[Newsletter HSC] N°38 - Octobre 2007
Newsletter d'information de HSC
newsletter at hsc-news.com
Lun 1 Oct 16:44:11 CEST 2007
========================================================================
HSC Newsletter -- N°038 -- octobre 2007
========================================================================
"La victoire est brillante, l'échec est mat !"
[ Coluche (comique français du XXe siècle) ]
--[ Sommaire ]----------------------------------------------------------
1. Nouveauté : formation "ISO 20000-1 Lead Auditor"
2. Formation "Conduite pratique des Tests d'Intrusion"
3. Formations ISO 27001 à Bruxelles et Rennes
4. Prochaines formations HSC
5. Agenda des interventions publiques
6. Nouveau : livre sur les SMSI par Alexandre Fernandez-Toro
7. HSC à Infosecurity à Paris les 21 et 22 novembre 2007
8. Première conférence du Club 27001 "SMSI et normes 27001"
9. OSSIR SUR
10. Assises de la Sécurité
11. Nouveautés du web HSC
12. Veille en vulnérabilités HSC
13. Offres d'emploi : consultants sécurité ISO 27001
14. Erratum - H. Schauer
15. La sécurité "au jour d'aujourd'hui" - H. Schauer
--[ 1. Formation "ISO 20000-1 Lead Auditor" ]---------------------------
Profitant de son expérience sur l'audit des SMSI d'une part, et de
son expérience ITIL d'autre part, HSC lance en 2008 une nouvelle formation
certifiante : "ISO 20000-1 Lead Auditor" ou responsable d'audit ISO20000-1.
La norme ISO 20000-1 s'appuie sur ITIL (Information Technology Infrastrucure
Library), ensemble de bonnes pratiques en matière de gestion des services
informatiques, et formalise ITIL sous forme de Systèmes de Management,
permettant une certification comme pour la qualité (ISO 9000) ou la
sécurité de l'information (ISO 27000). Ce nouveau système de management
est complémentaire aux autres, et il est architecturé de manière identique
avec un guide de bonnes pratiques : ISO 20000-2, qui complète la norme
ISO 20000-1 qui elle construit les PDCA (Plan-Do-Check-Act).
Afin de démontrer à leur hiérarchie, comme à leurs utilisateurs ou clients,
la pertinence des processus mis en place pour rendre un service
informatique de qualité, les directions des systèmes d'information (DSI)
ont tout intérêt à s'orienter vers la certification ISO 20000-1.
La formation ISO 20000-1 Lead Auditor vous permet de devenir auditeur
ou responsable d'audit pour les systèmes de management des services
informatiques des organisations, que ce soit pour les audits internes ou
les audits de certification.
La formation s'adresse aux personnes ayant la certification ITIL
foundations, et elle est sanctionnée par une certification délivrée
par LSTI, organisme de certification.
La première session à Paris aura lieu du 10 au 15 mars 2008.
Consultez le programme détaillé, les pré-requis, les informations sur les
formateurs de cette formation sur :
http://www.hsc.fr/services/formations/iso20000_la.html.fr
Pour tout renseignement et pour vous inscrire contactez Lynda Benchikh
formations at hsc.fr -- +33 141 409 704
--[ 2. Formation "Conduite pratique des Tests d'Intrusion" ]------------
Cette formation de 5 jours, assortie de travaux pratiques avec un
ordinateur par stagiaire, enseigne la méthodologie et les techniques
les plus efficaces pour réaliser un test d'intrusion.
Le stagiaire apprend à mettre en pratique les techniques d'intrusion
les plus récentes sur les principales technologies du marché : systèmes
d'exploitation Windows et Unix, bases de données, applications Web, etc.
Cette formation s'adresse :
- aux experts en sécurité, consultants ou auditeurs internes dont le
rôle est de vérifier la sécurité des systèmes informatiques ;
- aux administrateurs systèmes ou réseaux, chefs de projets, ou
responsables sécurité voulant mieux comprendre les techniques des
attaquants pour ainsi mieux sécuriser leurs systèmes.
La première session aura lieu à Paris du 21 au 25 janvier 2008.
