RECHERCHE :
Bienvenue sur le site de Michel VOLLE
 Powered by picosearch  


Vous êtes libre de copier, distribuer et/ou modifier les documents de ce site, à la seule condition de citer la source.
  GNU Free Documentation License.

A propos de la sécurité du système d'information

 21 avril 2002

"Computer", revue de la Computer Society de l'IEEE, a publié des articles qui éclairent l'aspect économique de la sécurité des systèmes d'information.

Vers un "Pearl Harbor" électronique

Nous allons vers un "Pearl Harbor électronique" (1). Pourquoi ? parce que les pirates (terme que je préfère à "hackers") progressent, alors que la recherche sur la sécurité piétine. 

Les pirates progressent parce qu'ils utilisent les méthodes du logiciel libre : ils publient le code source de leurs produits et en partagent les améliorations. La virulence de leurs produits augmente, leurs compétences progressent, le nombre et l'ingéniosité des attaques croissent exponentiellement. Cette activité devient rentable : les pirates peuvent racketter des entreprises vulnérables à qui ils vendent leur "protection".

On compte environ 200 chercheurs compétents en sécurité dans les universités et entreprises américaines, nombre minuscule. Peu de diplômés ont une expertise en sécurité. Dès qu'un chercheur devient compétent, il est embauché par une entreprise qui veut utiliser son savoir pour se protéger : il en résulte une pénurie de professeurs qui explique le faible nombre de diplômés. Ainsi, d'une façon paradoxale, la vigueur de la demande de compétences empêche la recherche de se structurer. 

L'essentiel de la recherche se fait dans le secteur privé ; elle est consacrée à la cryptographie ou à la mise au point de produits commerciaux (antivirus et systèmes de détection d'intrusion), et non à une réflexion fondamentale. Le copyright est un obstacle : d'une part le chercheur qui veut évaluer la vulnérabilité d'un logiciel ou d'un matériel doit obtenir l'autorisation des détenteurs de droits, d'autre part le copyright inhibe le partage des résultats de la recherche. 

Un budget de recherche fédéral sur la sécurité des systèmes d'information, associé à une politique de recherche à long terme, aiderait à rompre ce cercle vicieux. Mais jusqu'à présent aucune agence n'en est chargée et les fonds sont distribués de façon désordonnée.

Ainsi la lutte est inégale : d'un côté les pirates tirent parti des méthodes de production du logiciel libre, construisent leur rentabilité et se multiplient ; de l'autre, la recherche est entravée par le copyright, vidée de ses compétences par l'appel du marché, sans politique d'ensemble. Une simple extrapolation de tendance désigne le futur vainqueur.  

Un exercice sur la sécurité

L'armée américaine est consciente du danger. Les écoles militaires (West Point, l'école navale et l'académie de l'Air Force) ont monté un exercice réel de défense d'un réseau, le rôle de l'assaillant étant tenu par une équipe de professionnels coordonnée par la NSA (2), le rôle du défenseur par des équipes d'élèves tous déjà diplômés en système d'information. Chaque école a construit un réseau ouvert sur l'Internet, simple mais représentatif des systèmes d'exploitation et services que l'on rencontre en pratique  ; les élèves ont été  organisés en équipes mises en compétition à la fois entre elles et contre l'assaillant. 

Chaque équipe a configuré son réseau de façon à le rendre à la fois sûr et exploitable, puis la bataille a commencé. Elle a duré une semaine. L'agresseur a immédiatement trouvé les points faibles des réseaux : carnets d'adresse sans test d'authentification, surcharge de "buffer", mots de passe trop faciles à deviner, etc. Les élèves devaient corriger ces défauts méthodiquement ; mais lorsque l'on répare une erreur on en commet souvent une autre, et l'agresseur a pu trouver chaque jours de nouvelles failles. 

Les élèves connaissaient la théorie, mais ils avaient peu d'expérience en administration de réseau. Ils ont découvert qu'il était difficile d'assurer la sécurité en maintenant la performance. L'enseignement de l'informatique porte surtout sur l'écriture de programmes, non sur l'administration de réseau qui s'apprend plutôt sur le tas : or c'est de cette compétence-là que l'on a besoin pour assurer la sécurité. Le firewall joue un rôle important, mais il est loin de suffire. L'exercice a enfin montré que les options par défaut des logiciels étaient vulnérables : il ne faut pas leur faire confiance. 

Il serait intéressant de monter en France des exercices de sécurité mettant face à face d'une part les étudiants des universités, écoles d'ingénieurs et écoles militaires, d'autre part une équipe de chercheurs associant le CNRS, l'INRIA, le CNET et la gendarmerie.

(1) Paulson Linda Dailey , "Wanted: More Network-Security Graduates and Research", Computer, février 2002, p. 22 

(2) Welch Donald, Ragsdale Daniel et Schepens Wayne, "Training for Information Assurance", Computer, avril 2002, p. 30
© Michel VOLLE, 2002