samedi 2 février 2013

Sécurité informatique : hygiène de l'ANSSIsien

[Où l'on peut télécharger directement le guide d'hygiène informatique de l'ANSSI, sans subir au passage les élucubrations d'un vieux digital immigrant sur les méfaits de la mal-computance (copyright PF)]

Information
Dans le domaine de l'informatique, des systèmes d'information et de la (cyber)sécurité afférente, il y a les spécialistes, les geeks, les h4k3rz, les RSSI. 

Il y a aussi les utilisateurs du quotidien. Ceux qui n'agiraient dans le DOS de personne, qui pensent que bourne shell désigne la suite (sequel) d'une série de films à succès, où une  pompe à essence  perd la mémoire, que VAX est un marque d'aspirateurs. C'est-à-dire une grande majorité, qui est peut-être plus sujette, par quotité et par facilité, aux erreurs d'usage, aux pièges de sécurité (virus, phishing, spams, scams, malwares, hacking) qui fleurissent. 

Car l'informatique, comme les antibiotiques, ce n'est pas automatique, c'est une technologie trop récente pour qu'une société de primates, même sapiens sapiens, puisse l'assimiler en si peu de temps (lire à ce sujet le Singe  nu, de Desmond Morris, pour un regard d'éthologue sur l'humain, qui relativise notre éphémère pseudo-supériorité sur le genre animal, et également le Zoo humain). Et une technologie omniprésente, suffisamment invasive, avec des raisons (in)discutables de réactivité et de productivité, pour ne pas négliger de faire un effort considérable (au niveau personnel comme au niveau du groupe) visant à mieux en intégrer les codes et en partager les bonnes pratiques. Pour s'approprier un outil, qui je le crains, génère parfois une réelle déperdition d'efficacité, souvent invisible.

Contrairement à ce qu'on croit souvent, cela requiert une solide formation, et surtout une formation continue (même et surtout pour les jeunes générations, natifs numériques, ou digital natives, qui sont nés à l'ère de l'informatique, et dont la supposée "compétence innée" est largement un mythe, il s'agit plutôt d'immersion culturelle naturelle). Nous sommes tous, nous restons tous, des prénumériques (article de InternetActu, excellente revue des usages et prospectives autour des cultures numériques).

Du moins tant que le monde n'aura pas basculé dans Second Life (ou alors cela a déjà eu lieu et personne ne m'a prévenu, cf. Simulacron Three de Daniel Galouye, qui a donné deux versions filmées, "Passé virtuel (Thirteen floor)" de  Josef Rusnak et Le monde sur le fil (Welt am Draht) de Rainer Fassbinder).
.
[Arrive maintenant une anecdote historique, véridique et rébarbative de vieux migrant numérique ou digital immigrant] Je me rappelle avec émotion du premier fichier que j'ai téléchargé à l'automne 1993. Une intégrale des paroles et des accords d'Iron Maiden, au format texte ascii. Sur un serveur en Finlande (funet.fi) ; ce pays n'ayant pas l'héritage Minitelien d'autres vieux pays, leurs universités s'étaient fondues plus vite dans la révolution de l'Internet. Je ne me souviens plus exactement de la taille du fichier, un peu moins de 10 méga-octets. Suite aux interruptions, et surtout au débit de données sur serveur ftp de l'époque, il m'avait fallu deux nuits de suite pour récupérer le fichier (au final, une heure par méga-octet en moyenne). Une fois téléchargé, j'ai voulu le mettre sur une disquette (les rigides, dites trois-pouces-un-quart, 3"25), d'une capacité de 1,44 méga-octets. Et voila, un coup de zip, et un fichier de... 1.53 méga-octets. Trop volumineux pour une disquette. De là est née une vocation de recherche en compression de données, mais là n'est pas la question. 

Vingt ans plus tard, et quinze ans après l'explosion des formats de données comprimées (je date le démarrage grand public de 1998-1999), l'utilisateur de multimédia moyen se demande quand il pourra encoder en temps réel un Blu-Ray (format déjà mort, soit dit en passant) pour le lire sur son smartphone. Ah non, me dit-on dans la salle, "tu es has been mon vieux, problème résolu !" (l'usage du terme has been est d'ailleurs révélateur du has been).

La compression est de tous les flux, dans le .mp3, le jpeg, le .avi. Pourtant, les concepts qui sous-tendent la compression de fichiers sont en général mal connus. En quinze mots, la technologie a évolué très vite, mais pas la connaissance l'accompagnant. Et cette méconnaissance influe sur les risques informatiques, de la perte ou la corruption d'archives comprimées (le .zip qui ne s'ouvre plus) au virus malin caché dans la pièce jointe comprimée que l'innocent va double-cliquer (Infectable objects), en passant par les dangers pour les oreilles soumises au mp3,sans oublier le piratage (j'aime bien la construction "de ... à ..., en passant par ..., sans oublier ..." qui laisse croire qu'on a réfléchi au sujet). Bref, tout ceci semble assez anodin en terme de "sécurité".