Consultez le programme détaillé, les pré-requis, les informations sur les
formateurs de cette formation sur :
http://www.hsc.fr/services/formations/formations_ti.html.fr
Pour tout renseignement et pour vous inscrire contactez Lynda Benchikh
formations at hsc.fr -- +33 141 409 704
--[ 3. Formations ISO 27001 à Bruxelles et Rennes ]---------------------
Profitez et faites profiter des premières formations HSC à Bruxelles
et Rennes. Il est toujours beaucoup moins coûteux d'assister à des
formations dans sa ville. Ces formations se déroulent dans un hôtel du
centre ville, facilement accessible. Elles sont sanctionnées par une
certification reconnue dans le monde entier, délivrée par LSTI, organisme
de certification accrédité par le COFRAC.
- Bruxelles
ISO 27001 Lead Implementer ........ : 1 au 5 octobre
ou Responsable d'implémentation ISO 27001
- Rennes
ISO 27001 Lead Auditor ............ : 26 au 30 novembre
ou Responsable d'audit ISO 27001
Les tarifs sont identiques à ceux de Paris et toutes les réductions, pour
le suivi de plusieurs formations ou l'inscription de plusieurs participants,
s'appliquent à ces formations.
--[ 4. Prochaines formations HSC ]--------------------------------------
Des places sont disponibles sur les modules suivants :
- Paris
Sécurité Unix et Linux ............ : 1 et 2 octobre
Sécurité Windows .................. : 3 et 4 octobre
Sécurité des réseaux sans fil ..... : 5 octobre
DNS ............................... : 8 octobre
Postfix ............................ : 9 octobre
Lutte contre le spam .............. : 10 octobre
ISO 27001 Lead Auditor ............ : 15 au 19 octobre
Session accessible aux qualiticiens
Responsable d'implémentation ISO 27001 : 22 au 26 octobre
ISO 27001 Lead Auditor ............ : 5 au 9 novembre
- Bruxelles
Responsable d'implémentation ISO 27001 : 1 au 5 octobre
- Genève
Sécurité des réseaux sans fil ..... : 15 novembre
Sécurité de la VoIP ............... : 29 novembre
- Luxembourg
Responsable d'implémentation ISO 27001 : 12 au 16 novembre
ISO 27001 Lead Auditor ............ : 11 au 15 février 2008
- Lyon
ISO 27001 Lead Auditor ............ : 3 au 7 décembre
- Rennes
ISO 27001 Lead Auditor ............ : 26 au 30 novembre
- Toulouse
ISO 27001 Lead Auditor ............ : 4 au 8 février 2008
Pour tout renseignement contactez Lynda Benchikh
formations at hsc.fr -- +33 141 409 704
Pour les formations à Luxembourg contactez Christian Schiltz :
seminars at pt-consulting.lu -- +352 621 266 286 -- Fax : +352 40 24 34
http://www.ptc.lu/
Pour les formations à Genève contactez Aurélie Pernet :
sales at idsa.ch -- +41 22 879 8550 -- Fax : + 41 22 793 8632
http://www.idsa.ch/
Rappel : pour 4 jours de formation consécutifs commandés
simultanément par la même personne, le 5ème jour est offert (sauf
formations certifiantes).
Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
notre catalogue sur http://www.hsc.fr/services/formations/index.html.fr
--[ 5. Agenda des interventions publiques ]-----------------------------
- 11 octobre 2007 : Les Assises de la sécurité 2007 - Monaco
Remise du second prix de l'Innovation par Hervé Schauer à Livo
Technologies - Hervé Schauer
http://www.lesassisesdelasecurite.com/
- 12 octobre 2007 à 16h15 : Les Assises de la sécurité 2007 - Monaco
Animation de l'atelier du Club 27001 - Hervé Schauer et Mauro Israel
http://www.lesassisesdelasecurite.com/
- 2 novembre 2007 : VoIP state of the art : technical, economic & legal
issues organisé par le centre ISIS (Interdisciplinary Studies in
Information Security) de l'EPFL (Ecole Polytechnique Fédérale de
Lausanne) en collaboration avec le réseau de compétences de l'HES-SO,
(Hautes Ecoles Spécialisées de la Suisse Occidentale) - Lausanne,
Suisse
"VoIP : révolution ou dévolution ?" - Hervé Schauer
http://isisgepc1.epfl.ch/voip/
- 8 novembre 2007 : Conférence Droit de l'informatique et des nouvelles
technologies par le cabinet Alain Bensoussan Avocats, organisé par
Publi-News - Paris
"Management de la sécurité" - Hervé Schauer
http://lien.dolist.net/id.asp?l=56226-5008136-70393-807-0
- 21 novembre 2007 : Tutoriel organisé dans le cadre d'Infosecurity
France 2007 par Reed Exhibition - CNIT, Paris La Défense
"Sécurité de la voix sur IP" - Guillaume Lehembre et Olivier Dembour
http://www.hsc.fr/conferences/reed2007_securite_voip.html.fr
- 21 novembre 2007 : Conférence "SMSI et normes ISO 27001" organisée dans
le cadre d'Infosecurity France 2007 par le Club 27001
Animation par Hervé Schauer et Eric Doyen
- 22 novembre 2007 : Tutoriel organisé dans le cadre d'Infosecurity
France 2007 par Reed Exhibition - CNIT, Paris La Défense
"Sécurité des Webservices" - Louis Nyffenegger
http://www.hsc.fr/conferences/reed2007_securite_webservices.html.fr
- 22 novembre 2007 : Séminaire organisé par l'AFUP
Forum PHP 2007 - Paris
"Audit de code, retour d'expérience" - Nicolas Collignon
href=http://www.afup.org/pages/forumphp2007/sessions.php
Retrouvez l'agenda de nos interventions publiques sur
http://www.hsc.fr/conferences/agenda.html.fr
--[ 6. Nouveau : livre sur les SMSI par Alexandre Fernandez-Toro ]-----
En Novembre prochain, Alexandre Fernandez, responsable des
activités ISO 27001 chez HSC, publiera son premier ouvrage sur
les Systèmes de Management de la Sécurité de l'Information (SMSI) et
les stratégies possibles pour les mettre en oeuvre avec succès.
A l'occasion de la sortie de son livre, une séance de signature par
l'auteur est organisée sur le stand HSC E.3 au salon Infosecurity au
CNIT le mercredi 21 novembre à 17h30. L'ouvrage édité par Eyrolles
sera vendu sur le stand HSC, ceux qui l'auront déjà acquis sont invités
à venir avec leur exemplaire.
--[ 7. HSC à Infosecurity France 2007 ]--------------------------------
HSC sera présent pour la seconde fois à Infosecurity France 2007 au
CNIT Paris La Défense sur son stand E.3 (anciennement le Salon de la
Sécurité Informatique, cf. http://www.infosecurity.com.fr/).
- Un consultant HSC et le responsable commercial étudieront vos projets
- Profitez d'une offre exclusive salon : réduction de 10% sur le
catalogue 2007 des formations commandées sur place
- Gagnez un cadeau exceptionnel à notre tirage au sort (règlement
déposé chez un huissier)
- Achetez le livre d'Alexandre Fernandez-Toro sur les SMSI et faites
dédicacer votre exemplaire par l'auteur le mercredi 21 novembre à 17h30
Cette année encore, HSC propose 2 tutoriels en exclusivité :
-> "Sécurité de la Voix sur IP" le 21 novembre
http://www.hsc.fr/conferences/reed2007_securite_voip.html
Ce tutoriel d'une journée présentera les aspects sécurité des
différents protocoles sans revenir sur les bases protocolaires.
Il abordera les risques de certains softphones très répandus.
De bonnes pratiques en vigueur seront détaillées afin d'implémenter
des architectures sécurisées, des attaques VoIP pratiques et
réalisables seront décrites tout comme les moyens de s'en protéger.
Ces exemples d'attaques s'appuieront sur l'expérience de tests
d'intrusion effectués par HSC.
