Archives de catégorie : Sans catégorie

Heartbleed, la NSA et les vulnérabilités logicielles

Hearbleed défraie les manchettes depuis la semaine dernière, mais déjà la nouvelle a fait son petit bout de chemin. En commençant par les excuses du malheureux programmeur derrière l’erreur de programmation responsable de la vulnérabilité. Les rapports préliminaires laissaient penser à d’une porte dérobée, placée délibérément à l’intérieur du code d’OpenSSL, mais les origines du bogue semblent finalement tout à fait banales.

Une autre hypothèse discutée est que la NSA connait l’existence de Heartbleed depuis un certain temps déjà, mais a décidé de ne pas en avertir les développeurs et le grand public. C’est du moins ce que laisse entendre cet article qui prétend que l’agence américaine avait identifié le bogue dès son introduction malencontreuse en début 2012, et l’exploitait depuis à ses propres fins. Des accusations que la NSA s’est empressée de démentir, mais la réputation de l’organisation étant ce qu’elle est depuis un an, mon petit doigt me dit qu’un simple communiqué ne sera pas suffisant pour convaincre les sceptiques.

Qu’elle soit véridique ou non, cette accusation ramène sur le tapis une question intéressante, que plusieurs commentateurs n’ont d’ailleurs pas hésité à soulever: la NSA (ou les autres agences de renseignement ayant de semblables activités) devrait-elle dévoiler publiquement les vulnérabilités logicielles découvertes par ses employés dans l’exercice de leur travail? C’est un problème fort épineux et qui met en lumière les différents objectifs des deux cultures impliquées.

Pour les professionnels de la sécurité informatique, les bonnes pratiques en matière de traitement des vulnérabilités logicielles font l’objet de discussions depuis plusieurs années. La plupart des développeurs ont depuis adopté des processus encadrant la découverte des vulnérabilités, leur divulgation, la production des correctifs appropriés et leur distribution et installation chez les utilisateurs. La philosophie promulguée par la communauté à travers ces pratiques en est une de transparence: les nouvelles vulnérabilités affectant un logiciel doivent être communiquées rapidement à tous, afin que les propriétaires et utilisateurs de système puissent prendre les mesures nécessaires pour protéger leur information contre le risque encouru. Parfois, un court laps de temps est laissé aux développeurs afin qu’ils soient en mesure de produire le correctif nécessaire et éviter une trop longue période de temps entre la divulgation de la vulnérabilité au public et la disponibilité d’un correctif. En contrepartie, les entreprises sont sévèrement blâmées s’ils tardent à procéder à cette divulgation pour des raisons d’image – ce qui arrive encore de temps en temps.
Cette approche n’a évidemment du sens que dans un contexte où les acteurs cherchent à se défendre contre des attaques utilisant ces vulnérabilités. Les cybercriminels, qui ont leur propre raison de découvrir et d’exploiter des vulnérabilités logicielles, n’ont évidemment aucun avantage à se plier à ces bonnes pratiques; au contraire, ils cherchent à garder secrètes ces vulnérabilités le plus longtemps possible.

Les objectifs des agences de renseignement s’apparentent à la fois à ceux des professionnels en sécurité et des cybercriminels. Dans le contexte de la sécurité informatique, leur mission est à la fois de protéger l’infrastructure stratégique de leur pays face à l’espionnage international, mais également d’effectuer des opérations clandestines à l’étranger visant à recueillir de l’information jugée d’importance stratégique, souvent confidentielle.

C’est pour cette seconde mission, dite offensive (connue en anglais par le terme « offensive security », ou OFFSEC) que les agences de renseignement ont développé au cours des dernières années l’expertise interne nécessaire à l’identification et l’exploitation de vulnérabilités logicielles inédites. Ces vulnérabilités ne sont pas communiquées aux développeurs; plutôt, on les garde secrètes dans le but ultime de les utiliser pour exploiter des cibles, généralement étrangères. Stuxnet, le ver qui a infecté les centrifugeuses nucléaires iraniennes il y a quelques années, utilisait des vulnérabilités jusqu’alors inconnues du grand public car jamais dévoilées. D’une grande complexité, il a probablement été développé par les services Américains et Israéliens.