Mais cela s'étend par exemple à la vidéo surveillance, sous deux formes. Il s'agit ici de témoignages du quotidien de représentants des forces de l'ordre (gendarmes, policiers), formés aux techniques de traitement d'image et travaillant dans des services de reconnaissance et d'identification de suspects.
  1. les caméras de surveillance stockent en général les vidéos sous forme comprimée (ce qui permet ). Et posées par des professionnels peu compétents, avec des utilisateurs n'y comprenant goutte, les réglages sont parfois médiocres, avec un format de compression, un rafraichissement d'image ou une qualité si faible que la vidéo d'une effraction est parfois inexploitable. Donc juste au moment où la surveillance vidéo, à partir d'un matériel acheté en toute confiance, pourrait servir, plouf. 
  2.  pire encore : sur des vidéos servant à identifier des véhicules (garages, parkings, péages), et notamment la plaque d'immatriculation, les chiffres minéralogiques peuvent sembler différents d'une image à l'autre avec que le véhicule s'avance. Difficile d'en obtenir une preuve probante devant un juge. Or ce n'est pas étonnant : quand on comprime une vidéo (je vais simplifier un peu), une image (sur 10, sur 20 par exemple) est codée comme une image jpeg standard (déjà, faut savoir ce que c'est), et les autres images sont composées : a) de ce qui n'a pas bougé par rapport à l'image jpeg à l'autre b) des patchworks de morceaux d'images des trucs qui ont bougé mais se ressemblent c) de trucs un peu aléatoires pour avoir un rendu plausible compensant les effects de mouvements. Si bien qu'en théorie, d'une image à l'autre, le chiffre 8 apparent à droite peut venir d'un chiffre 3 à gauche, pour peu que la voiture ait bougé.
Pendant que nos pauvres pandores (de Pandur, en Hongrie) et poulets (origine de pseudo policier) peinent à photoshoper un pixel un peu pâle, qui serait retoqué au tribunal (on n'est pas chez NCIS), la vidéo fait bien piètre figure de preuve. Dans les deux cas, une petite compréhension des principes de la compression, un peu plus généralisée aux poseurs de caméras et aux personnes en sentiment d'insécurité, permettrait de faciliter le travail de ceux qui doivent assurer cette sécurité ou retrouver des suspects.

Si je résume : la compression de données (son, image, vidéo) est devenue omniprésente en une quinzaine d'années, mais faute d'appropriation technique, peut créer des failles de sécurité ou informationnelles dans notre quotidien.

Si nous nous disions que nombre de nos gestes informatiques quotidiens (mettre une clé usb étrangère sur son ordinateur de travail, installer Google Desktop, laisser Java activé dans notre navigateur internet) sont des risques en puissance, et qu'y réfléchir un peu de temps en temps pourrait limiter les risques informatiques au quotidien ?

