Tech & internet

Sécurité informatique: comment savoir qu'un bug est pire que le précédent?

De quoi vous permettre, à la prochaine faille, de vous exclamer: «C'est quoi ce FUD?»

<a href="http://www.flickr.com/photos/mrcacahuate/5825972240">«Hacker Rene»</a> par <a href="http://www.flickr.com/photos/mrcacahuate/">Ivan David Gomez Arce</a> | FlickR <a href="https://creativecommons.org/licenses/by/2.0/">licence cc by</a>
«Hacker Rene» par Ivan David Gomez Arce | FlickR licence cc by

Temps de lecture: 9 minutes

A chaque fois, c'est le même manège. C'est d'abord la fin d'Internet, l'apocalypse, la pire menace qui rampe sur le réseau depuis l'apparition de ce dernier. Puis en fait, non. Des articles viennent rectifier le tir, à l'aide d'experts plus mesurés, pour dire que le problème de sécurité qui vient d'être détecté (bug, faille, vol de données...) ne peut être évalué comme ça, hors contexte, presque hors du temps, qu'il faut attendre, évaluer, pour être certain de sa gravité.

Non qu'aucune des vulnérabilités informatiques détectées ces derniers mois, et qui font de plus en plus la une des médias, y compris généralistes, ne vaut pas la peine qu'on s'y attarde. Le bug Heartbleed, par exemple, révélé au mois d'avril dernier, a plutôt été considéré comme une faille de sécurité sérieuse, ayant mis en péril (et mettant parfois encore) «des informations stockées sur un grand nombre de serveurs des services sur Internet», comme nous l'écrivions à l'époque.

Toutes néanmoins ne méritent pas cet égard et les gros titres. Toutes ne peuvent pas non plus être classées selon une typologie uniquement distribuée entre «cataclysmique» et «rien à signaler»: comme l'a encore prouvé Shellshock, la dernière faille dont tout le monde parle, une vulnérabilité peut ouvrir la voie à une catastrophe potentielle, mais sa gravité réelle ne peut être appréciée qu'à l'aune de la façon dont elle peut concrètement être exploitée.

Du coup, comment faire pour être certain que le prochain bug annoncé est pire que le précédent et qu'il ne dépend ni d'un alarmisme des médias en quête de clics, ni de la stratégie marketing d'entreprises vendant leur panoplie complète pour sortir couvert sur Internet?

Aucun outil n'existe vraiment

Interrogé par mail sur ce point, Bruce Schneier, identifié comme LE référent mondial en matière de sécurité informatique, se veut aussi clair qu'expéditif:

«Pas vraiment.»

Il n'y a «pas vraiment» de moyens de comparer le caractère critique des différentes vulnérabilités portées à la connaissance du grand public. Et encore moins d'outils transparents, objectifs et relativement indépendants –entendre par là, suffisamment détachés d'intérêts commerciaux ou même publics, quand les agences souhaitent par exemple renforcer la lutte contre la «cybermenace», devenu un enjeu politique majeur.

Il existe bien «un critère de départ», concède néanmoins Loïc Guezo, le «Security Evangelist» en Europe du Sud de l'entreprise de sécurité Trend Micro: le système CVE («Common Vulnerabilities and Exposures», «vulnérabilités et risques communs») et CVSS (pour «Common Vulnerability Scoring System», «système de notation des vulnérabilités communes»).

Le principe est tout bête: chaque faille se voit doter d'un CVE, «un identifiant pour la vulnérabilité (son matricule)», et d'un CVSS «son score de criticité», poursuit un autre de nos interlocuteurs, également spécialiste de la sécurité informatique, qui a souhaité garder l'anonymat. Et Loïc Guezo de reprendre:

«C'est un système mis en place il y a de cela une vingtaine d'années, avant l'explosion d'Internet, associé à une grille d'évaluation de 0 à 10, unanimement reconnue comme une référence.»