Évidemment, ces agences pourraient très bien communiquer leurs découvertes aux développeurs de logiciel, et ainsi participer à la philosophie de transparence en gestion des vulnérabilités mentionnée plus haut. La NSA pourrait ainsi aider l’industrie du logiciel commercial à rendre leurs produits plus sécuritaires qu’ils ne le sont présentement, et contribuer de façon positive à la communauté. C’est certainement ce qu’un grand nombre de professionnels en sécurité souhaitent. Cela dit, il y a peu de chance que ça arrive.

D’un point de vue offensif, et tel que mentionné plus haut, publier ces vulnérabilités diminue leur valeur. Une agence de renseignement désire pouvoir se fier à des vulnérabilités encore inédites pour infiltrer un système d’information étranger avant que les correctifs applicables ne soient conçus et installés. C’est une tâche qui devient plus difficile du moment où la cible est mise au courant du risque pour sa sécurité.

D’un point de vue défensif, c’est plus compliqué. Les agences de renseignement, en adoptant un rôle dans la recherche de vulnérabilité pour le compte de l’industrie logicielle, se retrouveraient également à faire un travail qui n’est, à la base, pas le leur. C’est normalement aux développeurs que revient la tâche de s’assurer que les logiciels vendus sont exempts de vulnérabilités. Comme c’est un objectif qui s’avère difficile à atteindre, on s’attend à ce que ces entreprises soient réceptives face aux vulnérabilités trouvées sur leurs produits par des chercheurs indépendants; certaines d’entre elles allant jusqu’à offrir des primes pour les cas les plus sérieux. Est-ce une si bonne idée de demander à une organisation comme la NSA de s’introduire (gratuitement?) dans cet écosystème, surtout lorsque ce sont tous les acteurs internationaux qui en bénéficieraient, puisqu’ils utilisent souvent les mêmes produits? Si un gouvernement désire diminuer le nombre de vulnérabilités présentes dans les produits informatiques (ce qui est, en soi, un objectif fort valable), il devrait probablement s’y prendre autrement, en stimulant la sécurité de l’information à même l’industrie logicielle par exemple, ce qui serait probablement plus efficace et moins coûteux pour tout le monde, et ne mettrait pas la NSA en conflit d’intérêts.

Face à la grogne engendrée par le silence de la NSA sur des vulnérabilités connues, mais non divulguées, l’administration Obama a récemment suggéré d’obliger le service de renseignement à publier ses découvertes… sauf lorsqu’elles présentent un enjeu national stratégique pour les ÉU. Compte tenu de la difficulté à déterminer ce qui devrait être un enjeu et ce qui ne l’est pas, ce n’est pas une proposition qui risque de changer les habitudes. Cela pourrait quand même les inciter à dévoiler les vulnérabilités qui ne leur sont plus utiles: celles dont on soupçonne la publication imminente ou quand d’autres vulnérabilités, plus efficaces et insidieuses, sont déjà connues et utilisées, rendant la nouvelle superflue du point de vue des agences de renseignements.

Finalement, une troisième option s’offre, qui est peut-être déjà sur le bout de votre langue si vous vous êtes rendu jusqu’ici dans votre lecture: celle de demander aux agences de renseignement de complètement se retirer de la recherche en vulnérabilités logicielles. C’est une proposition qui en cache en fait une autre: celle de leur interdire tout simplement d’effectuer des opérations offensives. Pour diverses raisons, je ne pense pas qu’on doit s’attendre à ce que ça arrive de sitôt… mais il s’agit d’un tout autre sujet, que je vais me réserver pour une discussion future.

