mai 26th, 2009

Chi va piano va sano. Jusqu’à présent, Adobe essuyait le feu des critiques en raison d’une politique de correction de faille pour le moins… nonchalante. Une situation qui ne pouvait plus perdurer, compte tenu du nombre croissant de « failles Adobe » et « d’exploits Acrobat » révélés par poignées pratiquement chaque mois. Un phénomène d’autant plus dangereux que ce composant, extérieur à Windows ou à OS/X, n’est pas pris en compte par le processus de correction de noyau des principaux éditeurs, Microsoft et Apple.

L’équipe de sécurité d’Adobe vient donc d’annoncer quasi officiellement que désormais, rendez-vous sera pris tous les trois mois, à l’image du Patch Tuesday Microsoftien. Une réponse faite dans l’unique but de donner un semblant d’organisation et de rigorisme à un processus de traitement des défauts logiciels, et essentiellement destiné à rassurer les départements sécurité des grandes entreprises. L’expérience Microsoft et Oracle, les deux principaux inventeurs du jour des rustines, a eu deux conséquences que l’équipe d’Adobe semble vouloir ignorer. En premier lieu, les « découvreurs »de failles ont un malin plaisir à publier leurs exploits la semaine ou le jour précédant le rendez-vous des bouche-trous. Ce qui ouvre une fenêtre de vulnérabilité de plus d’un mois dans le meilleur des cas. En outre -l’inoubliable expérience Conficker n’a fait que confirmer le phénomène- cette régularité de publication conforte les grandes structures à respecter un calendrier très protocolaire… et qu’importe la dangerosité d’une éventuelle exploitation. Le « patch » sera déployé et appliqué dans le mois suivant son mois de publication (afin de tenir compte des tests de régression officiellement déclarés), mais pas avant. Ce dogmatisme de la publication programmée, cette attitude régulière qui tente, en vain, de s’opposer aux pratiques précisément stochastiques des auteurs de malwares, est à l’image d’une armée régulière tentant de contrer, avec les moyens et les méthodes d’une armée régulière, les actions d’une guerre de guérilla. Adobe, en promettant une politique plus rigoureuse, a décidé d’aller dans la bonne direction… mais pas nécessairement avec les meilleurs moyens.

Tout comme les hordes de pirates qui menacent l’avenir de la culture et l’Art, le prétexte de la menace Scada est trop séduisant, l’efficacité de la rumeur trop importante pour qu’elle ne serve pas de catalyseur. A force de crier au loup et au risque Scada, certains experts pourraient bien provoquer des réactions des politiques totalement disproportionnées par rapport à l’analyse de risque.

En attendant les détails de la Loppsi (ou Lopsi2) en France, voici les promesses de la CyberSecurity Bill aux Etats-Unis. Internet est devenu un tel lieu de perdition qu’un projet de loi US vise à donner à la Présidence la possibilité de « fermer Internet » en cas de péril national, et de sanctionner par une « licence » la pratique du métier de cyber-expert en sécurité. Un Ordre National des Gourous du Hack en quelques sortes, assimilable à celui des Avocats ou des Docteurs en médecine. Une analyse passionnante qui nous est offerte par Joe Stewart de SecureWorks

.

L’idée même d’un centre de contrôle national centralisé capable de gérer tous les indicateurs d’une « cybermenace » relève un peu de l’utopie, fait remarquer l’auteur. Une utopie qui est d’ailleurs fort bien décortiquée au fil d’un tête à tête opposant Bruce Schneier et Markus Ranum, confrontation organisée par nos confrères de Security News. Chaque département, chaque secteur particulier doit posséder ses propres experts, rompus aux difficultés intrinsèques de son milieu. Le DoD se charge de la sécurité des armées, le FBI de la défense intérieure, et ainsi de suite. Ce qui ne contredit pas l’idée d’une sorte de cellule de crise unique fédérant les avis, chère à Ranum. Mais en aucun cas un modèle « top down » ne peut fonctionner. Un censeur central, un « manitou » de la cybersécurité –une chimère que poursuivent d’ailleurs tous les gouvernements occidentaux à tendance atlantiste- est un non-sens absolu, une folle prétention de tout connaître, un espoir vain de voir appliquer une sorte de « solution-décision radicale et unique » pour parer une menace qui serait évidente et aisément cernée. Une chose est certaine : quelque soit le pays, quelque soit la tendance politique, quelque soit la structure gouvernementale -des plus totalitaristes aux démocraties se réclamant d’un libéralisme éclairé- la mode est au contrôle et à l’écoute permanente des médias numériques. Que la chose soit techniquement envisageable ou non, que ces menaces poussent ou non les usagers à utiliser des mesures de contournement dignes des grandes heures de la résistance des maquis de 44, Internet pousse les politiques à verrouiller Internet sans même chercher à comprendre ni son utilité, ni les principes qui le régissent. Ceci en vertu du principe qui dit « celui qui peut détruire ou interdire l’accès à une richesse en détient le contrôle absolu ». Internet est paradoxalement une infrastructure Scada qui représente donc un danger pour les autres infrastructures Scada.

Reste le second point du projet de loi « Cybersecurity Bill » : la tentation de « l’ordre des CISO ». L’idée n’est en soit pas très révolutionnaire, et plus ou moins inscrite génétiquement dans les réactions des entreprises et des administrations. Car cette « licence » cybersécurité existe dans les faits : CISSP, SANS GCIA, MCSE, CCSA, CCSE, CSA, CCNA, CNA, Iso lead auditor … tout çà vaut bien une « équivalence » de permis de conduire un audit officiellement, après tout. Reste qu’un expert n’est généralement expert que dans un domaine précis. Et s’il en est lui-même très souvent conscient, ce n’est pas nécessairement le cas de ses clients, qui voient en lui un sauveur, un savant digne des grands maîtres de l’Universalisme, une réponse imparable à tous les problèmes. En bref, un antivirus ou un firewall fait homme.

Il suffit d’assister à quelques-unes des grandes conférences consacrées à la sécurité pour se rendre compte que le diplôme ne fait pas la science, et que les découvertes les plus importantes –ou les expertises les plus solides- sont parfois l’œuvre de gens qui n’ont cure des diplômes. Un Luigi Auriema, un Matthieu Suiche, un Paul (de GreyHat) sont les preuves vivantes de l’ineptie de cette course à l’expertise diplômée. Un cursus cadré est sans le moindre doute la preuve d’une connaissance acquise, mais édicter cette connaissance au niveau d’une « charge » professionnelle, avec patente et pas de porte serait le meilleur moyen de tuer la spontanéité de la profession. Et par là même son efficacité.