En cas de bug ou de faille, vous pouvez donc vous rendre sur le site National Vulnerability Database pour vérifier son CVE et son CVSS:

Par exemple, Shellshock, ou Bash bug, était notée 10/10 selon le système CVSS

Problème: le système n'est pas forcément indépendant. Si le CVE dépend du MITRE, une organisation à but non lucratif, ses financements proviennent en effet du gouvernement américain (plus précisément du Département de la sécurite intérieure). Même chose pour la notation CVSS, lancée en 2003 à la suite des travaux de la commission (le NIAC, National Infrastructure Advisory Council), qui éclaire le président des Etats-Unis et le Département de la sécurité intérieure sur les risques qui pèsent sur les infrastructures.

L'importance du contexte

Et quand bien même il serait parfaitement indépendant, ce bulletin de notes ne semble plus vraiment adapté aujourd'hui.

«Beaucoup de failles récentes ont obtenu 10 [la note la «plus grave», ndlr] dans ce système de notation, explique Loïc Guézo, ce n'est plus trop discriminant.»

Si cette note donne toujours un point de départ, une «bonne indication» pour savoir à quelle faille on a à faire, comme le note notre autre expert en sécurité, tous nos interlocuteurs s'accordent pour dire qu'il faut de toute façon replacer les vulnérabilités dans leur contexte.

«Aucun système de notation global ne peut convenir car l'informatique est très fragmentée», reprend ainsi Stéphane Bortzmeyer, autre spécialiste du réseau.

A chaque nouvelle faille identifiée, tous nous récitent une longue salve de questions qu'il est nécessaire de croiser:

  • Quelles machines sont visées?
  • Sont-elles nombreuses, beaucoup utilisées?
  • Si non, sont-elles tout de même essentielles pour une entreprise ou pour tout Internet?
  • La faille est telle facile à exploiter?
  • Peut-on le faire à distance?
  • Et dans quel environnement?
  • Et sur quelle période de temps?

Des interrgoations qui se doivent aussi parfois d'être reposées. «La gravité change souvent avec le temps», explique Stéphane Bortzmeyer, en fonction de nos connaissances sur la faille.

Quelles machines sont visées? Sont-elles nombreuses?

La faille est telle facile à exploiter? Peut-on le faire à distance? Dans quel environnement?

Sur quelle période de temps?

 

Néanmoins, cela ne veut pas dire que les experts en sécurité évaluent la gravité d'une faille «au doigt mouillé», tient à préciser de son côté Laurent Heslault, le directeur de la stratégie de sécurité pour Symantec France, un des acteurs majeurs du secteur –notamment propriétaire de la solution Norton.

Toutes ces interrogations servent à établir une «matrice de risques», raconte-t-il, «et s'il est vrai qu'il ne s'agit pas juste d'une impression», de nouvelles questions surgissant sans arrêt pour disputer le diagnostic («Dans certains cas, on découvre que c'est facile à exploiter, dans d'autres moins... Et il y a aussi le fait que certains sont faciles à corriger, d'autres moins...»). Laurent Heslault estime que l'expérience d'une entreprise peut aider à garantir le sérieux de l'analyse:

«On fait ça depuis 25 ans, le processus est rodé.»

Reste néanmoins que le grand public, qui s'intéresse de plus en plus à ces questions, tout simplement parce qu'Internet est aujourd'hui partout, du salon au poignet en passant par le téléphone, ne dispose d'aucun moyen indépendant pour s'assurer que oui, tel ou tel bug est effectivement grave.

Et au-delà du principe, cette situation est problématique: le secteur de la sécurité informatique est en effet régulièrement accusé de jouer les pompiers pyromanes pour se faire de la publicité sur le dos des incidents de sécurité informatique, dans le but de vendre davantage.

Les bugs, une opportunité commerciale?

Sur ce point, un premier constat s'impose: en sortant du domaine des purs techniciens, les pépins informatiques font désormais l'objet d'une communication de plus en plus intense. Comme le résume notre spécialiste de la sécurité sous couvert d'anonymat:

«[...] Le business est juteux et les concurrents sont nombreux, il faut donc s'assurer une visibilité correcte.»

