Aller au contenu

2

Les Assises de la sécurité et des systèmes d'information tenaient leur dixième édition à Monaco du 06 au 09 octobre 2010. Cet événement rassemble des RSSI de toute la France, des fournisseurs de solutions de sécurité et plus généralement la communauté de la sécurité des systèmes d'information.

Organisées assez classiquement autour d'un salon, où les exposants présentent leurs solutions, les assises sont rythmées par des séances plénières avec quelques invités prestigieux et des ateliers qui abordent les problématiques de la sécurité sous différents angles parfois très concrets ou plus simplement pour présenter des prestations ou des produits. Je dois avouer que j'étais évidemment plus intéressé par les présentations plus concrètes, mais la communauté des RSSI a aussi et sûrement besoin de mieux connaître et discuter les offres existant sur le marché.

Les séances plénières auxquelles j'ai pu assister :

  • Enrique Salem, CEO de Symantec, nous a présenté sa vision des usages numériques d'aujourd'hui et demain et de leurs conséquences sur la sécurité ;
  • Eugène Kaspersky (qui a laissé tomber la barbe!), fondateur et président de Kaspersky Lab, nous a livré sa vision de la cybercriminalité aujourd'hui et de la réponse qu'il recommande: une police mondiale de l'Internet et l'identification sécurisée de toutes les personnes qui publient de l'information ou achètent sur Internet. J'en reparlerai sûrement.
  • "Dix ans de risque informatique... un regard vers le futur immédiat". Cette table ronde réunissait Alex Türk, sénateur du Nord et président de la CNIL, Michel Riguidel, chercheur à l'ENST et Hervé Schauer, président et fondateur de HSc. Une petite heure de réflexions passionnantes sur les défis des dix prochaines années en sécurité numérique. Ce que j'en retire principalement est qu'on n'est pas au bout de surprises, avec un Internet qui dans cinq ans ou dix ans ne ressemblera plus à celui que nous connaissons aujourd'hui; l'individu et sa protection et la protection des Etats seront vraisemblablement les sujets majeurs de la sécurité numérique des prochaines années, tout autant que la protection des intérêts économiques des entreprises.
  • Et en clôture la simulation du procès pénal des réseaux sociaux. Il s'agissait ici de réfléchir avec l'auditoire sur les risques d'un usage mal informé des réseaux sociaux, des abus de certaines de ces plateformes et de l'exploitation qui peut en être faite par les criminels. Beaucoup de rires dans cette simulation du procès du mystérieux "Raizosocio", mais aussi tous les instruments d'une réflexion à poursuivre, merci à tous les "acteurs" !

Parmi les présentations auxquelles j'ai assisté, je citerais :

  • Un atelier organisé par Fortinet pour présenter les enjeux de la SSI dans des groupes à dimension mondiale et comparer les points de vue d'Areva et d'Alstom. Peu de surprises, mais une bonne synthèse des enjeux.
  • Les faux antivirus étaient illustrés par Nicolas Brulez (@nicolasbrulez) de Kaspersky Labs : une présentation vivante et très complète. A noter au passage la confirmation dans ses travaux qu'il y a parfois automatisation des processus d'empoisonnement des moteurs de recherche (j'en parlais en début d'année ici).
  • Une démonstration d'ingénierie sociale facilitée par les réseaux sociaux, faite par Arnauld Mascret de Sogeti ESEC R&D.

Enfin, le prix de l'innovation a été créé en 2006 et récompensait pour sa cinquième édition une jeune entreprise que nous connaissons bien: Arxsys. Créée par 4 anciens élèves de l'Epitech, Arxsys a pour ambition de développer une offre autour de l'investigation numérique, grâce au développement d'une plateforme opensource dédiée à cette mission, le Digital forensics framework et de services adaptés aux différents utilisateurs (forces de police et entreprises notamment lors des réponses à incident). Leur plateforme est désormais bien aboutie, et j'invite toute la communauté de l'investigation numérique à la tester rapidement, et à contribuer aux développements opensource. J'espère que cette initiative fera naître d'autres projets innovants français (et pourquoi pas opensource) au service de l'investigation numérique. Bravo à eux pour ce Prix !

