Mammouthification vs coopération (qui aime bien châtie bien)

Commençons par une banalité : l’affaire Snowden, qui nous envoie de bons baisers de Russie, a été un électrochoc. Ceci dit, quelques mois auparavant, l’intrusion de Bercy aussi. Tout comme celles de l’Élysée, de Belgacom, d’Areva, bref, la routine est faite d’Opérations Tonnerre. Elles ont toutes en commun d’être récentes. Difficile de trouver trace d’une grosse intrusion en France avant 2010.

Depuis, la gestion de crise se professionnalise, s’organise comme LE truc à la mode où tout le monde est expert (que tous les CERT en France lèvent le doigt), mais où concrètement, seule l’ANSSI chez nous, et 2-3 boîtes non françaises ont géré des crises de bout en bout. Si on s’y prend mal, on tape sur un malware, mais il revient et meurt un autre jour... quand il meurt.

Et justement, pas mal de choses bougent sous l’impulsion de l’ANSSI, bien que dans une position ambiguë :

• réglementation... qui conduit globalement les gens (même en interne) à se plaindre de la lourdeur administrative bien de chez nous. Vive la centralisation et cette habitude d’empiler des strates de hiérarchies plus ou moins compétentes pour assouplir le processus #ironie. S’installe alors le rythme administratif : vivre et laisser mûrir.
• les « clients » de l’ANSSI : l’État et les OIV (Organisme d’Importance Vitale). Ça couvre du monde, mais hors de ça, que se passe-t-il : pwner n’est pas jouer ? Sans oublier les nouvelles prérogatives liées à la LPM comme la contre-attaque.
• les actions de l’ANSSI vers l’extérieur : les avis du CERT FR (merci pour la planète, on ne risque pas la déforestation si on les imprime), des guides #nocomment et de temps en temps, un outil (oups, 6 sur le GitHub) ou CLIP, un Linux durci... mais qui n’est pas disponible à tous. N’oublions pas non plus ce site web so De Gaulle. Heureusement, il y a de très bonnes conférences #sincère (cf. ANSSTIC il y a 2 ans), je rage de voir tant de compétences et si peu de résultats (ce qui ne veut pas dire qu’on y glande).
   

Pour résumer, l’ANSSI cherche à contrôler tout ce qui se passe en sécurité en France, mais les retours vers la communauté de la sécurité ne sont pas à la hauteur des espoirs engendrés par l’Agence #Frustration.

En sécurité, on mesure couramment la légitimité de quelqu’un à ce qu’il produit. Or là, on ne voit quasiment rien de ce que crée l’ANSSI, car il n’y a pratiquement rien de public (for your eyes only). Du coup, après avoir recruté des juniors à tour de bras, l’ANSSI impose sa légitimité par la Loi. Cette légitimité législative donne une petite arrogance à certains (très peu pour être honnête) alors qu’ils ont encore du lait qui leur coule au coin des lèvres en termes de sécurité.

Il est quasi-sûr que, sans ce passage en force, les grandes entreprises et OIV ne bougeraient pas autant qu’il faudrait (la sécurité n’est que rarement la priorité, ça coûte de la money avec un budget d’un penny). Quand le sage montre le doigt, le fou regarde la Lune et raque (moon raker en anglais, évidemment). Alors, rien que pour ça, merci l’ANSSI.

Cette frénésie réglementaire est aussi liée à une obligation de neutralité : l’ANSSI, au service de l’État, ne peut (veut) pas dire que tel produit est pourri, ou telle société incompétente, elle n’a pas de permis de tuer en tant que juge. Pour compenser, la réglementation a vocation à éliminer les « mauvais », mais regardez les 8 CSPN et 13 PASSI, pas de surprise ! Du coup, à quoi servent ces usines à gaz ? Les clients continuent à jouer à la roulette pour choisir produits et prestataires comme au casino royale. Tous les CSPN/CESTI et PASSI ne sont pourtant pas équivalents. Pourquoi ne pas mettre une sorte de graduation par domaines d’expertise par exemple ?

L’Agence pourrait aussi révolutionner ses règles de diffusion (articles et outils) guidées par le politiquement correct. Les bulletins de sécurité fourniraient différents niveaux d’analyses des failles et une signature pour détecter les attaques utilisant ce vecteur. Offrez du vrai contenu ! Aujourd’hui, on récupère un bulletin, un rapport, et on ne lit que deux fois la prose de l’Agence.

La sécurité est un domaine avant tout humain. Pas technique, organisationnel, juridique ou je ne sais quoi : humain ! Et la sécurité marche parce que des personnes collaborent, discutent, se font confiance. Et ça, pas une réglementation ou un contrat ne pourra le forcer. Tout le monde se connaît. Les labos de l’ANSSI font des trucs impressionnants : ouvrez-les à la coopération, simple, sans cadre administratif, juste parce que des échanges naît le progrès.

La France est un petit pays avec de très nombreux talents, entre autres avec ses ingénieurs. Il serait peut-être temps de les libérer, de les laisser briller : les diamants sont éternels. Faites-leur confiance : la France ne suffit pas. Mais pour ça, il faudrait aussi arrêter de sans cesse se reposer sur l’État, et prendre ses responsabilités : c’est aux acteurs d’agir, pas d’attendre que ça vienne à eux.

N’en doutez pas, je suis fan de l’ANSSI. Ou plus exactement d’un paquet de monde qui y travaille et qui essaye de faire bouger la bête administrative et hiérarchique de l’intérieur. Mais je suis vraiment frustré de voir la sous-exploitation, et plus encore des jeunes déprimer devant la lourdeur interne et me sortir comme excuse « on n’y peut rien, c’est l’administration ». Des choses bougent, certes, mais tellement lentement si on suit le système.

Conclusion : pour faire un Bond (James Bond) en avant, bougez-vous le Q ! Ou pour être plus souverain, on ne manque pas d’os, sans disette, dans ce nid d’APT.

God save l’ANSSI

Fred RAYNAL (idéaliste)
@fredraynal
@MISCRedac

Au sommaire de ce numéro :

Pentest corner

p. 04 Contribuer à Metasploit : guide du débutant

Malware corner

p. 11 Analyse du malware Blame

Forensic corner

p. 14 Volatilisons Linux : partie 2

Dossier : Sécurité du cloud : Peut-on confier son infrastructure à un tiers ?

p. 28 Préambule

p. 29 Appréhender le cloud, pour le meilleur et pour le pire
p. 36 Introduction à la sécurité de la gestion dynamique des ressources dans le cloud
p. 42 Mécanismes de sécurité au niveau processeur pour la virtualisation
p. 46 Le Cloud : cette nébuleuse juridique

Réseau

p. 58 Génération automatique de règles Snort pour la détection des réseaux Fast-Flux 
p. 60 Une étude des bruteforce SSH

Système

p.66 La sécurité des SAN (2ème partie) : impacts de la convergence LAN/SAN

Application

p.74 Analyse d'une inscription en ligne : comment vos données fuitent sur Internet…