Aujourd'hui garant de la sécurité d'une société qui n'a rien à voir avec ce marché, ce dernier explique avoir dû réaliser des articles de blog pour «améliorer la visibilité de [son] ancien employeur». Une obligation plutôt mince face aux exigences d'autres entreprises du secteur, ayant carrément mis en place un «système de "miles" interne» pour récompenser des actions de communication telles que porter un tee-shirt dans un salon ou suivre un compte Twitter recommandé.

 

«Le logo officiel de Shellshock»: peu de temps après l'annonce de Shellshock, des personnes non identifiées se sont emparées du bug et ont proposé des logos, au caractère officiel largement contesté ici.

Rien qu'à notre niveau de journaliste, on ne compte plus les communiqués de presse envoyés par les éditeurs de logiciels de sécurité à la suite d'un vol de données, de l'annonce d'une faille de sécurité ou d'une attaque informatique. Ainsi que le nombre de propositions d'entretiens avec des experts en cyber-sécurité, évidemment suivis de liens vers les solutions commerciales proposées par l'entreprise en question. Pour être honnête, c'est même par ce biais que nous avons pu discuter avec Loïc Guézo de Trend Micro et Laurent Heslault de Symantec.

Ces règles s'appliquent quand un nouveau bug est découvert: il s'agit de trouver un nom qui claque («Heartbleed», soit «coeur qui saigne»; «Shellshock», qui reprend le nom donné au stress post-traumatique des soldats de la Première Guerre mondiale), un logo, voire de créer, comme c'était le cas avec Heartbleed, un site spécial expliquant les effets de ce bug

Capture d'écran du site créé par les ingénieurs à l'origine de la découverte de la faille Heartbleed. Ils dépendent de la société privée Codenomicon et de Google Security.

L'effort peut être louable et avoir de vraies vertus pédagogiques. Et par ailleurs, aucun domaine n'échappe aujourd'hui à la maîtrise des stratégies de marketing et de communication: on le constate chaque jour avec les actions de l'organisation État islamique et les mouvements de contestation eux-mêmes ne font pas exception.

Mais que faire quand l'effort pédagogique, l'expertise, se confondent, jusqu'à se diluer, avec l'opportunisme commercial? Comme quand une société de sécurité achète pour faire sa promotion le nom de domaine shellshock.fr. Ou quand, en 2013, après une attaque informatique visant l'un de ses clients, la société Cloudflare verse dans un sensationnalisme relayé par de nombreux médias, jusqu'au New York Times. Son patron, Matthew Prince, avait alors écrit sur le blog de son entreprise que l'attaque avait «presque cassé l’Internet», la comparant même à une «une bombe nucléaire».

L'Anssi elle-même, l'agence gouvernementale qui veille à la cybersécurité de la France et est réputée pour sa communication plus que mesurée, reconnaît le problème:

«Effectivement, on constate que toutes les paroles d'experts ne se valent pas et qu'il peut y avoir, derrière ces avis relayés par les médias, des intérêts du fait de la structure ou de l'organisation auxquelles ces experts appartiennent.»

L'organisation, qui diffuse des «alertes» et des «avis» sur les vulnérabilités sans toutefois communiquer systématiquement sur leur gravité, tente aujourd'hui d'établir des listes de «prestataires de services de confiance».

Pompiers pyromanes

Faut-il alors se méfier des entreprises de sécurité?

Quand on aborde la question avec eux, nos interlocuteurs, actuels ou anciens employés des sociétés en question, ne se froissent pas. N'ont même pas l'air surpris.

S'ils appellent à éviter toute forme de généralité, «constat excessif» selon Loïc Guezo, ils concèdent néanmoins que la pression compétitive du secteur peut mener à des comportements excessifs. «C'est un milieu qui ressemble à celui de l'assurance et du démarchage, poursuit «l'Evangelist» de Trend Micro, également administrateur du CLUSIF, le Club de la sécurité de l’information français, il y aura toujours quelqu'un qui va faire une publicité bien sentie...».