Marqué ,

Heartbleed

Ça ne me tentait pas d’en parler, mais je vais le faire quand même: Heartbleed, une vulnérabilité plutôt déconcertante (pour ne pas dire catastrophique) qui affecte certaines versions d’OpenSSL. Ce logiciel est utilisé par un grand nombre de sites pour chiffrer les communications qu’ils effectuent avec leurs visiteurs, dans un contexte de commerce électronique par exemple. Donc, un outil plutôt important pour le fonctionnement d’Internet tel que nous le connaissons.

L’exploitation de Hearthbleed permet de lire aléatoirement des blocs de données présents en mémoire sur les ordinateurs utilisant une version d’OpenSSL comportant la vulnérabilité. En pratique, cela veut dire qu’un attaquant pourrait connaître, au bout d’un certain temps, la totalité des informations présentes en mémoire sur le serveur concerné, incluant des données de configuration, mots de passe des utilisateurs, etc. D’un point de vue de sécurité, c’est très grave.

Nous savons déjà que plusieurs sites internet sont affectés. Près de chez nous, il semble que l’Agence du Revenu du Canada soit au courant du problème.

Heureusement, on connaît déjà la solution: une nouvelle version d’OpenSSL, corrigeant le bogue menant à cette vulnérabilité, est déjà disponible. Mais la mise à jour de l’ensemble des serveurs touchés pourrait être longue. Comme un attaquant éventuel pourrait déjà avoir exploité cette vulnérabilité avant sa correction, les administrateurs de systèmes devront également changer leurs mots de passe et renouveler leurs clés privées, certificats et autres éléments nécessaires à la sécurité de leurs communications, ce qui représente un effort plus important que la simple mise à jour d’un logiciel.

Comme je le disais, je ne voulais pas en parler… pourquoi? Parce que ce n’est pas mon intention d’adresser sur ce blogue chaque nouvelle vulnérabilité logicielle découverte – et il y en a tous les jours. Ça finirait par devenir ennuyant pour la majorité des lecteurs cibles, et n’intéresserait qu’une poignée de gens plus techniques qui fréquentent déjà des sites plus spécialisés sur le sujet. J’ai décidé de faire une exception aujourd’hui pour Heartbleed à cause de l’importance de la découverte.

Pour le commun des mortels, le mot d’ordre reste le même: mettez à jour vos logiciels et appliquez-y les correctifs de sécurité disponibles. C’est important.

Marqué

À propos de Windows XP

Il n’y aura pas de « bogue » du 8 avril, date à laquelle Microsoft cesse d’offrir des mises à jour sur le système d’exploitation Windows XP, qui équipe encore beaucoup de PC à travers le monde. Si votre ordinateur utilise Windows XP, il continuera à fonctionner normalement demain.

Ces ordinateurs ne deviendront pas « plus vulnérable »; on devrait plutôt dire qu’ils ne bénéficieront plus d’une mesure de sécurité, soit la mise à jour du système d’exploitation suite à la découverte de nouvelles vulnérabilités logicielles.

À partir de demain, les chercheurs en vulnérabilités logicielles voudront peut-être concentrer leurs travaux sur Windows XP en sachant que toute nouvelle vulnérabilité découverte ne sera pas corrigée par Microsoft, et donc, sera exploitable pour une période plus longue.

La bonne nouvelle, c’est que Windows XP est un système d’exploitation qui a déjà un certain âge, et donc, que beaucoup de ses vulnérabilités ont déjà été découvertes et corrigées au fil des années. La mauvaise nouvelle, c’est qu’il en reste encore fort probablement.

Si vous êtes concernés, que devez-vous faire? Si vous utilisez votre ordinateur pour accéder à Internet, alors vous devriez fortement songer à migrer vers Windows 7 ou 8, ou même MacOS/Linux. S’il s’agit d’un système isolé (je pense entre autres à certains commerces, comme un restaurant, où l’ordinateur en question n’est pas impliqué dans les transactions de cartes de crédit), le risque à court terme est moins important.

