Enjeux de la sécurité du système d'information

Toute institution – qu’il s’agisse d’une entreprise ou d’une administration – est dotée d’un « périmètre de sécurité » : il entoure les ressources qu’elle doit protéger contre les accidents naturels ou les attaques humaines.

Ce périmètre est évident dans l’espace physique : les locaux, les équipements, les documents et les personnes doivent être protégés contre les intempéries et les agressions.

Alors que la plate-forme du système d’information (ordinateurs et réseaux) se trouve dans le périmètre de sécurité physique, l’informatisation a procuré un nouveau périmètre de sécurité, moins évident : les données, systèmes d’exploitation et programmes informatiques se trouvent en effet dans le « cyberespace » ou « espace logique ». Comme les réseaux lui confèrent l’ubiquité géographique, la protection ne peut plus y être assurée par des bâtiments, des portes et des serrures[1].

Brève histoire de la sécurité informatique[2]

À la fin des années 1950, la sécurité informatique ne concernait que les ordinateurs : les salles machines étaient protégées et gardées, les bacs à carte étaient enfermés dans des locaux sécurisés, le chiffrement utilisait des techniques électromécaniques simples.

La sécurité telle qu’on l’entend aujourd’hui naît avec le temps partagé au début des années 60 : quand un ordinateur exécute plusieurs tâches à la fois il faut s’assurer que le processus d’un utilisateur ne puisse pas espionner le processus d’un autre.

La mise en réseau des ordinateurs a commencé au début des années 70. Elle a nécessité des progrès dans le chiffrement, apportés notamment par les systèmes à clé publique. Ces progrès sont à la base du développement du commerce sur l’Internet dans les années 90.

Si les progrès du chiffrement ont été substantiels, la sécurité de l’Internet et des programmes informatiques reste insuffisante. Il est difficile de repérer sur l’Internet les interlocuteurs auxquels on ne doit pas faire confiance : un quart des ordinateurs sont parasités par des vers et la moitié des messages sont du spam.

Par ailleurs la lutte contre le terrorisme s’oppose à la protection des réseaux et des ordinateurs, que les services de renseignement veulent pouvoir pénétrer. La NSA mène sur l’Internet un programme d’écoute universel[3].

Dans les décennies qui viennent, les traitements informatiques d’une entreprise seront répartis sur des dizaines de machines qui lui sont extérieures. Le problème le plus grave sera celui que posent les services Web. Par ailleurs le flux des recherches sur Google peut révéler les intentions stratégiques d’une entreprise : seule la déontologie de Google garantit que cette information ne sera pas livrée à des concurrents.

Les menaces auxquelles l’institution est confrontée ne sont pas nouvelles : menaces naturelles (incendie, inondation, séismes etc.) et d’origine humaine (malveillance, espionnage[4], vol etc.). Mais elles prennent, dans l’espace logique, des formes nouvelles ; elles pénètrent l’institution en empruntant des procédés et vecteurs nouveaux ; elles peuvent enfin, s’appuyant sur la puissance de l’informatique, causer des dommages d’une ampleur inédite.

Les institutions n’ont pas encore pleinement assimilé les apports de l’informatisation : il s’en faut de beaucoup que les référentiels soient satisfaisants, que les processus soient bien outillés, que les systèmes d’aide à la décision soient au point. De même, elles ne perçoivent pas clairement les menaces auxquelles elles sont exposées dans l’espace logique. Beaucoup d’entre elles sont, dans cet espace, ouvertes à tous les vents comme si elles n’avaient ni portes ni fenêtres. Certaines, instruites par l’expérience, se protègent mais les prédateurs perfectionnent leurs armes et s’activent pour contourner leurs défenses.

Toute grande institution est ainsi la cible de plusieurs dizaines d'attaques par jour. La plupart d'entre elles peuvent être bloquées automatiquement par les outils de sécurité, mais quelques-unes, recourant à des procédés nouveaux auxquels ces outils ne savent pas répondre, représentent un réel danger.

Les armes des pirates

NB : Les divers types d’arme se chevauchent (un même programme peut relever à la fois du ver, du cheval de Troie et du virus).

Virus : programme écrit dans le but de (1) contaminer un programme légitime, (2) se propager à d’autres ordinateurs, (3) nuire aux ordinateurs qu’il infecte (destruction des données, ralentissement de la machine etc.).

Ver (Worm) : programme écrit dans le but de (1) se propager à d’autres ordinateurs, (2) nuire aux ordinateurs qu’il infecte (contrairement au virus, le ver ne contamine pas un programme légitime).

