Sécurité de l'information et sécurité informatique

Publié le 28 octobre 2009 par Sid

I

l est toujours quelque peu difficile d'expliquer à quelqu'un peu féru de sécurité informatique pourquoi ce monde semble un tel merdier. Et c'est encore plus compliqué avec ceux qui sont persuadés que la sécurité informatique, dite aussi sécurité des systèmes d'information par ceux qui ressentent le besoin de remplir de l'espace, n'est rien de plus qu'un sous-ensemble de quelque chose de plus large usuellement appelé sécurité de l'information. En un sens, ils n'ont pas tout à fait tort.

Mais pas franchement raison non plus. Car partant de ce postulat, ils nous abreuvent d'un discours dont le fil directeur est le recentrage des moyens de sécurité sur l'essentiel : les données. Loin d'être inintéressante, l'argumentation qui va avec passe souvent à côté de pleins de petits détails de rien du tout sur lesquels nous, techniciens de bas étages, passons notre temps à nous extasier. Un de ces détails, c'est que les systèmes d'information sont loin d'être parfaits...

Dernièrement, Richard Beijtlich s'est fendu d'une série de quatre billets sur le sujet de la protection des données. Sous le titre "Protect the Data", il s'essaye avec plus ou moins de bonheur à démonter ce genre de rengaine. L'argument le plus intéressant pour moi vient du tout premier billet : l'information, pour exister, a besoin d'un support. Il ne s'agit pas ici de comprendre support comme un disque dur ou une clé USB, mais comme un concept nettement plus large représentant n'importe quoi pouvant stocker, traiter et/ou transmettre une information. Cela inclue des choses aussi variées que vous et moi, la voix, les ondes hertziennes, une mémoire flash, une feuille de papier, etc. Et finalement, protéger l'information revient à appliquer un certain nombre de mesures visant à contrôler l'utilisation du support en question.

Parmi les gens qui nous la rabattent avec l"approche données", il y a les fervents défenseurs de la dépérimétrisation dont je discutais quelques arguments l'an dernier au SSTIC. Car ces derniers vous expliquent que le truc important, c'est évidemment la donnée, et que c'est son accès qu'il faut contrôler. Le reste ne servirait pas à grand chose finalement... Sauf que si les choses étaient aussi simples, je pense que ça fait longtemps qu'on s'en serait aperçu. Mais merci quand même pour l'astuce...

Je disais plus haut qu'un détail que ces gens oubliaient était la vulnérabilité des systèmes. En fait, ce n'est pas tout à fait exact. C'est surtout la vulnérabilité des protections mise en œuvre qu'ils oublient un peu vite. Car si l'idée d'un poste client complètement autonome d'un point de vue sécurité, c'est à dire capable d'évoluer dans un environnement complètement hostile sans avoir à compter sur un quelconque dispositif de sécurité externe, est séduisante, on attend encore que soit conçu et implémenté le système en question...

S'il fallait une preuve de ce que cette "approche données" ne peut se suffire à elle-même et survivre sans que des guignols, qui ne semblent pourtant rien avoir compris au grand ordre des choses, s'intéressent à pleins de détails bassement techniques, c'est bien l'importance qu'a pu prendre au fil des années le "patch management" dans la gestion courante de la sécurité informatique. Le déploiement des correctifs de sécurité n'a pourtant pas grand chose à voir avec l'information en elle-même, mais nous parle bel et bien de maintien de son contenant... En condition de sécurité comme on aime bien dire ces derniers temps :)

Suite à un dernier "Black Tuesday" particulièrement saignant avec pas moins de trente-quatre failles corrigées, Computer World s'est livré à un exercice amusant : une rétrospective de six année de Patch Tuesday. Les chiffres sont intéressants : 400 bulletins, 745 failles patchées, 230 considérées critiques. Je ne vous calcules pas les stats, mais il y a de quoi faire réfléchir un peu. Surtout quand on considère l'effort consenti par Microsoft pour en arriver là. Et ils ne sont pas les seuls à patcher les failles par palettes entières : on aura une pensée émue pour Apple ou Oracle par exemple. Sauf que dans le cas de ces derniers, il reste encore du chemin à parcourir pour parvenir au même niveau.

N'empêche que ce qui se cache derrière la gestion des patches est un tout autre soucis sur lequel Bruce Schneier a bien mis le doigt. Le "patch management", c'est bien, certes. Ça permet de parer au plus pressé, de donner l'illusion que le nombre de failles exploitables sur les systèmes baissent, alors qu'en même temps on en accumule de nouvelles à chaque nouveau déploiement. Ce dont on a réellement besoin, c'est de ce qu'il appelle de l'assurance. On a un cruel besoin de pouvoir compter un minimum sur les systèmes pour faire ce qu'on attend d'eux. Ce qui inclue, en particulier, protéger l'information.

Car de ce côté là, ça pêche quand même pas mal, y compris, voire surtout, du côté des moyens de protection. Exemple : l'échec de l'antivirus. Il est en effet presque risible de constater combien un outil aussi considéré comme indispensable à la protection de nos ordinateurs se montre aussi inefficace, voire vulnérable. Au point qu'on n'est même plus surpris de l'issue de toute initiative visant à en démontrer les faiblesses. Qu'il s'agisse du fameux concours Race to Zero dont les résultats sont passés largement inaperçus et n'ont jamais été publié sur le site officiel, ou les résultats peut-être un poil surmédiatisés du tout récent PWN2RM organisé à l'occasion du premier iAWACS. Et on ne parle pas de les exploiter, juste les contourner... Maintenant, si on commence à s'intéresser aux firewalls personnels, aux HIPS, aux client VPN et autres solutions de chiffrement de l'information, il y a de quoi s'occuper pendant encore un bon moment...

Alors certes, la réalité est bien moins tranchée que cela, en particulier parce que la vitesse à laquelle l'usage et la complexité des systèmes d'information explosent, il n'y a guère d'autre choix que d'essayer de se battre sur tous les fronts. En même temps. Il faut faire de la sécurité de l'information, concevoir des systèmes plus robustes et plus adaptés, déployer des outils de protection et des patches, etc. Et je ne pense pas prendre un grand risque en avançant qu'il va encore en falloir du temps avant de pouvoir prétendre ne faire que de la sécurité de l'information au sein d'un système informatique...