Et voila, on y arrive enfin : pour une bonne hygiène en sécurité informatique, l'ANSSI (Agence nationale de la sécurité des systèmes d'information, page wiki) a diffusé un guide d'hygiène informatique professionnelle, avec au programme treize chapitres et quarante règles. 
  1. Connaître le système d’information et ses utilisateurs
    1. disposer d’une cartographie précise de l’installation informatique et la maintenir à jour
    2. disposer d’un inventaire exhaustif des comptes privilégiés et le maintenir à jour
    3. rédiger et appliquer des procédures d’arrivée et de départ des utilisateurs (personnel, stagiaires...)
  2. Maitriser le réseau
    1. limiter le nombre d’accès internet de l’entreprise au strict nécessaire
    2. interdire la connexion d’équipements personnels au système d’information de l’organisme
  3. Mettre à niveau les logiciels
    1. connaître les modalités de mises à jour de l’ensemble des composants logiciels utilisés et se tenir informé des vulnérabilités de ces composants et des mises à jour nécessaires
    2. définir une politique de mise à jour et l’appliquer strictement
  4. Authentifier l’utilisateur
    1. identifier nommément chaque personne ayant accès au système
    2. définir des règles de choix et de dimensionnement des mots de passe
    3. mettre en place des moyens techniques permettant de faire respecter les règles relatives à l’authentification
    4. ne pas conserver les mots de passe en clair dans des fichiers sur les systèmes informatiques
    5. renouveler systématiquement les éléments d’authentification par défaut (mots de passe, certificats) sur les équipements (commutateurs réseau, routeurs, serveurs, imprimantes)
    6. privilégier lorsque c’est possible une authentification forte par carte à puce
  5. Sécuriser les équipements terminaux
    1. mettre en place un niveau de sécurité homogène sur l’ensemble du parc informatique
    2. interdire techniquement la connexion des supports amovibles sauf si cela est strictement nécessaire ; désactiver l’exécution des autoruns depuis de tels supports
    3. utiliser un outil de gestion de parc informatique permettant de déployer des politiques de sécurité et les mises à jour sur les équipements
    4. gérer les terminaux nomades selon une politique de sécurité au moins aussi stricte que celle des postes fixes
    5. interdire dans tous les cas où cela est possible les connexions à distance sur les postes clients
    6. chiffrer les données sensibles, en particulier sur les postes nomades et les supports potentiellement perdables
  6. Sécuriser l’intérieur du réseau
    1. auditer ou faire auditer fréquemment la confi guration de l’annuaire central (Active Directory en environnement Windows ou annuaire LDAP par exemple)
    2. mettre en place des réseaux cloisonnés. Pour les postes ou les serveurs contenant des informations importantes pour la vie de l’entreprise, créer un sous-réseau protégé par une passerelle d’interconnexion spécifique
    3. éviter l’usage d’infrastructures sans fil (Wifi). Si l’usage de ces technologies ne peut être évité, cloisonner le réseau d’accès Wifi du reste du système d’information
    4. tiliser systématiquement des applications et des protocoles sécurisés
  7. Protéger le réseau interne de l’Internet
    1. sécuriser les passerelles d’interconnexion avec internet
    2. vérifier qu’aucun équipement du réseau ne comporte d’interface d’administration accessible depuis l’internet
  8. Surveiller les systèmes
    1. définir concrètement les objectifs de la supervision des systèmes et des réseaux
    2. définir les modalités d’analyse des évènements journalisés
  9. Sécuriser l’administration du réseau
    1. interdire tout accès à Internet depuis les comptes d’administration
    2. utiliser un réseau dédié à l’administration des équipements ou au moins un réseau logiquement séparé du réseau des utilisateurs
    3. ne pas donner aux utilisateurs de privilèges d’administration. Ne faire aucune exception
    4. n’autoriser l’accès à distance au réseau d’entreprise, y compris pour l’administration du réseau, que depuis des postes de l’entreprise qui mettent en oeuvre des mécanismes d’authentification forte et protégeant l’intégrité et la confidentialité des échanges à l’aide de moyens robustes
  10. Contrôler l’accès aux locaux et la sécurité physique
    1. utiliser impérativement des mécanismes robustes de contrôle d’accès aux locaux
    2. protéger rigoureusement les clés permettant l’accès aux locaux et les codes d’alarme
    3. ne pas laisser de prises d’accès au réseau interne accessibles dans les endroits ouverts au public
    4. définir les règles d’utilisation des imprimantes et des photocopieuses
  11. Organiser la réaction en cas d’incident
    1. disposer d’un plan de reprise et de continuité d’activité informatique, même sommaire, tenu régulièrement à jour décrivant comment sauvegarder les données essentielles de l’entreprise
    2. mettre en place une chaîne d’alerte et de réaction connue de tous les intervenants
    3. ne jamais se contenter de traiter l’infection d’une machine sans tenter de savoir comment le code malveillant a pu s’installer sur la machine, s’il a pu se propager ailleurs dans le réseau et quelles informations ont été manipulées
  12. Sensibiliser
    1. sensibiliser les utilisateurs aux règles d’hygiène informatique élémentaires
  13. Faire auditer la sécurit
    1. faire réaliser des audits de sécurité périodiques (au minimum tous les ans). Chaque audit doit être associé à un plan d’action dont la mise en oeuvre est suivie au plus haut niveau
Certaines des règles sont de bon sens, certes, mais le bon sens, surtout en informatique, ça s'entretient, ça se cultive, ça se partage. Telle est, également, l'hygiène de ANSSIsien. Ce guide a donc été ajouté à la liste des documents et guides de l'intelligence économique. Et hop. Et pour le même prix, le guide de la cybersécurité des systèmes industriels, "pour accompagner tous les acteurs du monde industriel dans la prise en compte des enjeux liés à la cybersécurité. Il propose une méthodologie simple et adaptée, illustrée par des situations réelles" (cas pratiques).Pour un avis plus critique, Hacker's Republic publie le billet : L’ANSSI et l’hygiène informatique : un nouveau guide.

Documents
Jacques-François Marchandise, 2009, InternetActu, les Prénumériques