Cheval de Troie (Trojan Horse) : programme d’apparence légitime, mais conçu pour nuire à l’utilisateur, notamment en facilitant la prise de main à distance sur son ordinateur. Le cheval de Troie n’est pas un virus : il ne se reproduit pas de lui-même, mais en séduisant des utilisateurs naïfs.

Logiciel espion (Spyware) : programme utilisé pour capturer des mots de passe, surveiller les sites Internet visités, et plus généralement observer ce que l’utilisateur fait sur son poste de travail.

Rootkit : programme permettant à un tiers de maintenir durablement un accès frauduleux à un système informatique, grâce à des modifications des commandes système et à une porte dérobée qu’il est difficile de détecter.

Spam : message parasitaire diffusé sur l’Internet dans le but d’encombrer les boîtes aux lettres et le réseau lui-même.

Quelques-uns des procédés des pirates

Dépassement de tampon (Buffer overflow) : une bogue des langages C et C++ est utilisée pour violer la politique de sécurité d’un système et lui faire exécuter un code externe, éventuellement malveillant.

Hameçonnage (Phishing) : simuler la page Web (pharming) ou le message d’un tiers de confiance (banque, administration) afin d’extorquer des informations personnelles de l’utilisateur (numéro de carte de crédit, numéro d’état civil, mot de passe etc.).

Usurpation d’adresse (IP Spoofing) : créer des paquets IP comportant l’adresse IP source d’une autre machine, afin de pénétrer les systèmes qui utilisent l’adresse IP des machines comme identifiant de confiance.

Usurpation d’identité : se faire passer pour une autre personne afin de faire des transactions à sa place, notamment en utilisant le numéro de sa carte bancaire et son mot de passe.

Shoulder surfing : regarder par-dessus l’épaule de quelqu’un (ou à distance, à l’aide de jumelles ou en captant le rayonnement de son écran) pour observer ses mots de passe, le code confidentiel de sa carte bancaire etc.

Dumpster diving : fouiller les poubelles et corbeilles à papier pour y trouver des informations confidentielles.

Déni de service (Denial of Service) : saturer un serveur de telle sorte qu’il cesse de fonctionner (par exemple en lui envoyant simultanément de nombreux messages qui provoquent des traitements).

Network Sniffing : copier les paquets qui circulent sur un réseau afin de les lire et de les interpréter.

Dans deux tiers des cas environ, ce sont des personnes qui veulent s’enrichir aux dépens de l’institution ou de ceux qu’elle doit servir. Elles attaquent les banques pour déclencher des virements vers leurs comptes ; elles vendent des permis de conduire, des pensions d’invalidité, des aides sociales, des retraites, à des gens qui n’y ont aucun droit et ces faux documents peuvent encore faciliter d’autres délits. Elles usurpent l’identité d’autres personnes[5] pour s’emparer de leurs biens, ou bien s’appuient sur des données intimes pour commettre des indiscrétions ou faire du chantage.

D’autres cherchent à se venger de l’institution : elles vont saboter le système d’exploitation, les applications et les données, causant des dommages parfois irréparables, puis faire en sorte que d’autres personnes soient accusées et sanctionnées lorsque le sabotage sera découvert.

Certaines institutions détiennent des informations stratégiques importantes et secrètes : projets industriels et commerciaux, opérations de fusion et d’acquisition, intentions politiques et géopolitiques, résultats de la R&D etc. Des espions sont intéressés à les acquérir pour les revendre, des agences de renseignement sont à l’écoute (que l’on pense au système Echelon de la NSA).

Dans la moitié des cas environ, les attaques viennent de l’intérieur : les agents de l’institution sont bien placés pour connaître ses rouages, ils les connaissent mieux que ne le font les dirigeants (asymétrie d’information et donc risque moral), ils sont habilités à pénétrer le système d’information. La plupart de ces délits sont des délits d’occasion : l’institution a laissé grande ouverte une porte, elle a refusé d’entendre d’éventuelles alarmes, l’agent a fini par céder à la tentation. Dans ce cas, on peut dire que la responsabilité est partagée entre l’institution et le coupable[6].

Une assurance contre le risque logique ?

Lloyd’s, Zurich Insurance, Chubb Insurance etc. assurent contre le risque logique. Ces assureurs remboursent les frais encourus lors d’une gestion de crise. Il est toutefois difficile de s’assurer contre la perte de crédibilité que provoque un sinistre.

L’offre d’assurance rencontre deux risques spécifiques :

Antisélection

En l’absence d’une segmentation tarifaire selon le risque propre à chaque client, l’assurance est coûteuse pour les clients les moins exposés : seuls s’assureront les clients les plus exposés, qui sont les moins intéressants pour l’assureur, et à la limite l’offre d’assurance devient non rentable.