Marqué

Par la porte d’en arrière

Il était une fois un nom bien connu dans le milieu de la sécurité, appelée RSA.

RSA, c’est en premier lieu un algorithme de chiffrement à clé publique, développé pour régler le problème classique de l’échange des clés, et qui a révolutionné la science du chiffrement.

RSA, c’est aussi une entreprise dont la réputation n’est pas à refaire, qui commercialise des implémentations de cet algorithme, et bien plus encore. Par exemple, cet elle derrière les SecurID, ces tokens d’authentification, petits « portes-clés » qui génèrent périodiquement des nombres aléatoires permettant de contrôler l’accès à certains systèmes plus critiques dans certaines entreprises, d’une façon bien plus sécuritaire qu’un simple mot de passe.

RSA, donc, jouissait d’un excellent pedigree comme peu d’autres entreprises dans ce marché plutôt spécialisé.

Vous remarquez que je parle à l’imparfait. C’est que voyez-vous, RSA a également été impliqué dans un paquet de petits scandales au cours des dernières années qui ont sérieusement terni sa réputation.

L’année dernière, dans la foulée de l’affaire Snowden, RSA s’est fait accuser d’être à la solde des autorités fédérales américaines. Ces dernières leur auraient versé plusieurs millions de dollars pour des raisons qui demeurent toujours imprécises jusqu’à maintenant, mais qui seraient en relation avec la volonté de la NSA d’introduire des « portes dérobées » (backdoors) dans certains produits de sécurité commerciaux, leur permettant de les outrepasser si nécessaire. La principale pièce à conviction: Dual_EC_DRBG, un algorithme de génération de nombres aléatoires, une pièce importante pour beaucoup de protocoles de chiffrement, et qui est soupçonnée depuis plusieurs années déjà d’avoir été spécialement conçu pour posséder une telle « porte dérobée », connue hypothétiquement par son concepteur.

Cette semaine, nouvelle tuile: un second protocole, « Extended Random », lui aussi publié par RSA dans certains de ses produits, exhibe des caractéristiques particulières et pourrait servir à accélérer l’exploitation de Dual_EC_DRBG. Un article de Reuters décrit bien l’historique de ce scandale.

Il va de soit que de telles révélations sont extrêmement dommageables pour une compagnie de la taille et de la réputation de RSA. Leur conférence annuelle, normalement très populaire, s’est vu boycottée plus tôt cet automne en guise de protestation.

De toutes les activités de la NSA révélées par l’affaire Snowden, l’ajout volontaire sur des produits commerciaux de vulnérabilités pouvant être exploitées comme « porte dérobée  » est peut-être celle qui a fait le plus sourciller les professionnels en sécurité de l’information. De telles vulnérabilités pourraient être découvertes et exploitées par une tierce partie. « Saboter » ainsi des technologies essentielles dans la sécurisation de l’infrastructure de communication semble contre-productif, même pour une organisation ayant le point de vue et la mission des agences de renseignements.

Il y a une troisième anecdote qui mérite d’être contée à propos de RSA. Cette dernière avait fait les manchettes il y a quelques années lors qu’elle avait avoué que des plans techniques de certaines de ses technologies de contrôle d’accès avaient été volés, peut-être par un gouvernement étranger. Quelques mois plus tard, ce sont des gros joueurs de l’industrie américaine qui avaient sonné l’alarme, en disant s’être fait infiltrer précisément via l’exploitation des produits de RSA. La nature exacte des informations volées chez RSA n’avait jamais été bien expliquée, mais se pourrait-il qu’il y ait un lien entre ce vol et la présence de portes dérobées dans leurs produits? Malheureusement pour RSA, j’ai de la difficulté à leur donner le bénéfice du doute, et j’aurais tendance à recommander à mes clients d’éviter leurs produits, mêmes si c’est parfois difficile à cause de leur grande popularité.

