Les 6 idées les plus stupides de la sécurité
Ranum est un gourou incontesté, qui manie le sophisme et la formule choc avec autant de brio que Schneier (il est donc normal que ce soient des amis intimes). Cette fois ci, le « cow boy de la sécu », celui qui descendait les IPS en flamme il n'y a pas si longtemps, s'attaque aux idées reçues les plus stupides en matière de sécurité ... parfois, le discours fait sourire, car les points de vue de Markus Ranum sont assez élitistes, parfois, les arguments font réfléchir et remettent les choses à leur place. Les pires idioties du monde de la sécu ont donc pour nom, estime Ranum : Les permissions par défaut. Le principe du « si l'éditeur l'a prévu comme çà, c'est que je bénéficie d'une configuration minimaliste qui tourne »... hélas, certaines de ces configurations sont loin d'être minimalistes en terme de droits d'accès ou d'exécution. Et les systèmes d'exploitation ne sont pas encore assez intelligent pour se poser la question« pourquoi un certain Kamikaze.exe tente de s'exécuter sur une machine qui ne fait que lancer Word, Excel et Mozilla depuis ces 10 derniers mois ? » La comptabilité du mal. Les statistiques des défauts et failles, les outils qui ne reposent que sur la détection des trous de sécurité sont une perte d'énergie et de puissance cpu. Plutôt que de noyer l'administrateur sous un déluge de défaut « potentiels », il serait, estime Ranum, préférable de ne mesurer que le trafic normal, en fait ce qui se déroule réellement sur le réseau. Charge ensuite d'éliminer le verbiage des applications qui tournent « normalement », et l'on n'obtient plus que « l'anormal effectif ». Et c'est cette anormalité qu'il faut combattre, non pas l'intégralité de l'encyclopédie mondiale des virus, mais bel et bien celui qui est en train de frapper. Conceptuellement, c'est un principe fort proche des réseaux de honeypots automatisés : tout activité ne peut-être qu'une activité suspecte. Mais pour que Ranum puisse avoir raison, il faudrait que l'ensemble des outils de protection soient repensés... et ce ne serait pas nécessairement du goût financier de chacun. Tester les vulnérabilités et patcher. Je cherche le trou, je le trouve, je le bouche, je cherche le trou, je ne le trouve pas, je suis heureux. Ce n'est pas une rustine qui fera d'un code bancal une application sérieuse et solide, la sécurité est un processus qui doit être pris en compte dès le début de la conception d'un programme. La course qui oppose éditeurs et black hats est sans fin, chaque mesure de protection incitant l'autre parti à découvrir un défaut situé dans une autre aile du château-fort. C'est là un débat vieux comme le monde, un discours que certains partisans du monde « open » tenaient contre Microsoft. Mais même les développeurs Open Source ne sont pas des personnes omniscientes. Et puis, qu'y peut l'utilisateur « final » ? Le hacking, c'est cool ! D'un point de vue sociologique, le hacker persiste à bénéficier d'une estime globalement favorable. Cette imagerie d'Epinal est principalement liée à la déification du hacker, seul être capable de développer des choses infernales, discipline qui, aux yeux du public, nécessite un haut degrés d'intelligence. « un gars capable d'installer une distrib Linux passe nécessairement pour une intelligence supérieure aux yeux d'un journaliste de CNN » s'insurge Ranum. Reste que la lente dérive du hack noir vers les frontières de l'organisation mafieuse, l'impact du phishing, le dégout du spam vont, espère l'auteur, changer cette complaisance en une haine farouche... dans moins de 10 ans. En attendant que ces « hackers de génie » meurent de fin par manque de reconnaissance, gardons nos firewall, nos anti-virus, nos chasses-spam et nos détecteurs de phishing à jour. Eduquer l'utilisateur ... un leitmotiv des RSSI. Mais pourquoi ? s'indigne Markus Ranum. Comment un individu sain d'esprit peut-il imaginer un instant recevoir un email d'une banque à laquelle il ne confie pas son argent ? Pourquoi, après des milliards d'avertissements et des dizaines de « virus du siècle », des usagers « normaux » persistent à ouvrir des pièces attachées provenant de personnes qu'ils ne connaissent pas ? comment se fait-il également que les administrateurs laissent passer lesdites pièces attachées ? Tout çà ne peut durer. Dans 10 ans, prédit encore Ranum, une personne qui ne sera pas capable de gérer elle-même son ordinateur et observer un minimum de règles de bon sens ne sera plus engagée à un poste de responsabilité. Il faut avouer qu'un chargé de département, un chef marketing -ou pire, un PDG- qui régulièrement est frappé par une avalanche de malware peut difficilement passer pour un être capable de prendre des responsabilités de haut vol. Ranum n'a pas tord... mais une étude récente, publiée dans la presse anglo-saxonne la semaine passée, expliquait que les utilisateurs de PC faisaient preuve d'un « j'menfoutisme » absolu lorsqu'il s'agissait de l'ordinateur du lieu de travail. « Le service informatique est là pour çà », expliquent les fautifs. Et si les hommes-sécu passaient trop de temps à pampériser leurs administrés ? Si précisément ce soin méticuleux à conserver un réseau exempt de toute trace de défaut ne serait pas un facteur de déresponsabilisation de l'usager ? Mieux vaut l'action que l'inaction. Le « early adopter », bien que chéri des Directions Générales par son sens de l'initiative et son esprit de compétitivité, est un « éternel essuyeur de plâtres ». « Je ne me rappelle pas avoir vu un de ces early adopter assurer le fonctionnement d'une entreprise ou d'un service de manière pérenne » estime Ranum. Ca, ce n'est pas une « stupide idée reçue », c'est quasiment un truisme, et les DSI de la vieille Europe respectent des temps de réflexion qui dépassent probablement de loin ce que l'auteur désigne par les partisans du « pause and think ». Notons au passage que l'idée d'une « externalisation de la sécurité » est vue par Ranum -lui-même consultant extérieur- comme la pire des hérésies, l'attitude la plus suicidaire qui soit. Suivent en fin d'article un florilège de réflexions souvent entendues, hélas parfaitement stupides... mais tellement drôle à entendre. Les « Je ne suis pas une cible pour les pirates », les « je suis protégé, je possède un XXX » (remplacer XXX par IPS, antivirus euristique à détection automatique, analyseur syntaxique de contenu...) les« on passe en prod immédiatement, on sécurisera plus tard » et d'autres, encore plus croustillants. Maintenant, il ne reste plus qu'à attendre la sortie du prochain papier du Cow Boy... çà va être long !