-> "Sécurité des Webservices" le 22 novembre
http://www.hsc.fr/conferences/reed2007_securite_webservices.html
Exceptionnel ! Comprenez de manière exhaustive et concrète les
mécanismes qui sont derrière "SOA" ou Webservices, et leurs
implications pour la sécurité. Le sujet sera traité de manière
indépendante des fournisseurs, en détaillant les technologies
une par une avec des exemples et des démonstrations.
Organisateur : Reed Exhibitions
Prix pour chaque tutoriel : 650 euros HT
Contact pour vous inscrire : Sandrine.Jean at reedexpo.fr
Tél : +33 (0)147 566 545 -- Fax : +33 (0)147 566 547
--[ 8. Première conférence du Club 27001 "SMSI et normes 27001" ]------
Le Club 27001 (http://www.club-27001.fr/) organise sa première
conférence annuelle sur l'ensemble de la série des normes ISO 27001
le mercredi 21 novembre 2007 au CNIT Paris La Défense dans le cadre
du salon Infosecurity.
Le programme en cours de finalisation est le suivant :
8h30 : Accueil
9h00 : SMSI et normes ISO 27001, introduction et perspectives par
les membres du Club 27001
9H45 : Retour d'expérience d'un certifié (en cours de confirmation)
. Eric Choffat (ou un collaborateur), RSSI de MerckSerono (Suisse)
10h30 : pause
11h00 : Mise en place d'une méthode d'appréciation des risques SI à partir
des normes ISO 27001 et 27002 et des méthodes EBIOS et Méhari
. Rene Khanh, Responsables Méthodes à la DSI, AREVA
11h45 : L'approche ISO 27001 au sein du Gie Systalians de Réunica Bayard.
. Emmanuel Garnier, RSSI, Systalians (Réunica-Bayard)
12h30 : Repas
14h00 : Retour d'expérience d'Orange-FT (en cours de confirmation)
14h45 : Retour d'expérience dans le secteur public (en cours de
confirmation)
15h30 : pause
16h00 : (intervention à confirmer)
16h45 : Table-ronde animée par (à confirmer) avec
- Fabrice Bru, RSSI, Danone
- Jean-François Louapre, RSSI, AG2R
- Lazaro Pejsachowicz, RSSI, CNAM-TS
(autre intervenants seront sollicités dès l'appel à
communication définitivement clos)
17h30 : conclusion
Le programme définitif sera affiché sur www.club-27001.fr et
www.infosecurity.com.fr
Inscription : 300 euros HT, au lieu de 650 euros HT, en s'inscrivant
auprès d'Infosecurity avec le bulletin disponible sur le site du Club 27001 :
http://www.club-27001.fr/supports/Inscription-Infosecurity-Club-27001.pdf
Contact : conference at club-27001.fr
--[ 9. OSSIR SUR ]-----------------------------------------------------
Depuis sa création en septembre 1987, Hervé Schauer participe au
groupe Sécurité Unix et Réseaux (SUR) et il le co-anime depuis 1989.
Hébergé par l'association OSSIR : Observatoire de la Sécurité des Systèmes
d'Information et des Réseaux, c'est le groupe qui réunit chaque mois
(10 à 11 réunions par an) les experts qui s'intéressent aux aspects
techniques en sécurité. L'OSSIR est une association présidée par Franck
Veysset (Orange-France Telecom), après avoir été de longues années
présidée par Christophe Larboudette (Ecole Normale Supérieure de Cachan).
Le groupe SUR est co-animé par Saad Kadhi (Hapsis) après avoir de
longues année été co-animé par Daniel Azuelos (Institut Pasteur).
Les principaux groupes de travail sont :
- Sécurité Unix et Réseaux
- Sécurité Windows et Réseaux
- Réseaux et Systèmes d'Informations Sécurisés à Toulouse
- OSSIR-Bretagne qui ouvre en octobre prochain à Rennes
L'adhésion à l'association permet de financer les déplacements de
présentateurs, ou de participer au financement de membres dans des
conférences internationales.