Risque moral

Le client, se sachant protégé par une assurance, sera moins vigilant et cela accroît la probabilité d’un sinistre.

L’assurance contre le risque logique ne peut être rentable que si elle est conditionnée par une protection efficace. Certains assureurs offrent des packages de protection du commerce en ligne. Symétriquement, le contrat avec un fournisseur d’outils de sécurité pourrait comporter une assurance.

Souvent, les attaques sont précédées par des manœuvres qui visent à acquérir des habilitations et par des tests à petite échelle pour vérifier si « cela marche ». Il n’est donc pas impossible de les détecter à l’avance, pour peu que l’institution dispose d’une gendarmerie vigilante...

Il existe une étonnante disproportion entre les dommages qu’une attaque peut causer et la modicité des moyens qu’elle réclame. Point n’est besoin d’explosifs, d’une pince monseigneur ou de fausses clés : il suffit de pianoter sur un clavier quelques instructions bien choisies et le mal est fait.

Quelle est la nature des dommages que les prédateurs peuvent causer ? On pense immédiatement à la perte économique, à la perte d’argent[7], mais ce n’est sans doute pas le plus grave. Une institution est responsable envers les personnes qui lui ont confié leurs données qu’il s’agisse de l’état civil, du compte bancaire, des déclarations fiscales etc. Protéger ces données est un devoir à la fois moral et civique. Négliger la protection, les exposer aux prédateurs, est répréhensible et peut être jugé pénalement coupable[8].

Outre les risques financier et juridique, la perte de crédibilité est peut-être le risque le plus important : la légitimité d’une institution, le poids donné à ses décisions, sont atteints si les faits montrent qu’elle est vulnérable, incapable de défendre sa propre sécurité.

La CNIL, qui a mission de protéger les personnes physiques et morales, s’oppose parfois à des innovations que les institutions estiment utiles pour leur système d’information. Si l’on peut apporter à la CNIL des garanties suffisantes sur la protection des données, le contrôle des habilitations etc., certains de ces obstacles seront sans doute levés.

L’informatique ne se sépare pas du réseau : données et applications sont ainsi accessibles, sous la seule contrainte des habilitations, depuis n’importe quel endroit du monde. Certaines institutions tentent de se protéger en isolant les ordinateurs du réseau mais le remède est sans doute pire que le mal car privée de réseau, l’informatique étouffe.

Tout comme l’air que nous respirons apporte en sus de l’oxygène des virus et bactéries, le réseau apporte des « virus » à l’informatique et offre un chemin d’invasion aux prédateurs. Le contrôle du réseau sera donc pour une institution la meilleure des défenses.

Les institutions s’équipent de pare-feux (firewalls) et de logiciels antivirus. C’est une excellente chose à condition de les tenir ponctuellement à jour – il suffit de quelques heures, voire quelques minutes de retard dans une mise à jour pour qu’un nouveau virus envahisse un système d’information.

Elles s’équipent de procédures d’identification, authentification et habilitation qui délimitent les droits de chaque agent. C’est une excellente chose à condition que ces procédures soient gérées de façon rigoureuse – l’expérience montre que c’est rarement le cas, les institutions étant étonnamment négligentes dans la gestion des habilitations.

Certaines utilisent pour les messages et communications le chiffrement à clé publique, excellent procédé à condition de bien protéger les clés privées.

Les secrets de l’institution, les clés de chiffrement, se trouvent sur les micro-ordinateurs portables et sur les téléphones mobiles de ses agents : un micro-ordinateur perdu, ou volé, offrira à qui sait s’en servir des moyens d’accès vers les ressources les plus intimes de son utilisateur et de l’institution où il travaille. Lorsque des ordinateurs sont mis à la casse on ne pense pas assez à effacer réellement les disques durs (opération délicate et coûteuse) : un tiers des ordinateurs mis à la casse contiennent des données que l’on aurait dû effacer[10].

Les spécialistes en sécurité sont très recherchés par les institutions les plus menacées, notamment les banques et les assurances : ils quittent bientôt l’université pour trouver des emplois plus rémunérateurs que l’enseignement. Par ailleurs les entreprises qui développent des outils pour la sécurité se protègent par des brevets et font en sorte qu’aucune autre entreprise ne puisse réutiliser leurs procédés.

