es Assises de la Sécurité 2011 se sont donc conclues sur un discours pour le moins énergique du patron de l'ANSSI, Patrick Pailloux. S'appuyant sur une actualité qui a conforté cette agence dans ses prérogatives, qu'il s'agisse du piratage de Bercy qui a fait les unes de la presse en mars dernier ou plus récemment des déboires d'Areva, il pouvait difficilement trouver meilleur moment pour venir donner des leçons au microcosme de la sécurité informatique.
Appelant les RSSI ainsi que leurs prestataires de tout poil à revenir au fondamentaux, le fameux "back to basics", et à arrêter la "sécurité cache-sexe", c'est à un véritable exercice de remontage de bretelles qu'il s'est livré vendredi dernier. Loin de vouloir lui donner tort, pas plus sur le forme que sur le fond, je n'en pense pas moins qu'il va falloir secouer nettement plus loin que le monde de la sécurité informatique si on veut parvenir à un résultat tangible...
Si vous suivez l'actualité, vous n'avez pas pu échapper à un des retours majeurs de la conférence RSA qui vient de s'achever à Londres. À savoir les keynotes de Arthur Coviello et Tom Heiser dans lesquelles ils ont expliqué que l'attaque qu'ils avaient subie ne pouvait avoir été exécutée que par un état, considérant le degré de sophistication et les moyens mis en œuvre. Mon but n'est pas d'entrer dans une polémique stérile autour d'éléments de preuves que personne n'a vus, mais force est de constater que les informations techniques dont nous disposons ne vont pas vraiment dans ce sens et que brandir l'APT et la CyberGuerre généralisée à tout va ressemble toujours autant à la bonne excuse.
Forcément, face à l'avalanche d'attaques du même acabit, un retour aux fondamentaux semble effectivement s'imposer. Mais il ne saurait se limiter à la sécurité mise en place. Prenons RSA et ce qu'on en sait : exploitation d'une faille Flash à travers Excel pour dropper un Poison Ivy. Flash... Ce retour aux bases pourrait être, par exemple, de commencer par arrêter d'utiliser Flash dans l'entreprise. Mais pour ça, il faudrait que certaines entreprises arrêtent d'acheter des super outils web clé en main dont le fonctionnement nécessite, justement, l'utilisation de ce logiciel. Logiciel responsable de six des dix failles les plus exploitées sur les six premiers mois de l'année, d'après un rapport de Kaspersky... Ce même raisonnement s'appliquera également à des frameworks qui nécessitent l'activation de fonctionnalités connues pour leur défaillances régulières, largement exploitées, dans certains logiciels comme les lecteurs PDF... par exemple... Ou des portails qui ne sauraient fonctionner avec autre chose qu'une version antédiluvienne d'un navigateur célèbre, non maintenu et ô combien vulnérable... Ou des middlewares qui ne savent pas uploader un fichier sans pousser une applet Java sur votre navigateur...
Je ne voudrais pas avoir l'air de prendre fait et cause pour les RSSI, mais force est de constater que quand vous avez des projets IT qui passent leur temps à accoucher de joyeusetés dans ce genre, vous avez beau être convaincu de la nécessité de réduire votre surface d'attaque, je vous souhaite bien du courage pour gérer la menace induite par des composants pourris jusqu'à l'os. Si on considère de plus la complexification sans précédent que le déploiement de tels outils introduit dans des systèmes d'information, il ne faut pas s'étonner que devant des infrastructures dont la maîtrise leur a complètement échappé, les responsables sécurité se sentent majoritairement dépassés par la tâche, comme l'indique une étude tout juste publiée. Or, devant cet état de fait, ce ne sont pas tant les RSSI que leurs dirigeants qu'il convient de sermonner. Ceux-là dont la stratégie managériale réalise l'exploit de faire ramer en sens contraire ceux qui construisent l'IT et ceux qui doivent en assurer la sécurité.
Or ce n'est pas, comme certains semblent le penser, se jeter encore plus avant dans une guerre technologique dont on constate quotidiennement les limites qui nous sauvera. De meilleurs outils aideront sans aucun doute mais ils ne suffiront pas à faire la différence. Car c'est notre approche de l'informatique en générale qui pose problème et qui a, pour paraphraser Patrick Pailloux, bigrement besoin de revenir à quelques notions fondamentales. À des valeurs simples comme l'interopérabilité[1] et plus largement le Keep It Stupid Simple[2]... Par exemple...
Notes
[1] Amusez-vous à exiger des pages web conforme XHTML pour rigoler un bon coup...
[2] Je sais bien qu'on dit plus "Keep It Simple, Stupid!", mais je préfère comme ça.