Les réunions des groupes de travail sont ouvertes à tous, y compris
aux personnes qui ne sont pas adhérentes. Le programme des prochaines
réunions du groupe Sécurité Unix et Réseaux est le suivant :
o mardi 9 octobre
- "Filtrage Web et Mail : Service managé de sécurité" par
Lionel Goussard, BlackSpider/SurfControl
- "Comment lutter contre la fuite des documents sensibles à l'aide
des solutions Code Green Networks" par Stéphane Depasse, AXTEO
o mardi 13 novembre
- "Compte-rendu de la conférence ToorCon 9 à San Diego" par
Jérôme Athias, Consultant
- "L'illusion comme concept de défense", par
Fabrice Prigent, Université de Toulouse 1
o mardi 11 décembre
- "Retour sur le concours Capture The Flag de DefCon 15"
par Gael Dellaleau
- "Compte-rendu de la conférence hack.lu" par Saad Kadhi, Hapsis
Pour les lieux de réunion et pour en savoir plus :
http://www.ossir.org/
--[ 10. Assises de la Sécurité ]---------------------------------------
Du 10 au 13 octobre 2007 se dérouleront les Assises de la Sécurité
à Monaco.
Le Jeudi 11 octobre, lors de la session plénière, Hervé Schauer
remettra à Livo le second Prix de l'Innovation des Assises de la Sécurité.
http://www.lesassisesdelasecurite.com/prix.asp
Le vendredi 12 octobre à 16h15 rejoignez Hervé Schauer lors de
l'atelier du Club 27001, qu'il animera en compagnie de Mauro Israel
et Eric Doyen.
L'objectif du Club 27001 est de montrer des cas concrets et des
retours d'expérience d'entreprises ayant tenté (ou pas) et réussi
(ou pas) la certification ISO27001.
Vous pourrez poser toutes les questions aux RSSI qui nous feront
part de leur expérience concrète et de la manière dont ils s'y
sont pris pour cette démarche, ainsi que les bénéfices qu'ils
en ont retiré.
Les intervenants seront :
- Mohammed Jazouly, Vice-President, Maroc Telecom
- Richard Jones, CERT Services Manager, BT Secure Business Services
(intervention en anglais)
- Olivier Lemoine, RSSI du Groupe ODISO
http://www.lesassisesdelasecurite.com/secured/topic.asp?f_lang=fr&f_id_atelier=154
ou http://www.club-27001.fr/actualite.html
--[ 11. Nouveautés du web HSC ]----------------------------------------
- Article ""La gestion de risque pour la série de normes ISO 2700x "
par Hervé Schauer
http://www.hsc.fr/ressources/articles/risque_iso2700x/index.html.fr
- Présentation "Compte rendu de la conférence BlackHat 2007 et DefCon 15"
par Louis Nyffenegger et Jérôme Poggi
http://www.hsc.fr/ressources/presentations/bh-dc-2007/index.html.fr
- Communiqué de presse "HSC lance une nouvelle formation : Conduite pratique
des Tests d'Intrusion."
http://www.hsc.fr/presse/communiques.html.fr#140907
- Offre d'emploi : Consultants sécurité ISO27001
http://www.hsc.fr/societe/recrutement.html.fr#consultant_27001
--[ 12. Veille en vulnérabilités HSC ]----------------------------------
1310 25-09-2007 Multiples vulnérabilités dans VMware
1311 28-09-2007 Dépassement de tampon dans IBM Tivoli Storage Manager
1312 28-09-2007 Multiples vulnérabilités dans CA BrightStor HSM 11.5
et CA ArcServ 11
1313 28-09-2007 Contournement de contrôle d'accès sur les Cisco Catalyst
6500 et 7600
--[ 13. Offre d'emploi ]------------------------------------------------
HSC recrute des consultants sécurité ISO27001.
HSC recrute régulièrement des consultants aptes à réaliser des
prestation techniques pointues : tests d'intrusion, audits de sécurité.
Nous recrutons désormais des profils plus orientés management capables
d'accompagner les clients dans leur démarche ISO27001 et aptes à
participer aux projets ISO27001 du cabinet.
Les qualités des candidats doivent être les suivantes :
- Expérience dans la sécurité ou dans un domaine connexe (production, etc.)
- Très bon contact humain.
- Rédaction en français impeccable.