Tandis que la lutte pour la sécurité est ainsi entravée, les pirates coopèrent en utilisant les procédés de l’open source, alimentant des sites web sur lesquels les outils nécessaires aux attaques sont gratuitement mis à disposition[11]. Un pirate peut ainsi trouver sur un site le vecteur qui lui permettra de pénétrer les défenses de l’institution, et sur un autre site le virus que le vecteur ira déposer, comme une charge explosive, au bon endroit du système d’information pour y causer le maximum de dommages. Point n’est besoin d’être un génie pour construire une arme meurtrière : n’importe qui peut la monter en kit.

Évaluation économique de la sécurité

Le calcul économique vise à préparer la décision pertinente dans un contexte incertain. L’exactitude du raisonnement importe donc plus que la précision des évaluations, sur laquelle il ne faut pas nourrir d’illusion.

Comme tout investissement, la sécurité peut être évaluée selon un compte prévisionnel des coûts et des avantages. Pour prévoir ce que peut coûter un sinistre les méthodes qu’utilisent les assureurs seront utiles.

On estimera, de façon classique, le taux de rentabilité interne et la valeur actuelle nette des investissements en sécurité, on évaluera les probabilités et les incertitudes, de sorte que la décision s’appuie sur les meilleurs chiffrements possibles.

Le cahier des charges tiendra compte des spécificités de la plate-forme technique.

Il faudra arbitrer entre coût et risque, entre la constitution et l’entretien de compétences internes et le recours à des compétences externes, entre l’exploitation interne et l’infogérance, entre l’utilisation d’un progiciel et le développement spécifique.

Les premières estimations de coût se trouveront, comme dans d’autres domaines du système d’information, dans une fourchette de un à quatre. Il est d’autant plus important de tenir les chiffrages à jour à mesure que les informations se précisent, de capitaliser l’expérience en procédant à une réévaluation continue.

S’il ne convient pas d’être paranoïaque, il ne faut pas non plus être insouciant. Personne ne laisserait ses locaux, ses bureaux, ses documents ouverts à tous les vents : de même, il faut protéger le périmètre de sécurité de l’institution dans l’espace logique.

Graphique 2 : importance relative des moyens de défense (source : Whitman, op. cit.)

La sécurité est devenue une spécialité complexe. Les experts doivent suivre l’évolution technique, qui est permanente, lire assidûment les revues spécialisées, participer à des colloques, entretenir des relations avec leurs collègues, articuler enfin leur compétence avec les autres spécialités du système d’information (architecture, urbanisation et modélisation, bureautique et groupware, projets applicatifs, qualité etc.) afin de faire respecter les exigences de la sécurité.

Comme les invasions passent pratiquement toutes par le réseau (Internet, Intranet, WAN), c’est sur le réseau que les spécialistes de la sécurité vont placer leurs outils et exercer leur vigilance. Les procédés les plus efficaces sont ceux qui s’appuient sur l’analyse statistique du trafic[12] : le trafic normal sur le réseau d’une institution obéissant à des « patterns » en fonction de l’heure et des opérations en cours, les attaques ou leur préparation font apparaître des anomalies par rapport à ces patterns.

Authentifier les accès, « notariser » les transactions (non répudiation), superviser les accès et surveiller le trafic sur les réseaux, tenir à jour et exploiter les pare-feux et antivirus, tout cela relève aussi de la sécurité logique. Ses exigences s’articulent avec celles de la sécurité physique, qui implique de programmer la reprise automatique en cas d’incident, assurer la disponibilité permanente du réseau et du service, sauvegarder les données en temps réel sur un site distant, assurer un archivage pérenne, protéger l’accès aux locaux techniques, superviser la plate-forme technique.

L’architecture articulera divers outils (graphique 3) : un routeur filtre les appels venant de l’Internet selon le « socket » appelé (« prise », couple formé par l’adresse IP et le numéro de port). La consultation du serveur Web de l’entreprise et l’accueil des messages se font dans une DMZ (« zone démilitarisée ») où le serveur Web est un « proxy » du vrai serveur, tandis que le relais de messagerie route immédiatement les messages reçus vers leur destinataire. Ainsi quelqu’un qui accède à la DMZ ne peut accéder ni au serveur Web, ni aux données, ni à la lecture des messages, toutes opérations réservées au réseau privé qui est protégé par un pare-feu. Le proxy Web et le relais de messagerie sont des mandataires applicatifs : ils ont chacun pour mission de protéger une application.

L’institution doit-elle tout faire elle-même ? Peut-elle rentabiliser à elle seule les équipes de spécialistes et les équipements nécessaires ? Est-il préférable qu’elle se procure ces ressources auprès d’un fournisseur ? C’est, je le suppose, autour de ces questions que les prochains exposés vont pivoter. Je voudrais conclure par quelques remarques.