Marqué ,

Recours collectif contre le CSTC

Ça vient tout juste d’apparaître sur La Presse: un recours collectif démarré par l’Association des libertés civiles de la Colombie-Britanique contre les activités de surveillances domestiques du CSTC (Centre de la sécurité des communications du Canada, ou Communication Security Establishment ou CSE en anglais), qui est plus ou moins l’équivalent de la NSA au Canada.

À ce stade-ci, je n’ai pas grand-chose à ajouter – c’est un recours purement légal, et je ne connais pas suffisamment ni les lois en vigueur au Canada, ni les activités précises du CSTC. Cela dit, c’est définitivement un dossier qui sera intéressant de suivre dans les prochains mois.

Marqué , ,

#Snowdenisright

 

Je suis tombé sur ce vidéo produit par un groupe visiblement québécois, et diffusé à travers le blogue de Stéphane Berthomet sur le site internet du Journal de Montréal.

Je suis certain que le coeur des réalisateurs est à la bonne place. La scène est amusante et le tout adroitement édité. Malheureusement, je ne trouve pas que la métaphore est si pertinente, ni qu’elle explique bien les enjeux de vie privée reliés aux activités de surveillance domestiques pratiquées par la NSA ou, plus prêts de nous, par le Communication Security Establishment canadien. Les remarques de Stéphane Berthomet n’aident en rien: « pourquoi acceptons-nous cela de la part de certains gouvernements qui fouillent sans vergogne dans nos fichiers, surveillent nos mouvements ou collectent nos données ? » demande-t-il.

Il aurait été intéressant de demander aux participants involontaires de ce petit montage visuel ce qu’ils pensent des dizaines de caméras qui captent leurs allées et venues, à chaque fois qu’ils se retrouvent dans des endroits publics, et ce, même s’ils n’ont rien à se reprocher. Elles sont partout, ces caméras. Aujourd’hui, on les accepte et on les tolère, mais ce ne fut pas toujours le cas: non seulement leur présence est récente, mais leur installation a fait l’objet de tollés dans le passé, suivant des arguments semblables à ceux utilisés aujourd’hui. Et le risque était certainement réel: comment, par exemple, être certain que le garde de sécurité, responsable de gérer et d’entretenir toutes ces caméras, ne se décidera pas à utiliser cette information pour ses propres fins non légitimes, parce qu’il est trop curieux sur les déplacements d’une jolie demoiselle qu’il a à l’oeil, ou qu’il désire faire chanter son patron? Ce ne sont pas des scénarios si invraisemblables que ça.

Pourtant nous voici, des décennies plus tard, et la présence massive de caméras n’a pas entraîné les effets pervers prévus. Elles sont massivement utilisées post-facto, réquisitionnées par exemple par les forces policières pour investiguer un crime, et je crois que peu de gens prétendraient que cette utilisation est ultimement inacceptable pour la société. Je suis également certain que des abus – comme ceux mentionnés en exemple dans le paragraphe précédent – ont également eu lieu et auront lieu dans le futur.

C’est le propre des outils que d’être exploités, parfois avec de mauvaises intentions, mais il y a une différence entre reconnaître ce truisme – et prendre les mesures nécessaires pour mitiger ces risques – et crier au scandale en se disant espionné même-si-on-a-rien-fait-de-mal. 99% des gens enregistrés sur les caméras de surveillance sont techniquement « espionnés » et n’ont pourtant rien à se reprocher. Leurs images finiront dans des archives poussiéreuses, attendant d’avoir une quelconque utilité (ce qui n’arrive pratiquement jamais), et les bandes magnétiques finiront tout simplement par être recyclées.