Les rencontres dans les allées des Assises, lors des événements sociaux, dans les ateliers ont permis certainement à tous de nombreux échanges. En tous cas, j'ai personnellement pu avoir de longues heures de discussions passionnantes cette semaine et quelques nouvelles idées dans ma besace. Merci aux organisateurs !

1

Les deux bugs qui tiennent la corde pour le bug d'or de l'an 2010 ont tous les deux un impact sécuritaire: la carte bancaire allemande et l'antivirus de Symantec. Mais la liste ne s'arrête pas là...

La carte bancaire allemande

Beaucoup d'allemands ont eu la surprise dès le 1e janvier 2010 de ne plus pouvoir payer ou retirer de l'argent avec leur carte bancaire. Plus de 23 millions de cartes sont concernées, que ce soit dans leur fonction de retrait ou d'achat. Le masque d'application de leur puce refuse de valider toute transaction relative à une date de 2010. On ne sait pas encore exactement quel est le défaut dans la programmation. Une routine de comparaison ? Un mode de stockage de la date ?

En tous cas, le fait que seules des cartes allemandes soient concernées, alors que les cartes françaises par exemple utilisent aussi le standard EMV (Europay Mastercard Visa) et son masque applicatif, peut nous permettre de présupposer qu'une personnalisation spécifique est en cause et non le standard EMV lui-même.

Gemalto, producteur des cartes bancaires en cause, a publié un communiqué de presse évoquant les mesures en cours de développement pour apporter une solution aux millions de porteurs, tandis que les banques ont dû modifier - de façon temporaire - le programme des terminaux et guichets automatiques pour accepter ces cartes.

Oberthur a quant à lui publié son propre communiqué de presse pour confirmer que ses cartes n'étaient pas concernées...

Un premier bug donc avec un impact assez fort sur une population qui est culturellement peu favorable aux paiements par carte bancaire (les allemands ont toujours préféré les paiements en liquide et utilisaient jusqu'à récemment surtout des cartes de retrait et très peu les cartes de paiement). Il faudra en tirer les leçons : l'évaluation sécuritaire des cartes bancaires à puce doit absolument contrôler les bugs applicatifs.

Les mises à jour Symantec

Le processus de mise à jour de certains produits de sécurité de la société Symantec (plus précisément ceux qui sont basés sur Symantec Endpoint Protection Manager) n'accepte plus les définitions de virus postérieures au 31 décembre 2009, 23:59:59... The Register publie deux articles à ce sujet le 05 janvier et le 09 janvier.

Symantec tient à jour des informations sur son site. En attendant qu'une correction soit apportée aux logiciels déployés, des mises à jour datées du 31/12/2009 avec un numéro de version qui croît maintenant rapidement ont été publiées, qui devraient être acceptées. De nombreux produits sont concernés: anti-virus, contrôle d'accès, protection contre les intrusions, et ce essentiellement pour des produits destinés à un environnement professionnel. Il semble que les administrateurs des clients concernés, qui basent leurs contrôles sur la date de mise à jour de l'anti-virus sur les postes de travail, vont avoir rapidement des soucis pour autoriser l'accès de leurs usagers au réseau.

Il semble qu'ici il s'agisse d'une erreur dans la routine qui compare les dates...

Autres bugs moins graves

SpamAssassin est un produit qui permet de filtrer les messages indésirables. Un bug a été détecté (voir ce court article ou celui-ci) dans une des routines attribuant des points supplémentaires aux messages simplement parce qu'ils étaient datés à partir de 2010 et ils se retrouvaient tous dans la boîte à Spam (le but de cette fonction était d'attribuer des points par défaut aux messages dont la date est trop éloignée) ! L'erreur avait été signalée plusieurs mois auparavant, mais incorrectement corrigée.

Espérons que la liste des bugs liés au passage à 2010 s'arrête là.