C'est un milieu qui ressemble à celui de l'assurance et du démarchage.

Loïc Guezo

 

Pour notre interlocuteur qui s'exprime sous couvert d'anonymat, la propension à exagérer l'impact d'un pépin de sécurité informatique dépend aussi de la nature de ce dernier. Quand la menace est «floue [et] fondée sur des suppositions», il est selon lui plus facile «d'extrapoler et d'en faire des caisses; on n'a rien de concret». Et de citer l'exemple des attaques par déni de service (attaque DDOS, quand une machine prend le contrôle d'autres ordinateurs qu'elle force à aller se connecter en masse sur un site Internet, dans le but de mettre ce dernier hors d'usage) ou du cyberespionnage poussé (ou «Advanced Persistent Threat») –le dernier buzzword à la mode, à en croire ce spécialiste de la sécurité. Il ajoute néanmoins:

«Sur une faille type "Heartbleed" ou "Shellshock" c'est au final un peu plus difficile, on sait exactement ce que font les failles [...].»

Dans ce cas, la communauté de développeurs, d'ingénieurs et autres spécialistes de l'informatique peut faire rempart à une désinformation à but lucratif. Et à ce qu'on appelle le «business de la peur».

Business de la peur: on dirait le «FUD»

Il est à ce propos remarquable de voir à quel point ce concept tenaille le secteur. Le business de la peur n'est en effet pas simplement un des biais, parmi d'autres, de l'industrie de la sécurité informatique –comme il peut l'être d'ailleurs pour bien des secteurs. C'est une déficience identifiée et redoutée à un point tel qu'elle a carrément pris la forme d'un concept, désigné par un terme que tous les experts en sécurité connaissent: le «FUD».

«Fear, Uncertainty and Doubt», «peur, incertitude et doute»: le concept de FUD est dans l'ADN même du secteur informatique. Selon The Jargon File, qui traduit aux communs des mortels le vocabulaire de la culture hacker, on doit ce terme à un ancien employé d'IBM, Gene Amdahl, parti fonder son entreprise en 1975. Ce dernier aurait alors fait cet amer constat:

«Le FUD est la peur, l'incertitude et le doute que les commerciaux d'IBM instillent dans l'esprits de potentiels clients qui pourraient ne serait-ce que considérer acheter des produits [de Gene Amdahl]

Au cours de notre enquête, il a été frappant de constater à quel point le FUD était sur toutes les lèvres: «on peut lire du FUD», «faire du FUD»...

«En tant que communicant, je me suis penché sur le sujet, nous a ainsi confié Frédéric Boullard, en poste chez Symantec. Clairement, le FUD peut marcher, peut faire vendre... mais c'est un attrape-couillons! Jouer sur la parano déporte l'attention sur de mauvais problèmes alors que de vraies choses inquiétantes existent.»

Son collègue Laurent Heslault ne tient pas un discours différent:

«Oui, c'est une préoccupation importante du secteur. Le FUD peut limiter les mesures de sécurité qui doivent être prises. [...] Je vous assure donc que les vrais experts en cybersécurité détestent le FUD.»

Voici d'ailleurs peut-être ici la toute première barrière anti-FUD: la crainte de voir sa crédibilité et sa réputation d'expert, ou d'entreprise spécialiste de la sécurité, atteintes. 

«Je peux vous assurer qu'à Symantec, on fait très attention à ça, poursuit ainsi Laurent Heslault par téléphone. On ne peut pas se permettre d'être taxé de FUD!»

Astuce donc pour le prochain bug, la prochaine attaque, le futur vol de données censés bouleverser la face d'Internet et le monde: demander aux experts (et à Twitter, et à un moteur de recherche) si tout ceci n'est pas juste... du bon gros FUD.

cover
-
/
cover

Liste de lecture