Revenons à la surveillance domestique pratiquée par les agences de renseignement. À bien des égards, elle est très semblable au modèle mentionné plus haut des caméras de surveillance. Une grande quantité d’information (par exemple, les métas-données des conversations téléphoniques) est enregistrée. La majorité
de cette information n’est pas traitée « en ligne », cet à dire au moment même où l’appel téléphonique est logé – plutôt, elle est conservée pendant un certain temps, dans le but de la consulter après les faits.

Tout comme les caméras de surveillance, la vaste majorité des données recueillies concerne des gens n’ayant absolument rien à se reprocher. Et tout comme les caméras, cette information sera très probablement ignorée, oubliée, et ultimement effacée.

Est-ce que ça veut dire qu’on doit faire aveuglément confiance aux agences de renseignements? Est-ce que ça veut dire que des changements dans leurs fonctionnements et leurs rôles ne peuvent pas être proposés, afin de les adapter aux attentes modernes en matière de respect de la vie privée, et aux changements drastiques que les technologies de l’information ont amenés au cours des dernières années? Bien sûr que non. Mais cela ne veut pas dire non plus qu’il est acceptable de tomber dans la démagogie. La NSA ne suit pas à la laisse des citoyens aléatoires et sans reproche, comme le laisse entendre le vidéo. Elle ne fouille pas « sans vergogne » dans « nos fichiers », ni surveille « nos mouvements ». Ce sont des abus de langage, tout comme il serait abus de langage d’utiliser ces termes pour la surveillance par caméra de sécurité.

Bien sûr, la NSA (et bien d’autres personnes et groupes) est capable de faire ça, et le fait pour certaines cibles étrangères. Mais c’est évidemment un autre sujet.

Marqué

Nos cousins français

Trouvé sur le site du Journal de Montréal, une nouvelle faite sur mesure pour attirer mon attention:

L’article est plutôt avare de détails. Dommage. Par contre, celui-ci publié par Le Monde et qu’on m’a fait parvenir est beaucoup plus complet.

On y apprend que la source de cette nouvelle n’est nulle autre que notre ami Snowden, ce qui en fait la énième divulgation de ce dernier n’ayant strictement aucun rapport avec le programme de surveillance domestique américain. Mais bon, on commence à s’y faire, et cette fois, c’est le Canada qui peut jouer à la vierge offensée, ce qui fait changement du casting qu’on nous avait habitué.

Cette histoire est une nouvelle démonstration de l’utilisation de techniques de cybersécurité chez les gouvernements d’autres pays que les États-Unis. Pas que ça soit particulièrement surprenant, mais pour ceux qui en doutaient encore…

Marqué ,

C’est un départ

Bon, voilà. C’est fait. J’ai ouvert le compte, compris l’interface. Du moins, je crois… Ceci en sera le premier billet, parce qu’il faut bien commencer quelque part. Ça fait quelque temps déjà que je songe à créer un blogue sur la sécurité de l’information et sur la géopolitique, en français bien entendu, et il semblerait que c’est maintenant que ça se passe.

Pourquoi donc ces sujets?

1)      Parce que la sécurité de l’information est mon métier, depuis près de 13 ans déjà; c’est un métier passionnant, et que j’aime partager.

2)      Parce que je m’intéresse énormément à la géopolitique, et donc par ricochet, aux événements internationaux qui impliquent la sécurité de l’information – un phénomène en pleine croissance.

3)      Pour recenser – et partager! – les bons articles que je lis sur le sujet. C’est beaucoup plus simple de le faire à un seul endroit, au lieu de butiner à droite et à gauche sur des forums de discussions anglophones et francophones, comme je fais présentement.

4)      Parce qu’à ma connaissance, des blogues portant sur ces sujets au Québec, il n’y en a pas vraiment. C’est donc pour moi l’occasion de présenter des enjeux et d’entamer des discussions qui reçoivent souvent peu de place dans les médias québécois, même s’ils nous concernent tout autant.

Merci encore et bonne lecture.

Ian Lamothe Brassard