. (voir le schéma).
Entre les sociétés commerciales, les agences gouvernementales, les chercheurs et les groupes de personnes malveillantes, les liens sont souvent ambigus, et un même individu se retrouve dans deux ou trois groupes à la fois.


Pensez vous que la menace posée par la faille RPC sera toujours présente dans les mois/années a venir ?

Le problème majeur dans la vie d'une faille de sécurité, c'est qu'une minorité d'administrateurs appliquent les correctifs. En conséquence les possibilités d'exploitation d'une faille ne disparaissent totalement qu'avec la disparition naturelle de la cible. A mon expérience ce sont les mesures organisationnelles qui sont les plus efficaces : il est vain de vouloir sécuriser de manière absolue des systèmes et des applicatifs qui évoluent régulièrement, et dont la mise à jour est complexe. Souvent, une bonne organisation abouti à une sécurisation au niveau du réseau, qui est plus facile, plus globale et plus efficace, en segmentant et en introduisant du contrôle d'accès dans le réseau avec du filtrage. C'est agnostique aux systèmes d'exploitation, c'est une manière différente mais souvent plus performante de minimiser les conséquences des vers.

Quels ont été les apports principaux de la conférence usenix de cet été a laquelle vous avez assisté ?

Cette année le sujet phare a été la sécurité des machines à voter. Ce sujet implique beaucoup les américains, car l'absence de réel contrôle et de certification de la sécurité des machines à voter aurait permis de nombreuses
fraudes lors de la dernière élection. Le second sujet majeur a été le système de contrôle d'accès obligatoire de Microsoft, appelé Palladium puis NGSCB. Celui-ci ne semble pas faire l'unanimité dans la communauté des experts en sécurité, et nous en avons eu plusieurs éclairages. William A. Arbaugh de l'université du Maryland, a expliqué qu'il s'agissait d'un système de contrôle d'accès obligatoire (Mandatory Access Control), dont la gestion des droits numériques (Digital Rights Managment) n'était qu'un sous ensemble. D'après lui beaucoup de personnes ne comprennent pas NGSCB car ce n'est pas présenté pour ce que c'est, et cela entraîne la confusion.
Il a rappelé qu'un tel système applique une politique de sécurité, et que c'était cette politique de sécurité et qui en avait le contrôle de la définition qui lui semblait être le point ambigu et important. Sur le plan technique il a rappelé que NGSCB ne répondait pas aux problèmes de sécurité posés par les virus et des codes malveillants. Douglas Barnes, fondateur de C2Net, et redevenu étudiant à l'université du Texas pour faire des études de droit, a ajouté que la face cachée de NGSCB était l'amplification de la puissance déjà acquise sur le marché, afin d'aboutir à une quasi propriété absolue. Il a rappelé entre autre que les choix proposés étaient illusoires, que la protection de la vie privée n'était pas significative, et que malgré la licence l'utilisateur n'avait que l'illusion de la propriété de son système. En conclusion il pense que les abus sont prévisibles et inévitables et que seule la puissance publique peut rééquilibrer par la régulation. Beaucoup d'autres sujets ont été abordés, parmi ceux-ci les systèmes sans-fil : d'une part RFID qui permet un contrôle de passage d'objets divers : ordinateurs portables, vêtements, billets de banque, etc, et d'autre part de nouveaux dénis de service sur les réseaux WiFi, et la possibilité de positionner dans l'espace l'emplacement d'un équipement WiFi. Globalement c'était un peu mois intéressant que l'an dernier mais le symposium sécurité de Usenix demeure depuis plus de 10 ans un rendez-vous incontournable entre recherche appliquée et industrie dans le domaine de la sécurité.

Des rumeurs ont couru disant que la panne d'électricité
géante aux USA serait due à une variante du virus blaster. Qu'en
pensez-vous ? De telle installations sont elles sensibles à une menace venue de l'internet ?

En tant que consultants en sécurité, nous nous attachons aux faits et pas aux rumeurs. Habituellement les réseaux informatique des installations sensibles ne sont pas connectés à l'Internet, mais avant-hier SecurityFocus citait le cas d'une centrale nuclaire américaine dont le système de supervision aurait été victime de Slammer. Celà devrait éveiller les craintes.


Quels sont les conseils à donner pour éviter les problèmes de
sécurité posés par la découverte de telles failles (cisco, dcom) ?

Il faut faire l'effort de se préparer, de manière méthodique et pragmatique. Ceux qui avaient les procédures pour mettre à jour leurs routeurs et pour appliquer globalement et facilement des filtres IP sur leurs routeurs n'ont pas eu de difficultés face à la faille Cisco. Ceux qui ont une bonne sécurité sur leur périmètre y comprit avec les postes nomades, et un bon cloisonnement de leur réseaux privés, n'ont pas senti les vers exploitant la faille DCOM RPC. L'intégration des procédures de sécurité dans l'exploitation des réseaux, et le contrôle de ces procédures par un tiers, me semble les éléments important pour savoir gérer de telles failles.