C&ESAR 2017 - J1
Conférence d’introduction
C&ESAR à été créé il y à 20 ans, soutenu par DGA-MI afin de faire se rencontrer tout les acteurs de la cybersécurité. Cette conférence marque l’ouverture de l’European Cyber Week initié l’an dernier. La prochaine conférence se déroulera au couvent des Jacobins. Le thème de cette année est la protection des données faces à la menace Cyber. Face à cette menace, la DGA à développé ses compétences et son expertise sur le sujet. La compréhension de ces problématique à permis de rapprocher les experts des opérationnels chargés de protéger les systèmes d’information du ministère des armées.
Environnement Naval vs Cyber
Un navire est forcément composé de nombreux éléments d’origine diverses, et opère dans des environnement plus ou moins sécurisé. Exemple avec un port qui dispons de son propre système d’information avec lequel le navire devra s’interfacer. Cependant, ce même port interragis avec des navires civils plus ou moins sécurisé. La gestion des menaces physiques telles que les drones, les zodiacs, nécessitent d’échanger en temps réel des informations sur les éléments potentiellement à risque entre les navires. Il faut donc gérer la sécurité de ces échanges dans un contexte juridique & technique complexe.
Le risque cyber n’est qu’une composante de la sécurité d’un navire. Afin que la mise en place des mesures de sécurités ne soit pas une entrave aux missions du navire, et participe à son bon fonctionnement. Pour ce faire Naval Group à mis en place un processus complet d’intégration de la sécurité informatique dès la conception du bâtiment. Afin d’être à jour sur les menaces et de prendre en compte ces nouveaux risques, Naval Group s’est doté d’un CERT et s’est mis à la Cyber Threat Intelligence.
Les nouveaux produits, c’est bien de les sécuriser dès le début, mais il faut aussi être capable de faire évoluer les bâtiments existants et de les maintenir à jour face au risque SSI. De même dans l’opération du bâtiment, il faut prendre en compte les contraintes d’isolement, avec un équipage qui doit être capable en toute autonomie de traiter un incident de sécurité informatique.
Pérennisation et protection du patrimoine scientifique
Le cermav est un laboratoire leader dans les glycosciences. Chaque laboratoire scientifique est indépendant, et les chercheurs échanges entre laboratoires de façon locale et à l’international. Face à l’offre cloud des GAFA, il faut proposer des services aussi attractifs afin que les données restent au niveau du laboratoire. Afin de voir ce qui se passe, l’équipe informatique à mis en oeuvre des sondes de détection suricata et un cloud « privé » basé sur Owncloud. Hélas les utilisateurs ont continué à utiliser des offres cloud externes. La mise en oeuvre de blocages au niveau IP ne suffit pas à bloquer facebook, google & cie. Du coup ils ont utilisé un « firewall » palo-alto qui fait de l’interception et permet de mettre en place des règles permettant par exemple de consulter Facebook mais pas de poster des messages. Autre menace prise en compte: les imprimantes réseaux qui ont été isolés du reste du réseau, et qui ne peuvent envoyer le résultat de leurs scans qu’au adresses e-mail du laboratoire. Coté sauvegardes, les classiques backup PRA/PCA et autres exercices de restauration des données. Cela passe par la mise à disposition d’un répertoire de sauvegarde spécifique.
La sécurité ne peut fonctionner sans la coopération des utilisateurs et leur vigilance. Du coup la formation et la sensibilisation fait partie du « cursus » des nouveaux arrivants. Présentation par des extérieurs, Exercices de « spear phishing » à l’aide du Social Engineering Toolkit. Lors de la campagne, 7 vicitmes mais aussi 5 alertes de sécurité, et au moins avec des navigateurs à jour. Afin de construire sur cet exercice, une session de communication et de sensibilisation à été faite.
Protection de la vie privée dans les réseaux de véhicules
Les véhicules ne sont pas sans dangers, et l’automatisation de la conduite est une des pistes permettant de réduire drastiquement les morts sur nos routes. De même la gestion d’une grande densité automobile par un véhicule autonome est un sacré défi. Le rond-point de l’étoile en est un bon exemple. La communication entre véhicule est une solution pour permettre d’éviter les collisions entre véhicules et fluidifier le trafic dense d’automobiles autonomes. Ces communications inter-véhiculaires sont basés sur le concept simpliste d’un smartphone sur roues. Dans le réseau Wave, toutes les données échangés entre les véhicules sont traités avec la même priorité, qu’il s’agisse d’avertissements ou de communications « multimédia ». Le problème avec la radio wifi, c’est les risques SSI (j’ai épuisé mon quota de cyber) associés, et la piètre efficacité dans la coordination de vehicules.
Une autre communauté s’est construite sur la base d’échange courte distance sur base optique ou radio très courte portée afin de faciliter la coopération enter véhicule. En se débarrassant de la transmission de données personnelles et en restant sur le strict minimum pour assurer la sécurité des passagers. On retrouve le concept classique de séparation des réseaux en fonction des usages et de la criticité.
La stratégie d’anonymisation des véhicules actuellement normalisée repose sur une autorité de certification et la mise à disposition d’un ensemble de pseudonymes par utilisateur permettant d’assurer la non-traçabilité de la part d’un observateur extérieur ou d’autres véhicules. Par contre l’autorité de certification telle une préfecture de police, peut faire le chemin inverse du pseudonyme au propriétaire. Le problème c’est que le volume de pseudonymes disponible est fini, et nécessite un rechargement par une reconnexion à l’autorité de certification, ouvrant la porte aux attaques.