Les ingénieurs pourront être formés sur l'ISO27001 par HSC.
Les postes sont basés à Levallois-Perret.
Si vous souhaitez proposer votre candidature, nous vous remercions d'envoyer
votre CV en texte ascii simple par courrier électronique à cv at hsc.fr.
Pour plus d'information : http://www.hsc.fr/societe/recrutement.html.fr
--[ 14. Erratum - Hervé Schauer ]---------------------------------------
Dans la newsletter n° 36 du mois d'août 2007
(http://www.hsc-news.com/archives/2007/000035.html) il est écrit :
"je recommande de consulter ce que le nouveau responsable de l'entité
EADS France Innovation Works [1] a publié :"
Bien qu'il soit fait référence à "EADS CCR SSI" juste au dessus, j'aurais
du préciser à nouveau "SSI" ou "Sécurité des Systèmes d'Information" là
afin de ne pas affecter plus de responsabilité qu'il n'en a au
responsable.
Cédric Blancher est responsable du laboratoire de recherche en sécurité
informatique à EADS Innovation Works, pas de tout EADS Innovation Works.
Je m'excuse vivement pour cet imprécision involontaire et je publie ce
correctif à la demande de Cédric Blancher.
Dans chaque compte-rendu ou article HSC, les auteurs sont cités
accompagnés de leurs employeurs. HSC reçoit régulièrement des requêtes
nous demandant à ce que l'employeur ne soit pas cité, parce que l'auteur
s'est exprimé en son nom personnel et non en celui de son employeur.
Beaucoup d'experts en sécurité considèrent qu'ils ont deux
existences : une chez leur employeur et une en dehors.
Ils pensent d'une manière dans l'entreprise qui les fait vivre,
et d'une autre quand ils publient un article dans leur blog "personnel",
réalisent une conférence ou développent un outil.
Ils réalisent tantôt une conférence en costume et cravate, avec le logo
de leur employeur, tantôt une conférence en tee-shirt sous un pseudonyme,
dans un style plus underground "je suis un hacker", ... "plus la même
personne".
Pour un expert en SSI, une activité personnelle pourrait être la
collection de poissons exotiques, ou le concours de logiciels d'othello.
Toutes ces activités sont totalement décorrélées de l'activité
professionnelle et pourraient faire l'objet de contenu avec une identité
décorrélée de son identité professionnelle.
En général, pour un bon expert en SSI, la SSI est une passion, une
passion personnelle. Celle-ci peut elle être une activité personnelle
complètement décorrélée de son travail ? Je ne pense pas, car la SSI
est justement son travail. Ce qu'il pense la nuit n'est qu'un reflet,
une transposition de ce qu'il a fait le jour, et réciproquement, qu'il
le veuille ou non. Un individu col blanc le jour ne peut pas se
transformer en un col noir la nuit. Dr Jekyll ne peut pas développer un
logiciel antivirus tandis que Mr Hyde écrit le virus.
Par exemple, nous avons vu que Cédric Blancher est responsable du
laboratoire de recherche en sécurité informatique à EADS Innovation
Works. Il publie régulièrement sur la sécurité des systèmes
d'information sur son blog personnel que j'avais référencé, et lié à
sa fonction chez EADS, dans l'article sur le Blackberry de la
newsletter n°36.
Cédric Blancher est l'auteur de son blog, cependant il a des analyses,
des chroniques, des opinions exprimées en SSI, parce qu'il est chercheur
en sécurité chez EADS. Il fait référence directement ou indirectement,
même s'il ne le souhaite pas à son travail et son expérience.
Il a la possibilité de faire de telles publications grâce à son travail
chez EADS, ses lectures dans le cadre de son travail, ses contacts et
réunions de travail au travers du monde. C'est son expérience chez
EADS, et celles qui ont précédées chez Arche, chez Cartel Sécurité, etc.
qui lui permettent d'avoir la qualité et la pertinence que j'ai reconnu
dans mon précédent article.