Pour que l’intervention d’un fournisseur soit efficace dans le domaine de la sécurité, il ne suffit pas de passer avec lui un contrat commercial : il faut instaurer un partenariat, fondé sur un partage dûment suivi et contrôlé des tâches et responsabilités. On ne sera pas exonéré de toute responsabilité parce que l’on aura confié la sécurité à un prestataire : si l’institution est insouciante, si elle n’efface pas les disques durs des ordinateurs mis à la casse, si elle n’est pas vigilante dans la gestion des habilitations, elle sera vulnérable quelle que soit la qualité du prestataire. Il faudra que le prestataire s’engage enfin à contrôler ses propres personnels, car le risque interne existe chez lui tout autant que dans l’institution.

La sécurité ne peut enfin être convenable que si le système d’information est lui-même de bonne qualité. Le désordre dans les référentiels, notamment dans le référentiel des personnes qui sert de socle aux habilitations, l’incohérence des processus, l’absence de supervision offrent autant d’occasions aux prédateurs.

La plupart des entreprises, et plus généralement des institutions, travaillent aujourd’hui en partenariat avec d’autres institutions : un même produit est élaboré par un réseau d’entreprises qui se partagent les responsabilités, les coûts et les profits. Ces réseaux élargissent d’autant le périmètre de sécurité qu’il convient de protéger, de contrôler ; leur maîtrise suppose, là encore, une qualité élevée du système d’information.

Au plan moral comme au plan juridique enfin, il sera impossible pour un maître d’ouvrage de faire porter par un prestataire la pleine responsabilité d’un sinistre : c’est au maître d’ouvrage qu’il revient de contrôler la qualité de la prestation, et de s’assurer que les services qui lui sont fournis protègent effectivement sa sécurité. On peut déléguer beaucoup de choses, mais pas la responsabilité : il faut que le maître d’ouvrage soit assez compétent pour contrôler ses fournisseurs.

[1] Laurent Bloch et Christophe Wolfhugel, Sécurité informatique, principes et méthodes, Eyrolles, 2006.

[2] Withfield Diffie, « Information Security: 50 Years Behind, 50 Years Ahead », Communications of the ACM, janvier 2008.

[3] Mark Klein, « AT&T’s Implementation of NSA Spying on American Citizens », 31 décembre 2005.

[4] Une des affaires d’espionnage les plus sensationnelles est le Watergreece, détournement du système d’écoutes téléphonique de Vodafone Grèce. Les espions n’ont pas été identifiés, mais comme on ne prête qu’aux riches on soupçonne la NSA (Vassilis Prevelakis et Diomidis Spinellis, « The Athens Affair », Spectrum, juillet 2007). En janvier 2008, le mathématicien et informaticien Astra (pseudonyme du pirate) a été arrêté. Il a fait perdre 361 millions de dollars à Dassault en pillant et vendant des secrets industriels de programmes d’armement. Le réseau Echelon, organisé par la NSA en coopération avec des services de renseignement anglo-saxons, espionne le monde entier. La DGSE française exploite le réseau d’espionnage « Frenchelon ».

[5] Rebecca T. Mercury, « Scoping Identity Theft », Communications of the ACM, mai 2006.

[6] Eileen Kowalski et alii, « Insider Threat Study: Illicit Cyber Activity in the Government Sector », CERT, janvier 2008.

[7] 1995 : Nick Leeson fait perdre un milliard d’euros à la banque Barings, ce qui la met en faillite ; 1996 : Yasuo Hamanka fait perdre deux milliards à Sumitomo ; 2002 : John Rusnak fait perdre 800 millions à Allied Irish Bank ; 2007 : un courtier américain fait perdre 250 millions au Crédit Agricole ; 2008 : Jérôme Kerviel fait perdre 4,9 milliards à la Société Générale.

[8] Michael E. Whitman, « Enemy at the Gate: Threats to Information Security », Communications of the ACM, août 2003.

[9] Marcus J. Ranum, « The Six Dumbest Ideas in Computer Security », 1^er septembre 2005.

[10] Didier Sanz « Comment purger son ordinateur avant de s’en séparer ? » Le Figaro, 9 janvier 2008.

[11] Robert N. Charrette, « Open-Source Warfare », Spectrum, novembre 2007.

[12] Antonio Nucci et Steve Bannerman, « Controlled Chaos », Spectrum, décembre 2007.

[13] Laurent Bloch et Christophe Wolfhugel, Sécurité informatique, principes et méthode, Eyrolles 2007, p. 127.