L’autre solution, c’est la pseudonymisation déconnectée avec un usage rationnel des pseudonymes pour éviter leur épuisement. L’usage de capteurs optiques avec mesure de distance relatives permet de se débarrasser des données GPS, et donc de la problématique de tracking des usagers.
Si on laisse faire la standardisation actuelle, Wave 1 est une catastrophe en terme de sécurité et de vie-privée, sans compter les coûts apportés par la partie pki.
Applications e-santé, le contrôle des données personnelles: un enjeu majeur pour la protection de la vie privée.
Avant, dans les systèmes de santé, le patient n’était pas acteur du SI, mais une simple donnée. Dans la e-Santé, le patient est porteur d’objets de santé connecté et porteur d’informations utiles pour le corps médical. L’interconnexion croissante des systèmes de santé viens rajouter un lot de risque non négligeables sur le SI, mais aussi pour les individus et leurs périphériques. Le coût de la sécurité pour des produits IoT & Cloud de santé est problématique, cars les gens semblent ne pas vouloir payer pour cette sécurité (quoique, la tendence semble s’inverser puisque la privacy est devenu un différenciant marketing). Puisqu’un patient peut se balader d’un hôpital à une mutuelle, il faut donc gérer une granularité sur les droit d’accès pour que les données sensibles du patient ne soient accessible qu’aux professionnels de santé. L’Attribute BAsed Encryption tel que kp-abe permet de chiffrer une donnée à destination d’un ensemble d’usagers et de gérer des niveaux d’informations pour les mutuelles, ou les professionnels de santé etc… Pour satisfaire aux contraintes CPU de ce type de chiffrement, la sécurisation des informations est déportée dans un « micro cloud » de confiance comme la box ou le smartphone de l’usager.
Vision de l’écosystème de l’IoT et protection des données.
Aujourd’hui, on à un cycle de vie de la sécurité: identify, protect, detect, respond, recover. Dans ce cycle, l’incident est pris en compte. La vie privée doit être intégrée dans l’analyse de risques. Cette analyse peut s’alimenter ou alimenter des tests d’intrusion afin d’identifier si le risque est avéré, ou bien d’identifier des risques insoupçonnés. Cette approche à été mise en oeuvre dans le cadre d’une infrastructure type « smart grid » et à mené au chiffrement d’un ensemble de données dans les concentrateurs à l’aide d’un HSM. Une autre mise en oeuvre de cette analyse s’est faite sur un Yatch connecté avec un besoin de séparation entre les données liés au fonctionnement du bateau, et les données liée à la vie des personnes à bord.
Détection automatisée de fausses données utilisées dans les attaques de type HoaxCrash et Fovi
Ceux qui pratiquent le social engineering savent très bien que la vulnérabilité présente entre la chaise et le clavier est difficile à patcher. Le hoaxcrash consiste à forger une fausse information suffisamment crédible pour provoquer un mini-crash boursier sur une entreprise. Ces arnaques & hoax informatiques ont un fort impact économique. Exemple avec la compromission de l’associated press dont le compte twitter avait été compromis, et le flash-crash sur le daw-jones en résultant.
Autre exemple avec un faux mail de Vinci forgé pour faire croire à des difficultés d’audit envoyé à bloomberg, la chaine d’info des trader de wall-street avec un autre flashcrash à la clef.
Les attaquants font leur beurre pendant les 7 minutes que dure le flash-crash, il faut donc une solution automatique de contrôle des méta-données du mail afin d’identifier l’illégitimité de la fausse information.
Les arnaques Fovi représentent la classique arnaque au président avec un faux ordre de virement. La mise sous pression d’une secrétaire demandant un ordre de virement express fonctionne plutôt bien. Autre technique, se faire passer pour un fournisseur avec un changement de RIB.
En faisant de l’analyse sur les méta-données, et du NLP pour identifier les mots clefs du texte, l’orateur calcule un indice d’impact lève une alerte. Pour éviter les hoax, l’orateur propose une blockchain pour la publication de communiqués de presse.
Protection des données de l’information en Europe.
Le cyberespace n’est pas pour l’orateur un nouvel espace, mais l’accroissement de la surface de communication des individus et des entités. En fait, l’Europe pour l’instant n’a fait que s’aligner sur la doctrine militaire américaine qui à « défini » le cyberespace. L’accroissement de la surface d’attaque s’est faite en proportion de l’augmentation de la surface de communication des individus, organisations et des états. Pour un juriste, le code n’est qu’un objet indéfinissable, et seul l’intention de l’individus compte. Au niveau international, il existe un droit de la paix qui régis les actes de guerre. Les américains ont transposé directement le concept de « self-defense » au cyberespace, cependant, il faut pouvoir identifier à coup sûr l’attaquant. L’Amérique à mis en oeuvre une doctrine visant à attaquer préventivement toute source de menace. Pour ce faire, les Etats unis sont sortis des traités de non-prolifération nucléaire et ont déséquilibré la géopolitique mondiale. Par exemple, ils envisagent de réquisitionner les entreprises et leurs moyens (donc leurs employés) en cas de besoin. Coté Français, on à la LPM qui force les OIV et leur fournisseurs à se sécuriser. Au niveau Européen, les moyens paraissent bien faible en comparaison de la surface et de la population si on compare à Singapour. Concernant les organismes en charge de la sécurité informatique, certaines sont hérité de ministères régaliens comme le BSI issue du ministère de l’intérieur Allemand, ou d’autre sont des agences techniques avec des missions transverses comme l’ANSSI. ( T.T »)