Pour moi, c'est le même Cédric Blancher qui publie sur un blog sur
internet et qui est responsable de recherche en SSI. Ce n'est pas le
service communication d'EADS qui s'exprime, ce n'est pas un communiqué
de presse validé en comité adéquat, ce n'est qu'un de ses employés,
cependant c'est le responsable d'un service de recherche en SSI qui
ne peut nier qu'il travaille chez EADS en SSI.
C'est pourquoi pour cette exemple comme pour tous les autres cas,
HSC fait le lien entre l'individu et l'employeur dans ses articles
et comptes-rendus.
Je pense que présenter publiquement ou publier sur un sujet au
coeur de son métier, en SSI, en prétendant ignorer quel est son employeur,
ou pour l'employeur en ne supportant pas le travail de son employé,
n'est ni crédible, ni réaliste, aussi bien pour l'employé que l'employeur.
La loi donne le pouvoir à l'employeur de ne pas autoriser d'activités
à l'employé hors de son emploi, dans le domaine d'activité de son métier
chez son employeur. À cet employeur de trancher.
Nul ne peut rejeter quel est son employeur, ni ne pas l'assumer.
Nombreux sont ceux qui ont choisi de se taire et tout un chacun peut en
faire de même. Ce dédoublement d'identité n'apporte ni clarté,
ni transparence, qui sont nécessaires à la confiance qui est à la
base de la sécurité.
--[ 15. La sécurité "au jour d'aujourd'hui" - Hervé Schauer ]-----------
Une nouvelle génération de logiciels malveillants, de nouvelles menaces.
Les logiciels malveillants ou maliciels (en anglais "malicious software"
ou "malware") sont sortis du système économique auto-alimenté des éditeurs
d'antivirus. Ces logiciels malveillants servent désormais d'autres
finalités bien plus préjudiciables. Leurs auteurs se sont orientés vers des
attaques ciblées qui doivent aboutir sans être détectées. Ils réussissent,
car de plus en plus d'attaques, d'intrusion et vols d'information par ce
biais ne sont plus détectées.
Les sociétés privées de renseignement ainsi que les organisations
clandestines tirent maintenant profit des failles des SI pour servir
leurs activités : chantage (déni de service, atteinte à l'image de
marque), ou intrusions (vols d'informations). Pour atteindre ces objectifs,
l'heure n'est plus à la démonstration de force via le déploiement de virus
dans un maximum de réseaux, mais bien à la création d'outils ciblés et
discrets réalisant une brèche silencieuse dans le SI.
Les maliciels conçus pour des attaques ciblées ne se propagent pas sur
l'ensemble d'Internet. Ils restent donc inconnus des éditeurs
de solutions de sécurité, et mettent en échec les logiciels à base de
signatures ou de listes noires (anti-virus, anti-spyware, etc.). Par
corollaire, les attaques deviennent indétectables par les moyens classiques.
L'alerte sera le plus souvent générée par un événement périphérique : dans le
meilleur des cas, flux réseau constant vers l'extérieur ; dans le pire des cas,
pertes répétées de contrats au profit du concurrent principal, ou découverte
par hasard que de l'information sensible a fuit.
La banalisation des vers (worms) est également une menace pernicieuse qui
provoque un relâchement de la vigilance : les correctifs de sécurité sont
plus que jamais appliqués de manière trop laxiste. Il suffit d'une faille
correctement exploitée pour qu'une au moins des tentatives de l'assaillant
atteigne sa cible.
L'économie de ces maliciels existe : des sociétés vendant des exploitations
de vulnérabilités de 10 à 1.000 euros, aux développeurs indépendants qui
"personnalisent" ces exploitations pour la cible, l'offre rejoint la demande
sur Internet en contournant les réglementations nationales. La rémunération
de ces développeurs, très variable, séduit ceux des spécialistes qui
acceptent de rejoindre ce marché, au détriment parfois des éditeurs
d'anti-virus. L'essor de l'outil informatique comme vecteur d'espionnage
doit inquiéter et les autorités [1] s'en font l'écho : ce nouveau marché
offre de nouveaux débouchés pour l'économie des créateurs de maliciels.
[1] http://www.capital.fr/actualite/Default.asp?indiscretion=1&numero=65332&Cat=IND
Plus d'informations sur la liste de diffusion newsletter